Mostrando mensaje 79     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1030, Año 7, Sábado 3 de mayo de 2003 Fecha: Sabado, 3 de Mayo, 2003  12:17:40 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1030, Año 7, Sábado 3 de mayo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - PINs - Generación, manejo y salvaguarda de contraseñas 2 - Virus en archivos .PDF obliga a parche para Adobe Acrobat 3 - W32/Yourde.A. Infecta archivos PDF 4 - W32/Yaha.S. Ataca antivirus y cortafuegos 5 - ¡Gane su licencia gratis del antivirus NOD32! _____________________________________________________________ 1 - PINs - Generación, manejo y salvaguarda de contraseñas _____________________________________________________________ http://www.vsantivirus.com/pins PINs - Generación, manejo y salvaguarda de contraseñas Por Wolffete wolffete@wanadoo.es_QUITAESTO Artículo publicado originalmente en http://www.beeeeee.net/nautopia/pins.htm Este artículo es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse a su autor. * Introducción En los tiempos que corren, con el uso de la red, nos vemos en la necesidad de recurrir al uso de contraseñas con bastante frecuencia (correo, foros, acceso a determinadas webs, protección de carpetas, cifrado, etc.), de tal manera que lo que empieza siendo una pequeña lista en un papelito, acaba convirtiéndose en múltiples datos que rellenan los huecos de la agenda, a veces escritos con prisas y difíciles de entender luego. ¿Qué pasaría si la perdiéramos o llegara a manos no deseadas? …ufff, mejor no pensarlo. Pues bien, con PINs podremos tenerlas a salvo (cifrado fuerte de 448 bits y algoritmo Blowfish), bien organizadas e incluso nos ayudará a crear contraseñas de manera más segura. Todo ello, detrás de una sola contraseña. PINs es una pequeña utilidad que nos permitirá básicamente gestionar nuestras contraseñas. Es gratuita (aceptan donaciones), GNU General Public License, de código abierto y libre descarga desde su web: http://www.mirekw.com/winfreeware/pins.html Permite ser utilizado desde disquete, evitando su instalación en disco duro si así lo deseamos, con la ventaja de que podremos portarlo entre distintos equipos, teniendo todas nuestras contraseñas a mano y protegidas. * Instalación y Utilización A fecha de hoy, desde la web de origen, podemos bajar 3 ficheros de/para la versión 4.50: [ver imágenes en http://www.vsantivirus.com/pins.htm] El primero (689 KB) es el setup *.exe, adecuado para los que deseen instalarlo en disco duro. El segundo (689 KB), comprimido en *.zip, es ideal para utilizarlo desde disquete, sin instalar nada en nuestro HD. El tercero (174 KB) es el pack de lenguajes actualizado a fecha 25-Marzo-2003. En el primer caso, es muy sencillo, lo ejecutamos, seleccionamos el idioma y la ubicación que queramos darle en el HD y poco más. Pero parece más interesante la segunda opción, tenerlo en disquete. Aunque tarda un poco más el proceso, por las limitaciones del dispositivo hard, puede ser más útil al permitir su empleo en distintos equipos (portabilidad) y nos facilita su salvaguarda. Si nos decidimos por esta opción, basta con descomprimirlo a un disquete y ya lo tendremos listo para la acción, simplemente con ejecutar PINs.exe. Este sería el contenido del disquete: [ver imágenes en http://www.vsantivirus.com/pins.htm] Lleva incorporado varios lenguajes, entre ellos el español, pero si se quiere, podemos sobrescribir su carpeta "Lang" con la que obtenemos del pack de lenguaje actualizado descargable desde su web (PINsLang.zip). En este caso no olvidéis darle el mismo nombre a la carpeta para que la sobrescriba y funcione correctamente. Podemos borrar el resto de ficheros de idioma (por si acaso, dejemos el del inglés). * Utilización Esta es la interfaz del programa, una vez que hemos creado un "contenedor" de contraseñas, al cual hemos asignado una contraseña para poder acceder. En este caso, se instaló en el disco duro, en otra partición, para así no perderlo. Si queremos pasarlo a disquete, con copiar la carpeta tenemos suficiente. [ver imágenes en http://www.vsantivirus.com/pins.htm] En la imagen ya está en español, pero si no es el caso, podéis cambiarlo tal y como se muestra aquí: [ver imágenes en http://www.vsantivirus.com/pins.htm] Bueno, ya estamos listos para empezar a usarlo. El programa viene con una organización por defecto. Podemos utilizar la que trae, modificando los datos, o bien crear desde cero la nuestra. Ambas formas son válidas y eso ya es elección de cada uno. Nuevo contenedor Nos vamos a Archivo > Nuevo (o bien directamente desde el símbolo habitual de la hojita con la esquina doblada): [ver imágenes en http://www.vsantivirus.com/pins.htm] A la derecha del casillero, tenemos dos botones, sirviendo el segundo para abrir un mapa de caracteres más amplio que el habitual que nos suele mostrar el teclado: [ver imágenes en http://www.vsantivirus.com/pins.htm] Como dato relevante, si empleamos este método evitaremos que nos intercepten la contraseña si sospechamos que emplean un sniffer de teclado (capturadores de lo que se escribe en el teclado, también conocidos como keyloggers) en el sistema. El primer botón (icono de llave azul con asteriscos) sirve para generar una contraseña. Digamos que el programa nos ayuda en esta labor (aunque si se quiere, podemos emplear la que nosotros deseemos, simplemente escribiéndola en el casillero). Si nos decidimos por su colaboración (recomendable si todavía no hemos establecido unas reglas personales para la creación de contraseñas) y pulsamos el botón de la [T], nos aparece un recuadro para elegir el tipo de plantilla predefinida que deseemos: [ver imágenes en http://www.vsantivirus.com/pins.htm] El generador de contraseñas puede emplear los dos métodos, a nuestra elección: 1. empleando PLANTILLA (Template, de ahí la "T") 2. fijando nosotros la longitud de la contraseña Con el método PLANTILLA lo que hacemos es definir una máscara para la contraseña. Si os fijáis, hay un botón con el símbolo de interrogación [?] cerca del casillero; si lo pulsamos nos muestra la leyenda de los símbolos que pueden aparecer en la plantilla y su significado en la máscara: [ver imágenes en http://www.vsantivirus.com/pins.htm] A mayor seguridad, mayor número de caracteres se emplearán en la contraseña. La clase militar por ejemplo, alcanza los 30 caracteres. Hoy en día, lo mínimo recomendable son 16 caracteres, máxime si nuestro ordenador está en un entorno laboral, con posible acceso físico o por red por otras personas. Lo más cómodo es crearla nosotros siguiendo una máscara, intercambiando letras por números, con mayúsculas y minúsculas y algún carácter especial, utilizando un mnemotécnico. ---cut--- por maty 3J3MPLO 1 Lo mejor es utilizar palabras no existentes en diccionarios, evitando nuestros nombres, teléfonos, dni, fecha de cumpleaños, nombre de la mascota, ciudad, calle, ... En caso de utilizar palabras existentes, que pertenezcan a una lengua minoritaria, no al español o al inglés. rompeme si puedes cariño (24 caracteres, contando los espacios en blanco) 24* r0mp3m3 S1 PU3D35 car1ñ0 4# He añadido una información resumen de la contraseña, que puedo intercalar, y al hacerlo utilizo caracteres especiales. Son 24 caracteres y cuatro palabras. Además, hemos utilizado la ñ, carácter sólo disponible en castellano. Si sabemos catalán, tanto mejor, dejando cariño en castellano, por la ñ, y así utilizar dos lenguas. ?22 &4 TR3NCAM s1 p0ts car1ñ0 OJO: El uso de caracteres como la ñ o la ç puede ser problemático con algunos softs, pensados en inglés y para teclados en inglés. 3J3MPL0 2 En vez de palabras podríamos utilizar acrónimos creados por nosotros. jorge maty wolffete trio calavera nautopia: jmw3tcn (6 caracteres) orgía jondo cigarrillo sueño adios: 0JC5A (5 caracteres) -> 6+5 espacio = 12 caracteres Ya tenemos letras, números, mayúsculas y minúsculas. Añadamos caracteres especiales. jmw3tcn 0JC5A 4!*12 En total tenemos 4 palabras y 20 caracteres, que con unos cuantos tecleos memorizaremos rápidamente, gracias al uso de acrónimos y mnemotécnicos. En mi caso (maty), las palabras carecen de sentido, evitando así cualquier tipo de ataque por diccionario. * Lectura "obligatoria": CONTRASEÑAS SEGURAS, gran artículo al respecto en la web amiga ENLACES DE SEGURIDAD: http://www.enlacesdeseguridad.com/ ---cut--- Se recomienda, para mayor seguridad, emplear plantillas adoptadas por nosotros o al menos modificar en parte las predefinidas. Las plantillas se guardan en el fichero "Passwords.tpl"; podemos utilizar un editor de texto para añadirle nuestras propias plantillas. Modificarlas es más sencillo, simplemente cambiamos los símbolos que nos aparecen en el casillero tras elegir una plantilla, sabiendo que al pulsar el botón [?] nos indicará la leyenda de enmascaramiento. EJEMPLO: cambiar un carácter en minúscula por otro en mayúscula, por un símbolo… a gusto del usuario, vaya. De esta manera nos apartamos un poco de lo que es un enmascaramiento predefinido, aumentando su seguridad. El otro método de generación de contraseñas dijimos que era fijando la longitud de ésta. Si lo seleccionamos nos aparecen activos una serie de casilleros, que definirán el tipo de caracteres a emplear para construir la contraseña: mayúsculas, minúsculas, dígitos, símbolos e incluso definidos por el usuario (para esto último nos vuelve a ofrecer un mapa de caracteres más amplio que el del teclado, como ya hiciera antes). Mejor con una imagen: [ver imágenes en http://www.vsantivirus.com/pins.htm] Una vez que nos hayamos decidido por un método u otro, pulsamos sobre el botón [Generar] y veremos cómo en la parte inferior del recuadro nos aparecerá una lista de contraseñas. La que aparece de color rojo en el casillero es la elegida, pero podemos seleccionar cualquier otra de la lista e inclusive, volver a pulsar el botón [Generar] tantas veces como deseemos, hasta que consideréis oportuno o encontréis una que os guste más por cualquier motivo. Nuevamente una imagen (contraseña de clase militar): [ver imágenes en http://www.vsantivirus.com/pins.htm] Para que nos resulte más fácil de recordar, podemos modificarla, buscando construir mnemotécnicos. Si la contraseña es tan aleatoria ¿cómo la recordaremos? Lo mejor es utilizarlas para tener una referencia de la complejidad necesaria para cada nivel, nada más o ¿es que nos falta imaginación? A la derecha del casillero hay un botón para copiar-pegar la contraseña elegida en el portapapeles. Igualmente, se dispone de otro botón con la misma función junto a la lista de posibles contraseñas. Una vez seleccionada, guardar copia de la contraseña en lugar seguro(disquete o contenedor cifrado), porque será la llave que nos abrirá-cerrará el paso al resto de contraseñas guardadas en el programa. Le damos a [Aceptar] y automáticamente nos aparece el recuadro del principio con nuestra flamante contraseña. Aceptamos de nuevo y accedemos a la interfaz del programa, donde ya dijimos que aparecía una organización por defecto para las contraseñas, agrupándolas en: e-mail / PIN / WWW service / Passwords Se pueden modificar las ya existentes o partir de cero, pero eso ya lo dejo al gusto de cada uno. Para lo segundo nos vamos a "Editar -> Añadir nuevo registro". En este caso voy a utilizar alguno de los que vienen por defecto a modo de ejemplo. Tomemos la primera, e-mail. Si abrimos el símbolo [+] nos encontramos con tres elementos. Pinchamos con botón derecho del ratón sobre el primero de ellos y surge un menú: [ver imágenes en http://www.vsantivirus.com/pins.htm] Desde ahí podemos copiar el usuario/contraseña al portapapeles, añadir un nuevo registro, duplicarlo o eliminarlo, pero si seleccionamos "Editar registro" nos aparece el elemento para que podamos modificar o rellenar los casilleros como consideremos oportuno. Con los valores nuevos, puede quedar así: [ver imágenes en http://www.vsantivirus.com/pins.htm] Desde "Categoría" podemos seleccionar una de las ya existentes o crear una nueva. El resto de casilleros los rellenamos según proceda, aunque comentaré brevemente alguno de ellos. Ya conocemos el símbolo del generador de contraseñas y el del mapa de caracteres (recordadlo ante sospecha de keyloggers), pero hay alguno nuevo: en el apartado "Fecha de inicio/caducación" contamos con unos botones para meter la fecha, empleando un calendario a modo de recuadro (en vez de introducir la fecha manualmente). Las contraseñas conviene renovarlas. En el ejemplo, la contraseña caduca en el segundo aniversario de la comunidad nautópata (contando la inicial etapa como web personal): 12 de Julio del 2003. Si en la configuración del programa (que veremos más adelante) hemos desmarcado "mostrar contraseñas", en vez de la contraseña tal cual de este elemento, nos encontraríamos con los conocidos asteriscos y junto a ellos, un casillero que podemos marcar/desmarcar para hacerlas visibles o no en ese momento. Abajo de todo tenemos el "SuperPegue", que sirve para definir los datos que serán pegados en aplicaciones externas mediante esta técnica. Esto se utiliza en navegadores por ejemplo, cuando queramos hacer login en algún sitio. Normalmente las teclas empleadas son Ctrl+H y Ctrl+Y y se suele emplear para el nombre de usuario y contraseña (lo que viene por defecto). Decir también, que el campo de este casillero permite que el usuario lo adapte a un uso más amplio, aunque como se sale del objetivo de un minimanual, a los que les interese les remito a la ayuda del programa, donde podrán encontrar la sintaxis detallada y las hot keys soportadas. Una vez rellenados los casilleros a nuestra conveniencia, aceptamos y se guardan los cambios, volviendo a la interfaz habitual del programa. * Configuración En "Herramientas" disponemos de varias posibilidades: [ver imágenes en http://www.vsantivirus.com/pins.htm] La mayoría de ellas no necesitan comentario, están bien traducidas y se entiende nada más leerlas, pero si vamos a "Configuración" nos aparece un recuadro con siete pestañas. PESTAÑA General Los casilleros se rellenan según gustos del usuario, pero es interesante comentar algunos. Desde aquí podemos seleccionar que al abrir ciertos hipervínculos encontrados en los datos guardados, el programa copie automáticamente la contraseña al portapapeles. Abajo del todo le indicamos el efecto que tendrá la doble pulsación (editar registro, copiar contraseña / usuario al portapapeles o abrir un hipervínculo de los guardados). [ver imágenes en http://www.vsantivirus.com/pins.htm] *Hablando de portapapeles, disponemos de una utilidad gratuita muy útil (con lo que no puede son con los textos firmados digitalmente) THE PASTER disponible en: http://www.techlogic.ca/r3/paster/index.mv PESTAÑA Seguridad: Desde los dos casilleros superiores podemos elegir si mostrar directamente las contraseñas o bien ocultarlas tras asteriscos. El tercero y cuarto es conveniente tenerlos marcados, inclusive el quinto si pensamos tener el programa activo y minimizado mientras hacemos otras cosas. Para desbloquear la base de datos bastaría con volver a introducir la contraseña oportuna. Pero como siempre, este tipo de elección dependerá del gusto de cada usuario. No las descuidéis, en cualquier caso. Abajo definimos el tiempo de inactividad (en minutos) que debe pasar antes de que el programa bloquee automáticamente el acceso a los datos por él guardados. Si pasado ese tiempo no hemos hecho nada con el programa, los bloquea, pidiéndonos nuevamente la contraseña cuando queramos volver acceder a ellos. [ver imágenes en http://www.vsantivirus.com/pins.htm] PESTAÑA Comenzar: Esto tiene poco que explicar, si acaso, comentar la parte de abajo: la búsqueda de contraseñas vencidas de fecha (posibilidad que permiten algunos programas de cifrado, como el conocido PGP y otros) se realizaría de forma automática si marcamos ese casillero, aunque también disponemos de una búsqueda manual empleando desde la interfaz el menú "Buscar - -> Encontrar contraseñas caducadas". Desde "Buscar" también podremos tener acceso rápido a algún dato en concreto entre los guardados (útil si llegamos a almacenar gran cantidad). En el casillero de los días, podremos elegir con qué tiempo de antelación deseamos que PINs nos avise ANTES DE la caducidad de contraseñas de este tipo. En políticas agresivas de seguridad se emplean para forzar a cambiarlas cada cierto tiempo, cuando el responsable de seguridad cumpliese bien su trabajo en una RED. [ver imágenes en http://www.vsantivirus.com/pins.htm] PESTAÑA Guardando: Los dos primeros casilleros es recomendable tenerlos marcados. El de arriba sirve para que el programa nos recuerde que hay datos sin guardar cuando nos disponemos a cerrarlo y el segundo hace automáticamente copias de seguridad de versiones sobrescritas de contraseñas que hubieran estado previamente guardadas. El tercer casillero es útil si deseamos guardar copia de seguridad en un archivo adicional. Cualquier precaución es poca en este sentido, pero es conveniente emplear un medio diferente al habitual, es decir: utilizar un disquete si usáis el programa desde el HD, emplear una partición o HD diferente al que usa el programa, etc. [ver imágenes en http://www.vsantivirus.com/pins.htm] Abajo se puede especificar el número de ficheros recientes que queremos aparezcan cuando abrimos el menú "Archivo". El número máximo que permite son 30, pero en cualquier caso, seleccionando por encima de 10, mostrará los más utilizados en un submenú. Las pestañas Diseño, Columnas y Sonidos, para los amantes de jugar con el aspecto visual. Una vez que hayáis ordenado los datos a vuestro gusto, sólo nos queda guardarlos. Para ello nos vamos al menú "Archivo -> Guardar cómo…" Nos saldrá un recuadro como éste, le damos un nombre, guardamos y listo. [ver imágenes en http://www.vsantivirus.com/pins.htm] Recordad que este tipo de archivos los guarda con la extensión *.pins. * Borrado Seguro de Ficheros Antes de terminar, comentaros la posibilidad que PINs ofrece para borrar de manera segura alguno de los datos que previamente haya guardado pero que ya no deseemos retenerlo. Nos vamos al menú "Archivos - > Borrar ficheros con seguridad". [ver imágenes en http://www.vsantivirus.com/pins.htm] Es un borrado seguro, con lo que no podremos volver a recuperarlos, tenedlo en cuenta. Podemos borrar cualquier Fichero o Carpeta, no sólo los *.pins, pudiendo elegir el método de borrado y número de pasadas. [ver imágenes en http://www.vsantivirus.com/pins.htm] Para Borrado Seguro disponemos del excelente programa gratuito ERASER (y que se integra perfectamente en el explorador), que además de borrar ficheros, carpetas con distintos métodos, también nos permite el borrado del espacio libre de las particiones. Disponible en: http://www.heidi.ie/eraser/ ACRONIS PRIVACYEXPERT también, permitiendo el borrado del SWAP, mas es de pago y un pelín inestable, al menos en el viejo cacharro de maty. BESTCRYPT, el programa noruego de pago para generar contenedores bajo cifrado fuerte, permite, adicionalmente, cifrar el SWAP: win386.swp (W98) o PAGEFILE.SYS (NT, W2K, WXP) -el sistema utiliza el disco duro como una ampliación virtual de la memoria RAM, proceso mal gestionado, especialmente en los W9*, recomendándose el uso del gratuito Cacheman 5.11 o el de pago Ram Idle Pro entre otros, si tenemos abiertas simultáneamente varias aplicaciones pesadas, y disponemos de 256 MB de RAM o menos-. En el artículo MATY al desnudo podemos ver distintas capturas de tales programas. Eso es todo amigos. Espero que os sea útil en la generación, manejo y salvaguarda de contraseñas. Para dudas o compartir experiencias entre todos, ya sabéis que nos reunimos por el foro de Seguridad Online / Nautopía ;^) [http://pub80.ezboard.com/btinyfirewallencastellano] Saludos, Wolffete Artículo publicado originalmente en http://www.beeeeee.net/nautopia/pins.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Virus en archivos .PDF obliga a parche para Adobe Acrobat _____________________________________________________________ http://www.vsantivirus.com/vul-adobe-virus.htm Virus en archivos .PDF obliga a parche para Adobe Acrobat Por Redacción VSAntivirus vsantivirus@videosoft.net.uy El 30 de abril de 2003, Adobe publicó un parche para su software Adobe Acrobat 5.0.5. La razón del mismo es una vulnerabilidad en la seguridad del sistema descubierta en dicha versión del programa. La falla, puede permitir a un atacante aprovecharse de las posibilidades del intérprete de JavaScript utilizado por Acrobat 5.0.5, para lograr la ejecución arbitraria de código desde la carpeta de los plug-ins del propio programa. Si un archivo PDF con el código malicioso embebido es abierto en una computadora, se puede hacer que el Adobe Acrobat escriba dicho código en la carpeta de los plug-ins, que por regla general reside en \Program Files\Adobe\Acrobat 5.0\Acrobat\Plug_ins. Con el reinicio subsecuente del programa, todos los módulos dentro de la carpeta de los plug-ins pueden ser automáticamente activados, si fueron creados de acuerdo a las especificaciones de Adobe. El código malicioso inyectado en esa carpeta, también podría ser lanzado, causando serios daños al sistema del usuario. Desde hace unos días, existe un virus que explota dicha vulnerabilidad, llamado "Yourde" por la cadena "Your_Death" incluida en su código. El virus se transporta por documentos con formato .PDF (Portable Document Format), y funciona en sistemas con Acrobat 5.0.5 y Windows instalados. Afortunadamente, por el momento ninguna versión del Adobe Acrobat Reader es vulnerable. Recordemos que éste último es el lector de uso gratuito usado en la mayoría de las computadoras hogareñas para leer documentos PDF. En este caso, el virus no causa daños (más allá de la infección), pero prueba el concepto de que algo así puede hacerse, aunque no se trata del primer virus en archivos PDF. Después que el usuario abre un archivo malicioso conteniendo este virus, se liberan dos archivos en la carpeta de los plug-ins ya mencionada: C:\Program Files\Adobe\Acrobat 5.0\Acrobat\Plug_ins\Death.api C:\Evil.fdf El primero, "Death.api", se ejecuta cada vez que se reinicia una sesión del Acrobat, ejecutando a su vez al segundo, "Evil.fdf", el cuál contiene el código JavaScript malicioso embebido en él. Luego de ello, los archivos .PDF que sean abiertos y explícitamente grabados desde el Acrobat por el usuario, serán infectados. No se infectarán los archivos .PDF que solo sean abiertos o visualizados. El virus inserta en cada archivo PDF abierto, los dos archivos mencionados, pero solo quedarán allí si el usuario graba dicho archivo. Aunque este virus no presenta ninguna carga destructiva, el concepto que prueba puede ser explotado de alguna otra forma por escritores de virus maliciosos, por lo que Adobe insta a los usuarios de su software pago, a descargar la actualización o actualizarse a la versión 6.0 del mismo. Ninguna versión gratuita del Adobe Acrobat Reader es afectada por esta falla. Adobe Acrobat (el software vulnerable) es el editor que permite crear archivos .PDF, y no es gratuito. Más información y descarga del parche (1.8 Mb): http://www.adobe.com/support/downloads/detail.jsp?ftpID=2121 * Artículos relacionados: Virus en archivos .PDF obliga a parche para Adobe Acrobat http://www.vsantivirus.com/vul-adobe-virus.htm W32/Yourde.A. Infecta archivos PDF http://www.vsantivirus.com/yourde-a.htm OUTLOOK.PDFWorm. Primer gusano del mundo en PDF http://www.vsantivirus.com/peachy-pdfworm.htm Virus en archivos PDF http://www.vsantivirus.com/pdf.htm Ya son una realidad los virus en archivos PDF http://www.vsantivirus.com/08-08-01.htm Ejecución de código remoto en KDE con archivos PS/PDF http://www.vsantivirus.com/vul-kde-ps-pdf.htm Linux vulnerable a código malicioso en archivos PDF http://www.vsantivirus.com/28-09-02.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Yourde.A. Infecta archivos PDF _____________________________________________________________ http://www.vsantivirus.com/yourde-a.htm Nombre: W32/Yourde.A Tipo: Virus de archivos PDF Alias: Win32.Yourde, PDF.Yourde, W32.Yourde, W32/Yourde Fecha: 1/may/03 Plataforma: Windows 32-bit Tamaño: 237 bytes, 643 bytes Este virus solo infecta archivos que son abiertos y grabados en la versión completa de Adobe Acrobat v5.0.5 bajo Windows. No funciona en otras plataformas (Macintosh por ejemplo), aunque si puede transportar el virus a otro sistema entre diferentes plataformas. Tampoco funciona en las versiones gratuitas del lector de Adobe (Acrobat Reader), ni realiza ninguna acción maliciosa en el sistema. Se trata de una "prueba de concepto", que demuestra que es posible la infección y propagación de un virus desde archivos .PDF por este método, aunque ya existen antecedentes de virus en este formato. Los archivos son infectados al ser grabados por Adobe Acrobat. PDF (Portable Document Format), es un popular formato para transporte de documentos, creado por Adobe. El virus explota una vulnerabilidad en Acrobat, que permite que un código JavaScript embebido en un archivo PDF se pueda copiar a si mismo en la carpeta de los plug-ins del programa. Cuando se ejecuta Adobe Acrobat, todos los plug-ins son ejecutados automáticamente. Cuando un archivo infectado es abierto, el virus libera dos archivos en la carpeta de los plug-ins: C:\Program Files\Adobe\Acrobat 5.0\Acrobat\Plug_ins\Death.api C:\Evil.fdf El primero es un DLL creado en la carpeta de los plug-ins, y contiene el código que infecta nuevos archivos PDF, copiando en éstos los dos archivos. El segundo es un archivo del tipo "Acrobat comment file", que se copia en el raíz de la unidad C, y es el encargado de liberar los dos archivos mencionados para repetir el ciclo. Aunque el virus copia los dos archivos relacionados en todo archivo abierto por Adobe Acrobat, la infección solo permanecerá si ese archivo es grabado por el usuario (Guardar o Guardar como). Cada vez que un archivo infectado es grabado, vuelve a infectarse. El código del virus contiene el siguiente texto: Your_Death Si Ud. utiliza Adobe Acrobat 5.0.5 en su sistema, instale el parche o actualice a una versión superior. Para limpiar un sistema infectado, ejecute un antivirus actualizado. * Más información: Virus en archivos .PDF obliga a parche para Adobe Acrobat http://www.vsantivirus.com/vul-adobe-virus.htm * Artículos relacionados: OUTLOOK.PDFWorm. Primer gusano del mundo en PDF http://www.vsantivirus.com/peachy-pdfworm.htm Virus en archivos PDF http://www.vsantivirus.com/pdf.htm Ya son una realidad los virus en archivos PDF http://www.vsantivirus.com/08-08-01.htm Ejecución de código remoto en KDE con archivos PS/PDF http://www.vsantivirus.com/vul-kde-ps-pdf.htm Linux vulnerable a código malicioso en archivos PDF http://www.vsantivirus.com/28-09-02.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Yaha.S. Ataca antivirus y cortafuegos _____________________________________________________________ http://www.vsantivirus.com/yaha-s.htm Nombre: W32/Yaha.S Tipo: Gusano de Internet Alias: W32.Yaha.S@mm, I-Worm.Lentin.m Fecha: 1/may/03 Plataforma: Windows 32-bits Tamaño: 71,304 bytes Se trata de otra variante de la familia del W32/Yaha.A (Valentine.scr), un gusano de Internet que se propaga a través del correo electrónico a todos los contactos de la libreta de direcciones de Windows (WAB, Windows Address Book), lista de contactos de MSN Messenger y Yahoo Pager, así como a direcciones extractadas de archivos temporales y del caché de Internet (archivos HTM, HTML y HTA). También intenta copiarse en unidades de red compartidas. El gusano está escrito en Microsoft C++ y comprimido con la utilidad UPX. Utiliza su propia rutina SMTP para enviarse a si mismo por correo, sin depender del cliente de correo instalado. El mensaje selecciona al azar el asunto, texto del mensaje y archivo adjunto, que siempre es de extensión .EXE o .SCR. La lista completa de asuntos, textos de los mensajes y nombres de archivos adjuntos, puede verla en la descripción de VSAntivirus de las variantes L, K y M: W32/Yaha.L (K,M). Ataca antivirus y cortafuegos http://www.vsantivirus.com/yaha-l.htm Cuando se ejecuta, el gusano se copia a si mismo en la carpeta System de Windows con los siguientes nombres: C:\Windows\System\mstask32.exe C:\Windows\System\exeLoader.exe Los archivos se crean con los atributos de ocultos (+H) En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). También se modifica el registro para que el gusano se ejecute automáticamente cada vez que Windows se reinicia: HKLM\Software\Microsoft\Windows\CurrentVersion\Run MicrosoftServiceManager = C:\WINDOWS\SYSTEM\mstask32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices MicrosoftServiceManager = C:\WINDOWS\SYSTEM\mstask32.exe También modifica las siguientes claves: HKEY_CLASSES_ROOT\exefile\shell\open\command (Predeterminado) = "C:\Windows\System\exeLoader.exe" %1 %*" Esto hace que se ejecute el virus cada vez que una aplicación ejecutable es llamada por el sistema. Esto dificulta la limpieza del virus, ya que cualquier programa que se ejecute, incluido el antivirus, lanza al gusano en memoria. El gusano tiene una rutina maliciosa que se ejecuta si el día es miércoles. En ese caso, cambia la página de inicio del Internet Explorer modificando la siguiente clave: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Start Page = http:/ /www.indiansnakes.cjb.net También se copia a todas las unidades de red con recursos compartidos, copiando en ellas el archivo "reg32.exe", una copia del propio gusano. En Windows 2000 y XP, también se copia en la siguiente carpeta como "MSRegScanner.exe", con los atributos de solo lectura (+R), con lo que impide ser borrado si antes no se cambian estos: C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio El gusano intenta acabar con una extensa lista de programas de seguridad: ALERTSVC AMON.EXE ANTIVIR APACHE.EXE ATRACK AVCONSOL AVP.EXE AVP32 AVPCC.EXE AVPM.EXE AVSYNMGR CFINET CFINET32 ESAFE.EXE F-PROT95 FP-WIN FRW.EXE F-STOPW IAMAPP IAMSERV.EXE ICMON IOMON98 LOCKDOWN2000 LOCKDOWNADVANCED LUALL LUCOMSERVER MCAFEE NAVAPSVC NAVAPW32 NAVLU32 NAVRUNR NAVW32 NAVWNT NISSERV NISUM NMAIN NORTON NSCHED32 NVC95 PCCIOMON PCCMAIN PCCWIN98 PCFWALLICON POP3TRAP PVIEW95 RESCUE32 SAFEWEB SCAN32 SYMPROXYSVC TDS2-98 TDS2-NT VETTRAY VSECOMR VSHWIN32 VSSTAT WEBSCANX WEBTRAP ZONEALARM El gusano obtiene las direcciones a las que se envía de la libreta de Windows (WAB), todos los contactos, caché de Messenger, Yahoo Pager, páginas Web, etc. Selecciona al azar o inventa direcciones para el campo "reply-to" de los mensajes (dirección de respuesta para el mensaje). También inventa nombres de remitentes, asuntos y nombres de adjuntos. * Para eliminar el virus de un sistema infectado 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: VSantivirus No. 499 - 19/nov/01 Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados * Modificación del registro Es necesario renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal. 1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.exe Regedit.com Si Windows no está instalado en "C:\Windows", debe cambiar esta referencia (Ej.: "C:\Nombre\Regedit.exe", etc.). 2. Desde Inicio, Ejecutar, teclee "Regedit.com" y pulse Enter 3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \exefile \shell \open \command 4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como: (Predeterminado) = "C:\Windows\System\exeLoader.exe" "%1" %*" 5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el cargador: (C:\Windows\System\exeLoader.exe) y dejar solo esto (comillas, porcentaje, número uno, comillas, espacio, porcentaje, asterisco): (Predeterminado) = "%1" %* 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 7. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: MicrosoftServiceManager 8. Repita los pasos 6 y 7 (pinchando en "RunServices") con la siguiente rama del registro: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \ZoneCheck 10. Pinche en la carpeta "ZoneCheck" y bórrela. 11. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft 12. Pinche en la carpeta "Microsoft" y borre las siguientes carpetas en la misma ventana: WinVer Snakes 13. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 14. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). 15. Ejecute uno o más antivirus actualizados. * Información adicional * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual". * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me VSantivirus No. 499 - 19/nov/01 http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP VSantivirus No. 587 - 14/feb/02 http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - ¡Gane su licencia gratis del antivirus NOD32! _____________________________________________________________ ¡Ya se entregaron tres licencias del antivirus Nod32! IMPORTANTE: El viernes 2 de mayo no hubo sorteo de la lotería uruguaya, por lo tanto el próximo Nod32 será sorteado con el primer premio de la lotería de la próxima semana, el 9 de mayo. El anterior sorteo de la tercera de las cinco licencias del antivirus Nod32, que VSAntivirus.com ha decidido compartir con sus lectores para festejar la edición número 1000 de su boletín, fue realizado el viernes 25 de abril. Gracias a Ontinet.com, distribuidor exclusivo en España del producto, Luis Parra de Chile, se hizo acreedor en esa oportunidad de un paquete del antivirus Nod32. Estos son los datos: * Tercer ganador (25/abr/03): - Primer premio lotería uruguaya viernes 25/abr/04: 11654 http://www.loteria.gub.uy/loteria_20030425.htm - Ganador por aproximación (11659): Luis Parra (Chile) Formulario enviado el 7/04/2003 19:25 * Segundo ganador (11/abr/03): - Primer premio lotería uruguaya viernes 11/abr/04: 03469 http://www.loteria.gub.uy/loteria_20030411.htm - Ganador por aproximación (03400): Miguel Domínguez (España) Formulario enviado el 2/04/2003 15:43 * Primer ganador (4/abr/03): - Primer premio lotería uruguaya viernes 4/abr/04: 03665 http://www.loteria.gub.uy/loteria_20030404.htm - Ganador por aproximación (03655): David León Magaña (México) Formulario enviado el 2/04/2003 18:56 El próximo viernes 9 de mayo sorteamos la cuarta licencia. * Formulario de inscripción 1. Para participar en el sorteo de las dos licencias restantes del antivirus Nod32 ingrese su dirección electrónica, nombre y país en el formulario de la siguiente página: http://www.vsantivirus.com/sorteo.htm 2. En un plazo no mayor de 12 horas, recibirá un número generado al azar con el que participará. Dicho número es único y será válido hasta la finalización del sorteo. Sin embargo, se aceptará solo un acierto por número. 3. Cada fin de semana hasta completar el sorteo de las cinco licencias, todo número coincidente con las cifras finales del primer premio del sorteo semanal de la Lotería Uruguaya (http://www.loteria.gub.uy/default.htm), se hará acreedor de la licencia válida por un año de un paquete personal del Antivirus Nod32, cedido a VSAntivirus por Ontinet.com, S.L, distribuidor exclusivo en España del mismo. 4. En caso de no coincidir ningún número con el primer premio, se hará acreedor el más cercano al mismo y se publicará su nombre en nuestro sitio. Para evitar el SPAM, no se mostrará su dirección de correo completa. 5. El ganador será avisado de los pasos siguientes para hacerse de su premio. Su número no participará en el resto de los sorteos hasta completar los cinco paquetes sorteados. 6. Podrán participar todos los suscritos a nuestro boletín, y no se enviará más de un número por dirección suscrita. 7. Si la dirección electrónica utilizada no coincide con la de un usuario registrado, no será enviado ningún número para participar. Asegúrese de que la dirección es la misma que figura al pie de cada boletín, donde dice : "Este boletín es enviado a: [aquí va su dirección]" 8. Los sorteos se realizarán todos los viernes hasta entregar las cinco licencias de Nod32. * Más información: Festejamos los 1000 regalando cinco licencias de Nod32 http://www.vsantivirus.com/sorteo-1000.htm Ya tiene dueño otra licencia de Nod32 http://www.vsantivirus.com/ganadores.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1030, Año 7, Sábado 3 de mayo de 2003