|
Mostrando mensaje 615
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1566 Año 8, miércoles 20 de octubre de 2004 | | Fecha: | Miercoles, 20 de Octubre, 2004 03:21:06 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1566 Año 8, miércoles 20 de octubre de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Debilidad en cortafuegos de Windows XP
2 - Vulnerabilidad en múltiples antivirus con archivos ZIP
3 - W32/SpyBot.AMF. Se copia como "sysmsvc.exe"
_____________________________________________________________
1 - Vulnerabilidad en múltiples antivirus con archivos ZIP
_____________________________________________________________
http://www.vsantivirus.com/vul-xp-icf-191004.htm
Debilidad en cortafuegos de Windows XP
Por Angela Ruiz
angela@videosoft.net.uy
Una debilidad ha sido reportada en Windows XP, la cuál podría
ser explotada por un atacante para eludir ciertas reglas del
cortafuegos integrado, denominado "Conexión de seguridad a
Internet" (ICF).
El problema se origina porque el cortafuegos de Windows XP
acepta por defecto conexiones entrantes a puertos en escucha
que han sido implementados por el proceso SESSMGR.EXE.
Este archivo es el administrador de sesión de Ayuda de
escritorio remoto de Microsoft, y se encarga de administrar y
controlar la asistencia remota (normalmente este servicio está
detenido, a no ser que se habilite la administración remota, o
que un usuario o programa lo ejecute).
Según un informe publicado por Secunia, esta característica
podría ser utilizada por un usuario malicioso para establecer
un servicio no autorizado, sin necesidad de tener los
privilegios para hacerlo.
También un troyano podría aceptar conexiones entrantes si
previamente ejecuta SESSMGR.EXE y luego inyecta código
malicioso dentro del proceso en ejecución.
Cómo ya dijimos, no se requiere tener privilegios
administrativos para una explotación exitosa de esta
característica en un sistema afectado.
Esta debilidad afecta también al Windows XP con el Service Pack
2 instalado.
Es importante hacer notar, que este tipo de acción, es un
problema general con todos los cortafuegos personales, y puede
ser explotado a través de cualquier programa que pueda obtener
acceso a través del cortafuegos sin la interacción del usuario.
Es un asunto conocido, que se ha discutido por más de dos años
en ambientes relacionados con la seguridad informática. Al
respecto, ya existen varias pruebas de concepto (PoC) liberadas
anteriormente.
Una solución provisoria en Windows XP con SP2, es eliminar de
las excepciones la "Asistencia remota". Para ello seleccione
"Mi PC", "Panel de control", "Firewall de Windows". Seleccione
la lengüeta "Excepciones", y desmarque la opción "Asistencia
remota".
Si utiliza Windows XP o Windows XP con SP1, actualice su
sistema a Windows XP SP2, y luego aplique la solución antes
indicada.
No confíe únicamente en cortafuegos personales para prevenir el
acceso no autorizado a Internet.
* Créditos: americanidiot[at]hushmail.com
* Relacionados:
Windows XP Internet Connection Firewall Bypass Weakness
http://secunia.com/advisories/12793/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Vulnerabilidad en múltiples antivirus con archivos ZIP
_____________________________________________________________
http://www.vsantivirus.com/20-10-04.htm
Vulnerabilidad en múltiples antivirus
Por Angela Ruiz
angela@videosoft.net.uy
Una vulnerabilidad que afecta a la mayoría de los antivirus,
podría permitir que un código malicioso no fuera correctamente
detectado.
Según un aviso publicado por iDefense, el problema ocurre por
un error en la interpretación del cabezal de los archivos
comprimidos con extensión .ZIP.
El formato .ZIP almacena la información acerca de los archivos
comprimidos en dos ubicaciones, un cabezal local y otro global.
El cabezal local (local header), se encuentra al comienzo de
los datos comprimidos de cada archivo, mientras que el cabezal
global (global header) está presente al final del archivo .ZIP.
Según iDefense, es posible modificar la indicación del tamaño
que los archivos tienen al ser descomprimidos, en ambos
cabezales, sin afectar su funcionalidad.
Esta vulnerabilidad ha sido confirmada tanto en WinZip como en
las carpetas comprimidas de Windows. Un atacante podría
comprimir un código malicioso y eludir la detección de un
antivirus, modificando dentro de los cabezales local y global,
el tamaño que tendría el archivo descomprimido, a los efectos
que parezcan tener cero bytes.
Prácticamente todos los antivirus tienen la habilidad de
examinar el contenido de los archivos comprimidos. Muchos
usuarios, luego que su antivirus debidamente actualizado, ha
examinado uno de estos archivos sin detectar ningún código
maligno, suelen confiarse, procediendo a abrirlos.
iDefense confirma en su comunicado, que la vulnerabilidad fue
detectada en los productos de McAfee, Computer Associates,
Kaspersky Labs, Sophos, Eset y RAV. No son afectadas las
últimas versiones de Symantec, Bitdefender, Trend Micro y Panda
Software. Otros antivirus no fueron testeados.
NOD32, el antivirus de Eset, ha sido el primero en solucionar
dicho problema, desde su actualización automática del pasado 16
de setiembre (hace ya más de un mes).
Según informa Eset, "la vulnerabilidad fue causada por el hecho
que algún software de compresión y descompresión de archivos
(incluido WinZip), maneja en forma incorrecta archivos
comprimidos cuyos encabezados han sido deliberadamente
modificados, permitiendo así la creación de archivos dañados."
"Eset ha realizado las modificaciones apropiadas al código
encargado de examinar los archivos comprimidos, a los efectos
de manejar correctamente esa clase de archivos, inmediatamente
después de recibir la notificación de iDefense. Estos cambios
están contenidos en la versión de módulo soporte de archivos
comprimidos 1.020 (y posteriores), liberada el 16 de setiembre
de 2004 (actualmente el módulo es el 1.021). La actualización
estuvo disponible para todos los usuarios de NOD32 en forma
automática, en la actualización de firmas de ese mismo día".
Otros antivirus han reaccionado de diferente forma. McAfee
publicó actualizaciones el 6 y 13 de octubre. Sophos anunció
actualizaciones a su máquina de escaneo para el 20 y 22 de
octubre (versión 3.87), aunque aclara que no ha sido reportada
ninguna incidencia de código malicioso que explote este fallo.
Kaspersky solucionará el problema en su próxima actualización
acumulativa (anunciada para este mes). Computer Associates solo
aclara que el problema no ha afectado a ninguno de sus
usuarios, y que el mismo será solucionado a la brevedad para
proteger a sus clientes de posibles incidencias.
RAV (el fabricante de antivirus adquirido por Microsoft), no ha
emitido ninguna respuesta oficial.
iDefense aconseja a quienes no tengan un software antivirus
actualizado a los efectos de responder a esta amenaza, a
incluir filtros perimetrales para toda clase de archivos
comprimidos.
* Más información:
Multiple Vendor Anti-Virus Software
Detection Evasion Vulnerability
www.idefense.com/application/poi/display?id=153&type=vulnerabilities&flashstatus=true
* Nota: Video Soft, empresa creadora de VSAntivirus, es
distribuidora de los productos de Eset para Uruguay.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/SpyBot.AMF. Se copia como "sysmsvc.exe"
_____________________________________________________________
http://www.vsantivirus.com/spybot-amf.htm
Nombre: W32/SpyBot.AMF
Nombre Nod32: Win32/SpyBot.AMF
Tipo: Gusano de Internet y caballo de Troya
Alias: SpyBot.AMF, Win32/SpyBot.AMF, W32.Spybot.FCD,
W32.Spybot.Worm, W32.Spybot.Worm, W32/Sdbot.worm.gen.j,
Backdoor.Win32.Rbot.gen
Fecha: 19/oct/04
Plataforma: Windows 32-bit
Tamaño: 124,928 bytes
Gusano que se propaga por recursos compartidos de redes, y que
puede actuar como un troyano de acceso remoto controlado vía
IRC, con capacidad de tomar el control del equipo infectado.
Cuando se ejecuta se copia en la carpeta del sistema de Windows
con el siguiente nombre:
c:\windows\system\sysmsvc.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows 9x y
ME, como "c:\winnt\system32" en Windows NT y 2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
Crea las siguientes entradas en el registro para ejecutarse en
cada reinicio de Windows:
HKCU\SYSTEM\CurrentControlSet\Control\Lsa
MsWindows SysDate = "sysmsvc.exe"
HKCU\Software\Microsoft\OLE
MsWindows SysDate = "sysmsvc.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MsWindows SysDate = "sysmsvc.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
MsWindows SysDate = "sysmsvc.exe"
El gusano intenta continuamente infectar máquinas remotas,
generando direcciones IP al azar para conectarse a través del
puerto 445. Utiliza una extensa lista de usuarios y contraseñas
predefinidas en su código.
Si la conexión es exitosa, busca los recursos ADMIN$, C$, D$,
IPC$ Y PRINT$. Si los encuentra, entonces inicia su rutina de
infección, intentando copiarse en dicho equipo en las
siguientes ubicaciones:
admin$\sysmsvc.exe
admin$\system32\sysmsvc.exe
c$\sysmsvc.exe
c$\windows\system32\sysmsvc.exe
c$\winnt\system32\sysmsvc.exe
d$\sysmsvc.exe
ipc$\sysmsvc.exe
print$\sysmsvc.exe
También intenta aprovecharse de otras conocidas
vulnerabilidades para propagarse.
Posee un componente de acceso por puerta trasera (backdoor),
que intenta conectarse a servidores de IRC y unirse a un canal
predeterminado. Actúa como un IRC Bot, esperando las
instrucciones en dicho canal. Un BOT es la copia de un usuario
en un canal de IRC, preparado para responder y ejecutar ciertos
comandos en forma automática.
Utiliza como servidor el siguiente (por el puerto TCP/8080):
fear.godofthe.net
Algunas acciones posibles:
- Auto actualizarse
- Capturar imágenes de webcams
- Capturas de pantalla
- Conectarse a una URL determinada
- Descargar y ejecutar archivos
- Enviar archivos
- Enviar pulsaciones de teclado a la ventana activa
- Escanear puertos de otras computadoras
- Iniciar un servidor HTTP
- Matar procesos e hilos de ejecución
- Obtener información del sistema
- Realizar ataques de denegación de servicio (UDP, ICMP y
SYN flooding)
- Robar el caché de contraseñas en Windows 95, 98 y ME
También roba la información de registro (CD-Keys), de los
siguientes juegos:
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Chrome
Command and Conquer: Generals
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Command and Conquer: Tiberian Sun
FIFA 2002
FIFA 2003
Hidden & Dangerous 2
IGI 2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Microsoft Windows Product ID
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Neverwinter Nights (Shadows of Undrentide)
NHL 2002
NHL 2003
NOX
Rainbow Six III RavenShield
Shogun: Total War: Warlord Edition
Soldier of Fortune II - Double Helix
Soldiers Of Anarchy
Unreal Tournament 2003
Unreal Tournament 2004
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la
conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de cualquier
adjunto con posibilidades de poseer virus (sin necesidad de
tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
SYSMSVC.EXE
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), lo siguiente:
SYSMSVC.EXE
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión de
Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SYSTEM
\CurrentControlSet
\Control
\Lsa
3. Haga clic en la carpeta "Lsa" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
MsWindows SysDate
4. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\OLE
5. Haga clic en la carpeta "OLE" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
MsWindows SysDate
6. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
MsWindows SysDate
8. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
9. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la siguiente
entrada:
MsWindows SysDate
10. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus tarjetas
electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE
'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE
'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su computadora,
deberá deshabilitar antes de cualquier acción, la herramienta
"Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados, simplemente
ejecutamos esos antivirus en su opción de escaneo, sobre la
carpeta que contenga los archivos a revisar). Y por supuesto,
de nada vale usar algún antivirus si no lo mantenemos
actualizado con los upgrades, updates o add-ons
correspondientes. Actualmente, las actualizaciones son diarias
(AVP, Panda y otros) o al menos semanales. No existen los
"virus demasiados nuevos y sin antídotos", la reacción de las
casas de antivirus es inmediata en todos los casos. Pero mejor
pregúntese, si la suya también lo es a la hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes. Asegurarse
con esa persona del envío ("Melissa" y otros pueden ser
enviados por conocidos que ignoran estar mandando el virus en
sus mensajes), y nunca ejecutarlos, sino guardarlos en una
carpeta temporal y pasarle a esa carpeta dos o tres antivirus
actualizados antes de tomar la opción de ejecutarlos (.EXE) o
abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda,
simplemente se debe optar por borrar el mensaje (y archivos
adjuntos). Como se dice vulgarmente, "la confianza mata al
hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las novedades
sobre estos, alertas y anuncios críticos, en sitios como el
nuestro.
4) No bajar nada de sitios Web de los que no tenga referencias
de seriedad, o que no sean medianamente conocidos. Y si se
bajan archivos, proceder como los archivos adjuntos. Copiarlos
a una carpeta y revisarlos con dos o tres antivirus
actualizados antes de optar por ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos el
permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido sacado
de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo a
la política de Copyright adoptada por cada uno de ellos, y su
inclusión en nuestro boletín se rige por dichas políticas, sin
embargo, para su uso en otro medio, se deberá solicitar la
debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1566 Año 8, miércoles 20 de octubre de 2004
|
Responder a este mensaje
