Mostrando mensaje 632     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1583 Año 8, sábado 6 de noviembre de 2004 Fecha: Sabado, 6 de Noviembre, 2004  05:22:24 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1583 Año 8, sábado 6 de noviembre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Los creadores de los virus (Por Fernando de la Cuadra) 2 - Múltiples vulnerabilidades XSS en GFHost (Gmail) 3 - Troj/Beagooz.A. Roba direcciones electrónicas _____________________________________________________________ 1 - Los creadores de los virus (Por Fernando de la Cuadra) _____________________________________________________________ http://www.vsantivirus.com/fdc-creadores.htm Los creadores de los virus (Por Fernando de la Cuadra) Por Fernando de la Cuadra (*) Fdelacuadra@pandasoftware.com Un juez Federal de los Estados Unidos de América ha dictado una orden contra un hombre, cuyo nombre no es digno de figurar aquí, que ha dedicado su vida al spam. La infame biografía de este individuo no tiene desperdicio... En la década de los 90 encabezó una compañía que cada día enviaba electrónicamente hasta 30 millones de correos basura a los consumidores, lo que le hizo ganarse el apodo de "Spamford" y "rey del correo basura". Hasta aquí todo entra dentro del sistema habitual de actuación de los spammers. Pero lo que de verdad es preocupante es la razón por la que el juez federal ha dictado la orden: ¡el interfecto en cuestión también es acusado de ofrecer a los usuarios de ordenadores dos programas anti-spyware que servían para eliminar el spyware que él mismo había creado e instalado en múltiples sistemas! Desde que los antivirus existen, los fabricantes hemos tenido que luchar contra una leyenda negra que este personaje ha alimentado: los autores de los virus son los desarrolladores de los antivirus. Esta frase forma ya parte de las creencias populares en el mundo de la Informática, y es tan difícil de desmentir como la criogenización de Walt Disney, los dibujos geométricos en campos de maíz creados por extraterrestres o el asesinato de Kennedy por parte del gobierno USA. Que el individuo al que me refiero vaya vendiendo su propio software (y además a 30 dólares USA) para eliminar el spyware que ha creado es realmente deleznable, más propio de una película de ciencia ficción que de la realidad sobre la seguridad informática de hoy en día. Recuerdo que en la película "El mañana nunca muere", de la saga de James Bond, un magnate de las comunicaciones vendía software antivirus para los propios virus que su empresa creaba. Como complemento al argumento de la película es muy bueno, a pesar de que lance una idea que pueda hacer a los espectadores afianzar la leyenda. "Si lo dicen en una película, será cierto". Lástima que sin embargo no crean a Yoda en muchas de sus frases sobre la filosofía Jedi. En muchas ocasiones desde que trabajo en Panda Software (unos cuantos años ya), me he visto en la obligación de desmentir este rumor (y seguro que mis colegas de otras empresas antivirus tienen que responder ante este tema muchísimas veces), y de nada sirve. Es más cómodo pensar que los creadores de antivirus necesitan de estas artimañas para poder vender sus productos que imaginarse la realidad. Por otro lado, aunque mis conocimientos sobre el derecho son muy pocos, supongo que esta actividad es manifiestamente ilegal en la legislación de cientos de países, que aunque no tipifiquen los delitos informáticos adecuadamente, sí que tienen legislación de sobra sobre determinadas prácticas comerciales como ésta. Hace unos meses coincidí de nuevo con un amigo mío -que trabaja en otra empresa antivirus- en una feria informática. Y otra persona aprovechó para hacer un chiste: "¿Qué? ¿Diseñando el próximo virus?" No supimos qué decir. Nos miramos sorprendidos y le contestamos lo único que pudimos: "¿Tú que crees?" Por supuesto, el que preguntaba no contestó. Se limitó a esbozar una medio sonrisa y a cambiar rápidamente de conversación. Se había dado cuenta de que había dicho una tontería en público. No estaba hablando con delincuentes, sino con profesionales de la seguridad. Los autores de virus no son las mismas empresas que crean los antivirus para conseguir clientela, al igual que ningún médico se dedica a esparcir virus de la gripe en los autobuses para así tener más pacientes. Los humanos somos suficientemente vulnerables como para que un virus de la gripe pueda distribuirse en un autobús con un simple estornudo sin necesidad de que nadie nos contagie a propósito. Lo mismo pasa con los virus informáticos: los usuarios de ordenadores de todo el mundo están lo suficientemente mal protegidos y existen suficientes desalmados creando virus como para que los fabricantes de antivirus andemos perdiendo el tiempo con un virus creado por nosotros mismos. Espero que el juez que se ocupa de este caso dicte una sentencia lo suficientemente ejemplar. Tanto como para que todos aquellos que se sientan tentados por hacer lo mismo que este ruin programador y comerciante sin escrúpulos se lo piensen dos veces. (*) Fernando de la Cuadra es Editor Técnico Internacional de Panda Software (http://www.pandasoftware.com) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Múltiples vulnerabilidades XSS en GFHost (Gmail) _____________________________________________________________ http://www.vsantivirus.com/vul-gfhost-xss-051104.htm Múltiples vulnerabilidades XSS en GFHost (Gmail) Por Angela Ruiz angela@videosoft.net.uy Lostmon reporta múltiples vulnerabilidades del tipo CROSS- SITE-SCRIPTING (XSS) en GFHost. Esta clase de fallo permite a un atacante introducir en el campo de un formulario o código embebido en una página, comandos que pueden provocar la ejecución de un código no deseado. GFHost (GMail hosting), es un script que permite utilizar la cuenta de Gmail, el correo gratuito basado en Web de Google, para crear una página en la cuál se publicarán todos los archivos adjuntos de los mensajes que estén almacenados bajo una misma etiqueta. De esta forma, cualquier persona que visite dicha página podrá descargar estos archivos. Las categorías que están en la página generada por el programa son las etiquetas (labels) creadas en la cuenta de correo. Por ejemplo, si las etiquetas son "música" y "vídeos", esas serán las categorías que tendrá la página. GFHost posee una vulnerabilidad que permite tanto hacer spoofing con el sitio a través de un Cross Site Scripting (XSS), como permitir que un usuario malintencionado pueda subir un archivo al hosting y desde él ejecutar, por ejemplo, funciones de php. También podrían realizarse otros ataques del tipo XSS para engañar a usuarios confiados a efectos de que ingresen datos tales como su nombre de usuario y contraseña. El problema está relacionado con varios archivos, y se han publicado posibles exploits como ejemplos. * Créditos: Lostmon (lostmon@gmail.com) * Relacionados: GFHost http://gfhost.mybesthost.com/ Lostmon's Blog page http://lostmon.spymac.net/blog/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Beagooz.A. Roba direcciones electrónicas _____________________________________________________________ http://www.vsantivirus.com/troj-beagooz-a.htm Nombre: Troj/Beagooz.A Tipo: Caballo de Troya Alias: Beagooz, Trojan.Beagooz, Win32.Beagooz.A Fecha: 5/nov/04 Plataforma: Windows 32-bit, UNIX Tamaño: variable Caballo de Troya descargado por las siguientes versiones del Bagle: W32/Bagle.AS. Gusano de gran propagación (e-mail, P2P) http://www.vsantivirus.com/bagle-as.htm W32/Bagle.AU. Gusano de gran propagación (e-mail, P2P) http://www.vsantivirus.com/bagle-au.htm Este troyano colecciona direcciones de correo electrónico del equipo infectado, y las envía a un servidor remoto en forma clandestina. Cuando se ejecuta, crea la siguiente entrada en el registro para almacenar información: HKEY_CURRENT_USER\Software\Firstzzz El troyano busca direcciones de correo en todos los archivos con las siguientes extensiones: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml En ocasiones, puede mostrar una ventana de mensajes con el título "Error" y las direcciones de correo obtenidas. Las direcciones obtenidas, son enviadas al siguiente sitio: www .domamil .cz También genera un archivo de proceso por lotes (A.BAT) y lo ejecuta al finalizar, para borrarse a si mismo del sistema. * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Firstzzz 3. Haga clic en la carpeta "Firstzzz" y bórrela. 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1583 Año 8, sábado 6 de noviembre de 2004