Mostrando mensaje 671     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1622 Año 8, miércoles 15 de diciembre de 2004 Fecha: Miercoles, 15 de Diciembre, 2004  05:02:18 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1622 Año 8, miércoles 15 de diciembre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - W32/Zafi.D. Se envía como saludo navideño 2 - W32/Mydoom.AJ. Se propaga por correo electrónico 3 - W32/Mydoom.AI. Se propaga como mensaje de Microsoft 4 - MS04-045 Ejecución remota de código en WINS (870763) 5 - MS04-044 Vulnerabilidad en Kernel y LSASS (885835) 6 - MS04-043 Ejecución remota en HyperTerminal (873339) 7 - MS04-042 Ejecución remota y DoS en DHCP (885249) 8 - MS04-041 WordPad: Ejecución remota de archivos (885836) _____________________________________________________________ 1 - W32/Zafi.D. Se envía como saludo navideño _____________________________________________________________ http://www.vsantivirus.com/zafi-d.htm Nombre: W32/Zafi.D Nombre Nod32: Win32/Zafi.D Tipo: Gusano de Internet Alias: Zafi.D, Email-Worm.Win32.Zafi.d, Nocard.A@mm, W32.Erkez.D@mm, W32/Zafi.D.worm, W32/Zafi.d@MM, W32/Zafi.D@mm, W32/Zafi-D, Win32.Zafi.D, Win32/Zafi.D, Win32/Zafi.D.Worm, WORM_ZAFI.D Fecha: 14/dic/04 Plataforma: Windows 32-bit Tamaño: 11,745 bytes (FSG) Puerto: TCP 8181 Este gusano se propaga por correo electrónico y recursos compartidos en redes. Si el gusano localiza un archivo .EXE cuyo nombre coincida con una determinada lista de productos antivirus y cortafuegos, lo sobrescribe con su propio código. El gusano se envía a todos los contactos de la libreta de direcciones de Windows de la máquina infectada. Utiliza como remitente falso, algunas de esas mismas direcciones. También busca direcciones de correo en archivos de todos los discos y carpetas, con la siguientes extensiones: .adb .asp .dbx .eml .fpt .htm .inb .mbx .php .pmr .sht .tbb .txt .wab Evita aquellas direcciones con 16 o más caracteres. El gusano utiliza su propio motor SMTP para enviarse por correo, en mensajes como los siguientes, donde el texto puede estar en inglés, italiano, español, ruso, sueco, húngaro, alemán entre otros lenguajes, según la dirección de correo del remitente: De: [remitente] Donde [remitente] es uno de los siguientes nombres: [nombre del equipo] [nombre del usuario] Pamela M. T. Antonio J. Martin V. Dusan R. Cornel H. Irene S. Ewa C. Lina M. Virtanen M. Emma J. Andersson V. Jensen V. Tatyana N. Fernandez T. Maria Asunto: [uno de los siguientes] Fw: boldog karacsony... Fw: Buon Natale! Fw: Christmas - Atviruka! Fw: Christmas - Kertki! Fw: Christmas Kort! Fw: Christmas pohlednice Fw: Christmas postikorti! Fw: Christmas Postkort! Fw: Christmas Vykort! Fw: ecard.ru Fw: Feliz Navidad! Fw: Joyeux Noel! Fw: Merry Christmas! Fw: Prettige Kerstdagen! Fw: Weihnachen card. Re: boldog karacsony... Re: Buon Natale! Re: Christmas - Atviruka! Re: Christmas - Kertki! Re: Christmas Kort! Re: Christmas pohlednice Re: Christmas postikorti! Re: Christmas Postkort! Re: Christmas Vykort! Re: ecard.ru Re: Feliz Navidad! Re: Joyeux Noel! Re: Merry Christmas! Re: Prettige Kerstdagen! Re: Weihnachen card. Texto del mensaje: El cuerpo del mensaje puede estar en formato HTML o texto plano. En ambos casos se incluye una o dos palabras o espacios, seguidos por un emoticon y el nombre del remitente tomado de la línea "De:". En los mensajes con formato HTML las palabras o espacios están separados por la cadena "...." y un gráfico animado, con asteriscos al principio y al final. También en los mensajes HTML, se agrega al final una cadena con una dirección formada con el dominio del destinatario, el nombre del adjunto sin la extensión, y el siguiente texto: Picture Size: 11 KB, Mail +OK Por ejemplo: * [texto].... [gráfico] ....[texto] * :) [remitente] _________________________________________________________________ http:/ /[dominio]/[nombre adjunto] Picture Size: 11 KB, Mail: +OK Donde [texto] puede ser uno de los siguientes: Buon Natale! Feliz Navidad Frohliche Wiehnachten! Glaedelig Jul! God Jul! Happy Hollydays! Iloista Joulua! Joyeux Noel! Kellemes Unnepeket! Naujieji Metai! Prettige Kerstdagen! Wesolych Swiat! Datos adjuntos: [1]+[2]+[3]+[4]+[5] Donde [1] puede ser la siguiente cadena, o nada: link. [2] puede ser una de las siguientes cadenas: atviruka. card. cartoline. ecarte. ekort. karacsony. kartki. kerstdagen. navidad. phlednice. postcard. postikorti. postkort. vykort. weihnachten. [3] puede ser una de las siguientes cadenas o nada: christmas. index. [4] puede ser una de las siguientes extensiones falsas: .php???? .htm???? .jpg???? .gif???? Donde "????" son 4 dígitos al azar. [5] puede ser una de las siguientes extensiones: .cmd .bat .pif .com .zip Ejemplos: navidad.index.jpg3214.pif link.postcard.php1753.bat Cuando la extensión final es .ZIP, el archivo contiene una versión ejecutable del gusano en el siguiente formato: [1]+[2]+[3] Donde [1] puede ser una de las siguientes cadenas: postcard. wishcard. xmascard. giftcard. [2] será una de las siguientes: id???? php???? Donde "????" son 4 dígitos al azar. Y [3] será una de las siguientes extensiones: .cmd .bat .pif .com Por ejemplo, un archivo: link.card.php2834.zip Puede contener el siguiente ejecutable: giftcard.id3257.cmd Ejemplos de mensajes (si la dirección del destinatario es "pedro@micorreo.com" y el adjunto es "navidad.index.jpg3214.pif"): Ejemplo 1: * Happy.... [gráfico] ....Hollydays! * :) Pamela M. ________________________________________________ http:/ /micorreo.com/navidad.index.jpg3214 Picture Size: 11 KB, Mail: +OK Ejemplo 2: * Feliz.... [gráfico] ....Navidad! * :) T. Maria ________________________________________________ http:/ /micorreo.com/navidad.index.jpg3214 Picture Size: 11 KB, Mail: +OK Cuando se ejecuta por primera vez, muestra el siguiente mensaje falso: CRC: 04F7Bh Error in packed file! [ OK ] Para propagarse por la red, libera copias de si mismo en todas las carpetas de los discos C, D, E, F, G o H, cuyos nombres contengan las siguientes cadenas: share upload music Se copia en esas carpetas con los siguientes nombres: winamp 5.7 new!.exe ICQ 2005a new!.exe El gusano finaliza los procesos activos que contengan cualquiera de las siguientes cadenas en sus nombres: firewall virus También impide que se ejecuten las utilidades cuyos nombres contengan las siguientes cadenas: reged msconfig task Busca archivos con extensión .EXE en todas las carpetas cuyos nombres contengan las siguientes cadenas, e impide o finaliza su ejecución (esto puede impedir la ejecución de antivirus, etc.): cafee kasper panda secur sopho syman trend viru Crea los siguientes archivos: c:\s.cm c:\windows\system32\[espacio] c:\windows\system32\[espacio].DLL c:\windows\system32\[espacio].EXE c:\windows\system32\Norton Update.exe También crea varios archivos como el siguiente: c:\windows\system32\????????.dll Donde "????????" son caracteres al azar. Ejemplos: c:\windows\system32\ckolieqt.dll c:\windows\system32\fktnxowp.dll c:\windows\system32\gczomkgr.dll c:\windows\system32\hgtmrsvo.dll Estos archivos almacenan las direcciones de correo obtenidas del sistema infectado, y usadas luego para enviar sus mensajes. NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). El gusano evita enviarse a direcciones con las siguientes cadenas: admi cafee google help hotm info kasper micro msn panda secur sopho suppor syman trend use viru webm win yaho Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Wxp4 = "c:\windows\system32\Norton Update.exe" También crea la siguiente entrada en el registro: HKLM\Software\Microsoft\Wxp4 El gusano intenta sobrescribir archivos con extensión .EXE. La mayoría de estos archivos son los ejecutables de muchos antivirus y otras aplicaciones de seguridad. Crea el siguiente mutex para no ejecutarse más de una vez en memoria: Wxp4 Abre un acceso clandestino por puerta trasera en el puerto TCP 8181 para descargar y ejecutar un archivo llamado A.EXE en forma remota. El gusano también intenta conectarse al dominio microsoft.com, tal vez con la intención de realizar un ataque de denegación de servicio. * Reparación manual IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos, dependerá del daño causado por el troyano desde el momento de ocurrida la infección, hasta el momento de su detección. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Wxp4 3. Haga clic en la carpeta "Wxp4" y bórrela. 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Security Center 5. Haga clic en la carpeta "Security Center" y cambie los valores en el panel de la derecha, por los siguientes: AntiVirusDisableNotify = "0" AntiVirusOverride = "0" FirewallDisableNotify = "0" FirewallOverride = "0" UpdatesDisableNotify = "0" 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Wxp4 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Mydoom.AJ. Se propaga por correo electrónico _____________________________________________________________ http://www.vsantivirus.com/mydoom-aj.htm Nombre: W32/Mydoom.AJ Nombre NOD32: Win32/Mydoom.AJ Tipo: Gusano de Internet Alias: Mydoom.AJ, Atak.G, Win32/Mydoom.AJ, W32/Atak-G, Email-Worm.Win32.Atak.g Fecha: 14/dic/04 Plataforma: Windows 32-bit Este gusano se propaga por correo electrónico, a través de mensajes con las siguientes características: De: [dirección falsa] Asunto: [1] Love [2] [emoticones] Donde [1] es alguno de los siguientes textos: Stay True Get Make Have a Y [2] es alguno de las siguientes cadenas: human spirit Not Wars and get money for fun will freedom to other with me Not spam [Emoticones] es alguno de los siguientes: :D ;) :> ;-D - ;-* !! !?! :K Ejemplo: Get Love for fun ;) Texto del mensaje: El texto utilizado del mensaje esta formado de la siguiente forma: La primera parte: [1]+[2] Donde [1] es alguno de los siguientes textos: Dear Congratulation Welcome Greet Hi Hello Nice to meet you Y [2] es alguno de los siguientes textos: Ladies & Gentleman Sir/Madam Person Customer User La segunda parte del texto continúa con alguna de las siguientes líneas: We have installed our anti-spam tools to protect your email Your account info has been setting up to block spam email We have make a few change for our customer. Please be informed We have upgraded your account features Your account has been upgraded with our new services La tercera parte del mensaje continua de la siguiente forma: [1] website at http:/ /www.[dominio] to [2] Donde [1] es alguno de los siguientes textos: Please check our Visit our Goto our Logon to Y [2] es alguno de los siguientes textos: know about account features learn about our features get more info find out our services. [Dominio] es obtenido del sistema o creado al azar. La cuarta parte sigue con alguna de las siguientes líneas: Remember this note Please take note this info Keep this info Your account info La quinta parte esta formada por las siguientes líneas: ---> Email: [dirección de correo] ---> Password: [contraseña] [texto] Donde [dirección de correo] corresponde a la dirección del destinatario. [Texto] es uno de los siguientes: [please change it after registeration] (You can change it later) (temp. pwd only) (temporary password). La sexta parte del mensaje contiene el siguiente texto: [1] website to [2] http:/ /www.[dominio]. Donde [1] es alguno de los siguientes textos: Please check our Visit our Goto our Logon to Y [2] es uno de las siguientes líneas: know about account features learn about our features get more info find out our services. La septima parte del mensaje es la siguiente línea: [1] information [2]. Donde [1] es alguno de los siguientes textos: Saved Email account Your credential Your account NOTE: All your account Y [2] es alguno de las siguientes líneas: has been saved. Please check when needed can be found at your email attachment has been clipped to your email already included into your email has been attached as a file and ready to be printed. La octava y última parte está formada por la siguiente línea: [1], [dominio] [2] Donde [1] es alguno de los siguientes textos: By Thank you Your sincerely Regard Y [2] es alguno de las siguientes líneas: Help Team Technical Support Customer Services Administrator Services Team Team. Ejemplo de un mensaje: Dear Sir/Madam We have upgraded your account features Visit our website at http:/ /www.micorreo.com to get more info Remember this note ---> Email: pepe @ hotmail.com ---> Password: xxxxxx (temporary password). Please check our website to get more info http:/ /www.micorreo.com. NOTE: All your account information has been clipped to your email. By, micorreo.com Technical Support Datos adjuntos: [alguno de los siguientes] note.zip part001.zip print.zip separate_file.zip textfile.zip white_paper.zip La infección se produce solo cuando el usuario ejecuta el contenido del archivo .ZIP. En ese caso, se crea el siguiente archivo: c:\windows\system\[nombre gusano] NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Crea la siguiente entrada para ejecutarse en cada reinicio (Windows NT, 2000 y XP): HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows load = c:\windows\system\[nombre gusano] También puede modificar el archivo C:\WINDOWS\WIN.INI para ejecutarse en cada reinicio (Windows 95, 98 y Me): [Windows] load = c:\windows\system\[nombre gusano] Las direcciones de correo a las que se envía, son obtenidas de aquellos archivos de la máquina infectada, que tengan las siguientes extensiones: .asp .dbx .eml .htm El gusano utiliza su propio motor SMTP para enviarse. Intenta obtener el servidor SMTP del usuario infectado desde el registro. En caso contrario, realiza consultas a diversos servidores DNS. * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows NT \CurrentVersion \Windows 3. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: load 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Modificar WIN.INI * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo WIN.INI en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre WIN.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Usuarios de Windows 95, 98 y Me: 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [Windows], bórrelo. Por ejemplo: [Windows] load = c:\windows\system\[nombre] Debe quedar como: [Windows] load = 3. Grabe los cambios y salga del bloc de notas. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Mydoom.AI. Se propaga como mensaje de Microsoft _____________________________________________________________ http://www.vsantivirus.com/mydoom-ai.htm Nombre: W32/Mydoom.AI Nombre NOD32: Win32/Mydoom.AI Tipo: Gusano de Internet Alias: Mydoom.AI, Atak.F, Win32/Mydoom.AI, W32/Atak.f@MM, W32/Atak-F, Email-Worm.Win32.Atak.f Fecha: 12/dic/04 Plataforma: Windows 32-bit Este gusano, escrito en Visual C++ 5.0, se propaga por correo electrónico, a través de mensajes con las siguientes características: De: [dirección falsa] Texto del mensaje: Password: 2aff (temporary password) Please check our website to learn about our features http://www.microsoft.com . Your account information has been saved. Please check when needed. Your sincerely, microsoft.com Team Datos adjuntos: [uno de los siguientes] note.zip part001.zip print.zip separate_file.zip textfile.zip white_paper.zip La infección se produce solo cuando el usuario ejecuta el contenido del archivo .ZIP. En ese caso, se crea el siguiente archivo: c:\windows\system\[nombre del gusano] NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Crea la siguiente entrada para ejecutarse en cada reinicio (Windows NT, 2000 y XP): HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows load = c:\windows\system\[nombre del gusano] También puede modificar el archivo C:\WINDOWS\WIN.INI para ejecutarse en cada reinicio (Windows 95, 98 y Me): [Windows] load = c:\windows\system\[nombre del gusano] Las direcciones de correo a las que se envía, son obtenidas de aquellos archivos de la máquina infectada, que tengan las siguientes extensiones: .adb .asp .cfg .cgi .dbx .eml .html .jsp .log .mbx .mht .msg .nch .ods .php .pl .sht .tbb .uin .vbs .wab .xml El gusano utiliza su propio motor SMTP para enviarse. Intenta obtener el servidor SMTP del usuario infectado desde el registro. En caso contrario, realiza consultas a diversos servidores DNS. * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows NT \CurrentVersion \Windows 3. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: load 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Modificar WIN.INI * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo WIN.INI en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre WIN.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Usuarios de Windows 95, 98 y Me: 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [Windows], bórrelo. Por ejemplo: [Windows] load = c:\windows\system\[nombre del gusano] Debe quedar como: [Windows] load = 3. Grabe los cambios y salga del bloc de notas. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - MS04-045 Ejecución remota de código en WINS (870763) _____________________________________________________________ http://www.vsantivirus.com/vulms04-045.htm MS04-045 Ejecución remota de código en WINS (870763) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se ha detectado un problema de seguridad en el Servicio de nombres Internet de Windows (WINS) que podría permitir a un usuario malintencionado poner en peligro un sistema basado en Windows y hacerse con el control del mismo. Puede mejorar la protección del servidor WINS con esta actualización de Microsoft. Tras instalar este elemento, es posible que deba reiniciar el equipo. * Nivel de gravedad: Importante * Impacto: Ejecución remota de código * Fecha de publicación: 14 de diciembre de 2004 * Software afectado: - Microsoft Windows NT Server 4.0 Service Pack 6a - Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 - Microsoft Windows 2000 Server Service Pack 3 - Microsoft Windows 2000 Server Service Pack 4 - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 64-Bit Edition * Software NO afectado: - Microsoft Windows 2000 Professional Service Pack 3 - Microsoft Windows 2000 Professional Service Pack 4 - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP Service Pack 2 - Microsoft Windows XP 64-Bit Edition Service Pack 1 - Microsoft Windows XP 64-Bit Edition Version 2003 - Microsoft Windows 98 - Microsoft Windows 98 Second Edition (SE) - Microsoft Windows Millennium Edition (ME) El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft. Esta actualización suplanta el siguiente parche: - Windows NT 4.0, Windows 2000, Windows Server 2003 MS04-006 Vulnerabilidad en el protocolo WINS (830352) http://www.vsantivirus.com/vulms04-006.htm * Relacionados: Microsoft WINS permite ejecución remota de código http://www.vsantivirus.com/vul-wins-301104.htm * Descripción Esta actualización resuelve algunas vulnerabilidades recientemente descubiertas y reportadas pública y privadamente a Microsoft. Un atacante que explote exitosamente la más severa de estas vulnerabilidades puede llegar a tomar el control completo del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. El Servicio de Nombres de Internet de Windows (WINS por las siglas en inglés de Windows Internet Naming Service), es un protocolo basado en NetBIOS, utilizado para asignar direcciones IP a los nombres descriptivos de las computadoras de una red. En una red Windows, a cada máquina se le asigna un nombre único, utilizado entre otras cosas para compartir recursos. Generalmente se hace uso de un servidor WINS para resolver los nombres de las máquinas que se encuentren en dos redes IP distintas, o para disminuir la cantidad de solicitudes entre máquinas de una misma red IP. Este servidor permite que las máquinas se registren cuando se encienden o conectan a la red, y mantiene actualizada la tabla de correspondencia NOMBRE = DIRECCION IP. Debido a la manera que WINS maneja la validación de los nombres de las computadoras, se produce una vulnerabilidad que un atacante puede explotar construyendo un paquete de red malicioso. Ello le permita la ejecución remota de código en el sistema afectado, pudiendo tomar el control total de éste. Otra vulnerabilidad que permite la ejecución remota de código, se produce por la forma que WINS maneja el contexto de la validación de asociaciones (la estructura de datos que WINS mantiene para almacenar la información de conexión). Un atacante remoto puede explotar esto por medio de un paquete de redes maliciosamente construido, y tomar el control total del sistema. En ambos casos, un cortafuego puede minimizar el riesgo de ataque, bloqueando hacia Internet los puertos TCP/42 y UDP/42. El servicio WINS no se instala en ninguna configuración por defecto de los sistemas operativos mencionados (Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server, Windows Server 2003). En cambio, se instala por defecto en Microsoft Small Business Server 2000 y Microsoft Windows Small Business Server 2003, aunque en este caso, la comunicación está bloqueada desde Internet, y disponible solo en la red local. En Windows Server 2003, los intentos de explotar esta vulnerabilidad, pueden causar una denegación de servicio, debiendo reiniciarse el sistema para mantener la funcionalidad. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Actualización de seguridad para Windows NT (KB870763) Microsoft Windows NT Server 4.0 Service Pack 6a http://www.microsoft.com/downloads/details.aspx?familyid=38E9D B8C-5C43-4E9A-9DC9-97C2686A45F1&displaylang=es Actualización de seguridad para Windows NT Server 4.0, Terminal Server Edition (KB870763) Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 http://www.microsoft.com/downloads/details.aspx?familyid=D7AB3 F6F-26FE-4AE8-A07A-481D772D03A6&displaylang=es Actualización de seguridad para Windows 2000 (KB870763) Microsoft Windows 2000 Server SP3 y Microsoft Windows 2000 SP4 http://www.microsoft.com/downloads/details.aspx?familyid=40146 B52-5546-489E-857E-01FE1EF709B2&displaylang=es Actualización de seguridad para Windows Server 2003 (KB870763) Microsoft Windows Server 2003 http://www.microsoft.com/downloads/details.aspx?familyid=10836 F38-A38B-47D5-B87B-18D8E26EEFAA&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms04-045.mspx * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS04-045 www.microsoft.com/technet/security/bulletin/ms04-045.mspx Microsoft Knowledge Base Article - 870763 http://support.microsoft.com/?kbid=870763 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - MS04-044 Vulnerabilidad en Kernel y LSASS (885835) _____________________________________________________________ http://www.vsantivirus.com/vulms04-044.htm MS04-044 Vulnerabilidad en Kernel y LSASS (885835) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se ha detectado un problema de seguridad que podría permitir a un usuario malintencionado poner en peligro un sistema basado en Windows y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Después de instalarla, es posible que deba reiniciar el equipo. * Nivel de gravedad: Importante * Impacto: Elevación de privilegios * Fecha de publicación: 14 de diciembre de 2004 * Software afectado: - Microsoft Windows NT Server 4.0 Service Pack 6a - Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 - Microsoft Windows 2000 Service Pack 3 - Microsoft Windows 2000 Service Pack 4 - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP Service Pack 2 - Microsoft Windows XP 64-Bit Edition Service Pack 1 - Microsoft Windows XP 64-Bit Edition Version 2003 - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 64-Bit Edition * Software NO afectado: - Microsoft Windows 98 - Microsoft Windows 98 Second Edition (SE) - Microsoft Windows Millennium Edition (ME) El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft. Esta actualización suplanta los siguientes parches: - Windows XP: MS03-005 Desbordamiento de búfer en Windows Redirector de Windows XP http://www.vsantivirus.com/vulms03-004-005.htm#2 - Windows NT 4.0, Windows 2000, Windows XP: MS03-013 Desbordamiento de búfer en Kernel de WinXP, 2000 y NT4 http://www.vsantivirus.com/vulms03-013.htm * Descripción Esta actualización resuelve dos vulnerabilidades recientemente descubiertas y reportadas privadamente a Microsoft. Un atacante local que explote exitosamente la más severa de estas vulnerabilidades puede llegar a tomar el control completo del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. La primera de estas vulnerabilidades permite la elevación de privilegios y es explotable en forma local. Está causada por un error de límites en una llamada LPC (Local Procedure Call), al no validarse el tamaño de los datos enviados a través de los puertos LPC. LPC es un servicio de intercambio de mensajes proporcionado por Windows, que permite que diferentes hilos de ejecución y procesos se comuniquen entre si. Es algo similar al servicio de procedimiento remoto (RPC), pero a nivel local. La segunda vulnerabilidad también permite la elevación de privilegios, y se produce por la manera en que LSASS valida ciertos identificadores de señales de estado (tokens). LSASS (Local Security Authority Subsystem Service) proporciona una interfase para el manejo de la seguridad local, autenticación de dominios y los procesos del servicio de directorio activo. LSASS también contiene soporte para utilidades de directorio activo. Esta vulnerabilidad puede permitir a un usuario local tomar el control completo del sistema. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Actualización de seguridad para Windows NT Server 4.0 (KB885835) Microsoft Windows NT Server 4.0 Service Pack 6a http://www.microsoft.com/downloads/details.aspx?familyid=325EA A8F-AF09-4839-B9E8-BB218C7A8564&displaylang=es Actualización de seguridad para Windows NT Server 4.0, Terminal Server Edition (KB885835) Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 http://www.microsoft.com/downloads/details.aspx?familyid=9823A 61F-C69F-403A-BD6A-EF3984BFA2B8&displaylang=es Actualización de seguridad para Windows 2000 (KB885835) Microsoft Windows 2000 SP3 y Microsoft Windows 2000 SP4 http://www.microsoft.com/downloads/details.aspx?familyid=EFDEA 122-DDA4-40B8-A7AF-9DDCC3870C38&displaylang=es Actualización de seguridad para Windows XP (KB885835) Microsoft Windows XP SP1 y Microsoft Windows XP SP2 http://www.microsoft.com/downloads/details.aspx?familyid=27115 D5C-3E4A-4F41-B81E-376AA1CD204F&displaylang=es Actualización de seguridad para Windows Server 2003 (KB885835) Microsoft Windows Server 2003 http://www.microsoft.com/downloads/details.aspx?familyid=AACB9 7CB-E8F0-461F-B2D2-F1065229B64E&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms04-044.mspx * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS04-044 www.microsoft.com/technet/security/bulletin/ms04-044.mspx Microsoft Knowledge Base Article - 885835 http://support.microsoft.com/?kbid=885835 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - MS04-043 Ejecución remota en HyperTerminal (873339) _____________________________________________________________ http://www.vsantivirus.com/vulms04-043.htm MS04-043 Ejecución remota en HyperTerminal (873339) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se ha detectado un problema de seguridad que podría permitir a un usuario malintencionado poner en peligro un sistema basado en Windows y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Después de instalarla, es posible que deba reiniciar el equipo. * Nivel de gravedad: Importante * Impacto: Ejecución remota de código * Fecha de publicación: 14 de diciembre de 2004 * Software afectado: - Microsoft Windows NT Server 4.0 Service Pack 6a - Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 - Microsoft Windows 2000 Service Pack 3 - Microsoft Windows 2000 Service Pack 4 - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP Service Pack 2 - Microsoft Windows XP 64-Bit Edition Service Pack 1 - Microsoft Windows XP 64-Bit Edition Version 2003 - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 64-Bit Edition * Software NO afectado: - Microsoft Windows 98 - Microsoft Windows 98 Second Edition (SE) - Microsoft Windows Millennium Edition (ME) El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft. * Descripción Esta actualización resuelve una vulnerabilidad recientemente descubierta y reportadas privadamente a Microsoft. Si el usuario actual tiene privilegios administrativos, un atacante podrá tomar el control total del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. Si el usuario actual no posee esos privilegios, el atacante también verá restringidas sus acciones. Sin embargo, se requiere la interacción con el usuario para explotar esta vulnerabilidad. La vulnerabilidad permite la ejecución remota de código en el componente HyperTerminal y es causada por un desbordamiento de búfer. Un atacante puede construir una sesión de HyperTerminal de forma maliciosa (archivo .HT), para aprovecharse del fallo y ejecutar código en forma remota. Sin embargo, debe persuadir al usuario para abrir el archivo. La vulnerabilidad puede explotarse a través de direcciones URL de Telnet, si el HyperTerminal es el cliente Telnet por defecto. Windows Server 2003 no instala por defecto el HyperTerminal, y cuando se instala manualmente, tampoco es el cliente Telnet asignado por defecto. Windows XP, Windows 2000 Server, y Windows NT 4.0 Server no configuran HyperTerminal como el cliente Telnet por defecto. Cuando HyperTerminal es utilizado en Windows NT 4.0, no es posible configurarlo como cliente Telnet por defecto. Sin embargo, en todos los casos en que esté instalado Hyperterminal, puede invocarse la vulnerabilidad si se ejecuta un archivo .HT (HyperTerminal Data File), maliciosamente modificado. Se recomienda no descargar de sitios Web desconocidos, ni aceptar vía correo electrónico archivos con esa extensión. Si Hyperterminal no es el cliente Telnet por defecto, una serie de acciones le serán solicitadas al usuario antes de poder explotar exitosamente el fallo. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Actualización de seguridad para Windows NT Server 4.0 (KB873339) Microsoft Windows NT Server 4.0 Service Pack 6a http://www.microsoft.com/downloads/details.aspx?familyid=4C87A F7B-0EE5-4761-AD58-3698D39B62BE&displaylang=es Actualización de seguridad para Windows NT Server 4.0, Terminal Server Edition (KB873339) Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 http://www.microsoft.com/downloads/details.aspx?familyid=D9F22 FA6-1C9B-442A-BA6F-7584DB61C9C2&displaylang=es Actualización de seguridad para Windows 2000 (KB873339) Microsoft Windows 2000 SP3 y Microsoft Windows 2000 SP4 http://www.microsoft.com/downloads/details.aspx?familyid=DA3DD 6C9-DB7E-40A6-AFD0-5ED87C42190D&displaylang=es Actualización de seguridad para Windows XP (KB873339) Microsoft Windows XP SP1 y Microsoft Windows XP SP2 http://www.microsoft.com/downloads/details.aspx?familyid=96BBD 220-5E2A-43AD-B8B7-54EC608BD8BE&displaylang=es Actualización de seguridad para Windows Server 2003 (KB873339) Microsoft Windows Server 2003 http://www.microsoft.com/downloads/details.aspx?familyid=3A36E 94B-A39F-4B56-8A2D-42F1089DD158&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms04-043.mspx * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS04-043 www.microsoft.com/technet/security/bulletin/ms04-043.mspx Microsoft Knowledge Base Article - 873339 http://support.microsoft.com/?kbid=873339 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 7 - MS04-042 Ejecución remota y DoS en DHCP (885249) _____________________________________________________________ http://www.vsantivirus.com/vulms04-042.htm MS04-042 Ejecución remota y DoS en DHCP (885249) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se ha detectado un problema de seguridad en los sistemas basados en Windows NT 4.0 Server que podría permitir a un usuario malintencionado poner en peligro un sistema basado en Windows y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Tras instalar este elemento, es posible que deba reiniciar el equipo. * Nivel de gravedad: Importante * Impacto: Ejecución remota de código * Fecha de publicación: 14 de diciembre de 2004 * Software afectado: - Microsoft Windows NT Server 4.0 Service Pack 6a - Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 * Software NO afectado: - Microsoft Windows 2000 Service Pack 3 - Microsoft Windows 2000 Service Pack 4 - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP Service Pack 2 - Microsoft Windows XP 64-Bit Edition Service Pack 1 - Microsoft Windows XP 64-Bit Edition Version 2003 - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 64-Bit Edition - Microsoft Windows 98 - Microsoft Windows 98 Second Edition (SE) - Microsoft Windows Millennium Edition (ME) El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft. * Descripción Esta actualización resuelve dos vulnerabilidades recientemente descubiertas en el servicio DHCP (Dynamic Host Configuration Protocol), y reportadas privadamente a Microsoft. Un atacante que explote exitosamente la más severa de estas vulnerabilidades puede llegar a tomar el control completo del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. Sin embargo, intentos para explotar estas vulnerabilidades, es más probable tengan como resultado una negación de servicio del componente DHCP. Las vulnerabilidades pueden ser explotadas por un atacante, enviando un mensaje especialmente modificado a un servidor DHCP. Un factor mitigante para esto, es que el servidor DHCP no se instala por defecto, y que el cliente DHCP no es afectado. Un cortafuegos puede minimizar el riesgo de explotación, si se bloquean los puertos (UDP/67 y UDP/68). * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Actualización de seguridad para Windows NT Server 4.0 (KB885249) Microsoft Windows NT Server 4.0 Service Pack 6a http://www.microsoft.com/downloads/details.aspx?familyid=7CC7F 82D-F2A2-49AA-BF33-897498898EAD&displaylang=es Actualización de seguridad para Windows NT Server 4.0, Terminal Server Edition (KB885249) Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 http://www.microsoft.com/downloads/details.aspx?familyid=69F32 59F-3004-462C-B2A8-37F65EB78A2D&displaylang=es * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS04-042 www.microsoft.com/technet/security/bulletin/ms04-042.mspx Microsoft Knowledge Base Article - 885249 http://support.microsoft.com/?kbid=885249 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 8 - MS04-041 WordPad: Ejecución remota de archivos (885836) _____________________________________________________________ http://www.vsantivirus.com/vulms04-041.htm MS04-041 WordPad: Ejecución remota de archivos (885836) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se ha detectado un problema de seguridad que podría permitir a un usuario malintencionado poner en peligro un sistema basado en Windows y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Después de instalarla, es posible que deba reiniciar el equipo. * Nivel de gravedad: Importante * Impacto: Ejecución remota de código * Fecha de publicación: 14 de diciembre de 2004 * Software afectado: - Microsoft Windows NT Server 4.0 Service Pack 6a - Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 - Microsoft Windows 2000 Service Pack 3 - Microsoft Windows 2000 Service Pack 4 - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP Service Pack 2 - Microsoft Windows XP 64-Bit Edition Service Pack 1 - Microsoft Windows XP 64-Bit Edition Version 2003 - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 64-Bit Edition - Microsoft Windows 98 - Microsoft Windows 98 Segunda Edición (SE) - Microsoft Windows Millennium Edition (ME) Aunque Windows 98, Windows 98 Segunda Edición y Windows Millennium son también afectados, la vulnerabilidad no es crítica en dichos sistemas. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft. * Descripción Esta actualización resuelve dos vulnerabilidades recientemente descubiertas, y reportadas privadamente a Microsoft. Las vulnerabilidades son ocasionadas por un desbordamiento de búfer en el conversor de Microsoft Word 6.0 para Windows, y pueden ser explotadas por un usuario remoto o sitio web malicioso para la ejecución de código, pudiendo llegar a tomar el control total del sistema afectado. Sin embargo, para que ello ocurra se requiere cierta interacción, ya que el usuario debe ser persuadido para realizar una serie de acciones. La vulnerabilidad no puede ejecutarse en forma automática, sin la participación directa del usuario. Tampoco puede ser explotada en forma automática por medio de un correo electrónico malicioso. Para que ello pueda ser posible, el usuario debe abrir y ejecutar un adjunto malicioso. Esta vulnerabilidad no afecta otros documentos de Word, ya que son manejados por otros conversores, no vulnerables. La vulnerabilidad es mínima en Windows XP Service Pack 2 y Windows Server 2003, ya que por defecto el componente afectado se encuentra deshabilitado. Estos sistemas operativos solo son vulnerables si el administrador habilita el componente vulnerable de forma manual y premeditada. WordPad es vulnerable a este problema, si está asociado por defecto a archivos .WRI, .RTF y .DOC. Si cualquier versión de Microsoft Word está instalada, los documentos .RTF y .DOC se abren por defecto con Word, y no con WordPad. La vulnerabilidad no afecta a Microsoft Word. Aún así Wordpad podría ser utilizado para abrir en forma manual documentos maliciosos, incluso con extensiones diferentes a .WRI, .RTF y .DOC. Wordpad procesaría el documento malicioso sin importar la extensión verdadera del archivo. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Actualización de seguridad para Windows NT Server 4.0 (KB885836) Microsoft Windows NT Server 4.0 Service Pack 6a http://www.microsoft.com/downloads/details.aspx?familyid=AC2DE 442-6C98-4545-8072-2BE4064466CD&displaylang=es Actualización de seguridad para Windows NT Server 4.0, Terminal Server Edition (KB885836) Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 http://www.microsoft.com/downloads/details.aspx?familyid=A49CC 5E2-1072-4BF6-A7F3-029957EBB1C2&displaylang=es Actualización de seguridad para Windows 2000 (KB885836) Microsoft Windows 2000 SP3 y Microsoft Windows 2000 SP4 http://www.microsoft.com/downloads/details.aspx?familyid=C4B9D 079-13F0-4E1E-834B-D2077838B9E1&displaylang=es Actualización de seguridad para Windows XP (KB885836) Microsoft Windows XP SP1 y Microsoft Windows XP SP2 http://www.microsoft.com/downloads/details.aspx?familyid=703DE 7D8-68D9-4A92-8C59-87221F89EF14&displaylang=es Actualización de seguridad para Windows Server 2003 (KB885836) Microsoft Windows Server 2003 http://www.microsoft.com/downloads/details.aspx?familyid=D1747 015-10C8-411F-8C26-773B59008FD8&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms04-041.mspx * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS04-041 www.microsoft.com/technet/security/bulletin/ms04-041.mspx Microsoft Knowledge Base Article - 885836 http://support.microsoft.com/?kbid=885836 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1622 Año 8, miércoles 15 de diciembre de 2004