Mostrando mensaje 124     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1075 Año 7, Martes 17 de junio de 2003 Fecha: Martes, 17 de Junio, 2003  16:04:04 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1075 Año 7, Martes 17 de junio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Inyección de scripts en mensajes de error HTML 2 - XSS en archivos XML con errores 3 - VBS/Butterhot.A. Se propaga por IRC y borra antivirus 4 - W32/Deltad.B. Asunto: FW: Daily Report!!! _____________________________________________________________ 1 - Inyección de scripts en mensajes de error HTML _____________________________________________________________ http://www.vsantivirus.com/vul-html-error.htm Inyección de scripts en mensajes de error HTML Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Internet Explorer utiliza como recursos de funcionamiento para uso interno, varios archivos HTML, que incluye en su paquete. La mayoría de estos archivos le permiten manejar mensajes de error HTTP en sitios web (llamados "mensajes de error HTTP amistosos"). Básicamente utilizan el mismo código con pequeños cambios en cada caso. Una de las funciones principales para el uso de estos archivos, es un método para extraer la verdadera dirección HTTP de un recurso URL, cortándola en "trozos". Por ejemplo, si el web "site.com" genera un error del tipo 404 (no se encuentra una página), el siguiente URL es solicitado internamente por el IE: res:/ /shdoclc.dll/404_HTTP.htm#http:/ /site.com/file.html La función toma la parte posterior al signo # e intenta extraer el dominio de ese sitio, para incluirlo en la respuesta que será mostrada. Justamente este procedimiento posee un error que puede ocasionar que los comandos en un script puedan ser ejecutados en la zona local (Mi PC), donde posee más privilegios para hacerlo sin restricciones. Esto habilita la ejecución arbitraria de otros comandos que afectan a los archivos locales, incluida la lectura de los mismos, y otras acciones que pueden comprometer seriamente al sistema. Sin embargo, explotar esta falla requiere la interacción con el usuario. Para ejecutar cualquier código malicioso por este método, el mismo usuario debe hacer clic sobre una dirección o recurso URL (Uniform Resources Locator o Localizador Uniforme de Recursos), o sea un "apuntador" a la ubicación de cualquier archivo, como por ejemplo una página HTML. Existen ejemplos de la función vulnerable y cómo utilizarla. Según comentarios incluidos en los propios recursos, se puede deducir que Microsoft al crearlos, intentó prevenir que los mismos pudieran ser usados maliciosamente de esta forma. Sin embargo, la inclusión de un simple carácter # en forma manual, puede hacer que la función ejecute un URL del tipo "javascript:" en el enlace mostrado. De ese modo, si el usuario hace clic sobre dicho enlace, puede ejecutar un script. Una demostración consiste en cortar y pegar el siguiente URL en el IE y pulsar Enter (para su presentación en el boletín se han introducido espacios y se ha cortado en dos líneas): res:/ /shdoclc.dll/HTTP_501.htm# javascript:%2f*:/ /*%2falert(location.href)/ Se desplegará un mensaje de error 501 (falso), y se pedirá al usuario lo siguiente: Abra la página principal de *%2falert(location.href) y busque vínculos a la información que desea. Si el usuario hace clic sobre ese enlace, se mostrará una ventana de alerta, generada por el código javascript usado. [ver imágenes en http://www.vsantivirus.com/vul-html-error.htm] Microsoft fue notificado el 20/feb/03. La falla es reproducible en todas las versiones del Internet Explorer, incluida la IE6 Gold e IE6 SP1, bajo todas las versiones de Windows. También es vulnerable cualquier aplicación que utilice el WebBrowser control del Internet Explorer (AOL Browser, MSN Explorer, etc.). Se sugiere no seguir ningún enlace sospechoso en las pantallas de error al navegar algún sitio web con el IE. * Referencias: Script Injection to Custom HTTP Errors in Local Zone http://security.greymagic.com/adv/gm014-ie/ Créditos: GreyMagic Software <security@greymagic.com> (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - XSS en archivos XML con errores _____________________________________________________________ http://www.vsantivirus.com/vul-xss-errorxml.htm XSS en archivos XML con errores Por Redacción VSAntivirus vsantivirus@videosoft.net.uy El Internet Explorer intenta automáticamente interpretar cualquier archivo en formato XML solicitado individualmente por el navegador. XML (Extensible Markup Language), es un lenguaje estándar para escribir documentos de hipertexto para el web. MSXML es el componente encargado de interpretar los archivos XML en el Internet Explorer. Cuando el proceso es exitoso, un árbol dinámico con varios elementos XML es presentado. Sin embargo, si se produce un error, el Internet Explorer despliega un mensaje junto al URL (Uniform Resources Locator o Localizador Uniforme de Recursos) del documento XML. En algunos casos el URL desplegado no es filtrado apropiadamente, lo que permite que código HTML pueda ser pasado en la solicitud del URL a procesar por el navegador. Esto ocasiona un clásico ataque del tipo CROSS-SITE-SCRIPTING (XSS), con la posibilidad de introducir un código no deseado en casi cualquier archivo XML que el componente MSXML falle al intentar leer. Esto significa que casi cualquier archivo XML de un servidor que no pueda ser interpretado correctamente por el Internet Explorer y MSXML expone al sitio a un ataque global del tipo Cross-Site Scripting. Se ha podido reproducir este problema con varias configuraciones, pero no se ha localizado el componente culpable del problema, aunque se supone se trata de un error del MSXML y no del IE en si mismo. Una demostración del tipo "prueba de concepto" puede ser vista en el siguiente enlace: http://security.greymagic.com/adv/gm013-ie/ Según Microsoft (quién fue avisado el 20/feb/03), la falla puede ser reproducida solo con Internet Explorer 6.0 Gold, cosa que difiere totalmente con las pruebas realizadas por los descubridores de la falla. Según estos, esta vulnerabilidad puede reproducirse también en IE5.5 para NT4, IE6 en Win98, e IE6 en Win2000. También es vulnerable cualquier aplicación que utilice el WebBrowser control del Internet Explorer (AOL Browser, MSN Explorer, etc.). * Referencias Cross-Site Scripting in Unparseable XML Files http://security.greymagic.com/adv/gm013-ie/ Créditos: GreyMagic Software <security@greymagic.com> (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - VBS/Butterhot.A. Se propaga por IRC y borra antivirus _____________________________________________________________ http://www.vsantivirus.com/butterhot-a.htm Nombre: VBS/Butterhot.A Tipo: Gusano de Visual Basic Script Alias: VBS.Butterhot, VBS/Rettub, IRC-Wrom.Butterhot Tamaño: 4,323 bytes Plataforma: Windows 32-bit Fecha: 17/jun/03 Se trata de un gusano escrito en Visual Basic Script que se propaga a través de los canales de IRC, utilizando las facilidades DCC del mIRC para la transferencia de archivos (Direct Client to Client). DCC permite la transferencia directa de los mismos entre usuarios de un chat. También posee la capacidad de borrar archivos de algunos conocidos antivirus. Si el usuario ejecuta el archivo recibido en una sesión de IRC (Interner Relay Chat), generalmente con el nombre de SEX.VBS, el gusano se ejecuta y se copia en las siguientes carpetas: C:\Download\sex.vbs C:\Mydocu~1\sex.vbs C:\Progra~1\sex.vbs C:\Progra~1\Winace\sex.vbs C:\Progra~1\Winamp\sex.vbs C:\Progra~1\Winrar\sex.vbs C:\Progra~1\Winzip\sex.vbs C:\Recycled\sex.vbs C:\Windows\sex.vbs C:\Windows\All Users\sex.vbs C:\Windows\Catroot\sex.vbs C:\Windows\Command\sex.vbs C:\Windows\Config\sex.vbs C:\Windows\Cookies\sex.vbs C:\Windows\Cursors\sex.vbs C:\Windows\Desktop\sex.vbs C:\Windows\Drwatson\sex.vbs C:\Windows\Fonts\sex.vbs C:\Windows\Help\sex.vbs C:\Windows\Inf\sex.vbs C:\Windows\Java\sex.vbs C:\Windows\Media\sex.vbs C:\Windows\Offline Web Pages\sex.vbs C:\Windows\Pif\sex.vbs C:\Windows\Recent\sex.vbs C:\Windows\Samples\sex.vbs C:\Windows\Sentto\sex.vbs C:\Windows\Startm~1\sex.vbs C:\Windows\System\sex.vbs C:\Windows\System32\sex.vbs C:\Windows\Tasks\sex.vbs C:\Windows\Temp\sex.vbs C:\Windows\Tempor~1\sex.vbs C:\Windows\Web\sex.vbs Luego, crea un script del mIRC modificado para permitir su autoenvío a otros usuarios en cada sesión de chat en que participe el usuario infectado. Para ello copia o suplanta cualquier SCRIPT.INI anterior si existiera, en cualquiera de las siguientes carpetas que existan en la máquina infectada: C:\Mirc\System C:\Mirc\System32 C:\Progra~1\Mirc C:\Progra~1\Mirc\System C:\Progra~1\Mirc32 C:\Progra~1\Mirc32\System Finalmente también crea el siguiente archivo, que se ejecuta al reiniciarse Windows: C:\Windows\Winstart.bat Este archivo tiene los comandos para borrar el contenido de las siguientes carpetas, lo que elimina archivos de conocidos antivirus: C:\Progra~1\Networ~1 C:\Progra~1\Mcafee C:\Progra~1\F-Prot C:\Progra~1\F-Secure C:\Progra~1\Avp C:\Progra~1\Datafe~1 Cuando el gusano se ejecuta un día 15 de cualquier mes, muestra el siguiente mensaje: Like a hot knife thru Butter - I am your worst Enemy * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano. En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: SEX.VBS ; WINSTART.BAT 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: SEX.VBS ; WINSTART.BAT 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Deltad.B. Asunto: FW: Daily Report!!! _____________________________________________________________ http://www.vsantivirus.com/deltad-b.htm Nombre: W32/Deltad.B Tipo: Gusano de Internet (VBS) Alias: VBS_DELTAD.B, W32/DeltaD@MM, I-Worm.Deltad, Win32/Deltad.A, VBS/Suhd-A, X97M.Suhd Fecha: 17/jun/03 Plataforma: Windows 32-bit Este gusano de Internet se propaga a través del correo electrónico enviándose a todos los contactos de la libreta de direcciones de Windows. Utiliza un mensaje con estas características: Asunto: FW: Daily Report!!! Datos adjuntos: Daily Report.Xls Texto: All: Daily Report.FYI DGPIT El gusano se activa cuando el usuario hace doble clic sobre el adjunto. En ese momento se crea un script de Visual Basic en la carpeta de Windows ("C:\WinNT" en Windows NT/2000, "C:\Windows" en Windows 95, 98, Me y XP), con el siguiente nombre: c:\windows\suhdlog.vbs El script contiene la rutina de envío de mensajes cómo el descripto antes. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\suhdlog.vbs Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Información adicional * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1075 Año 7, Martes 17 de junio de 2003