Mostrando mensaje 83     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1034, Año 7, Miércoles 7 de mayo de 2003 Fecha: Miercoles, 7 de Mayo, 2003  14:21:15 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1034, Año 7, Miércoles 7 de mayo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - El SPAM y los virus en los teléfonos celulares 2 - Validación incorrecta de parámetros para fonts en IE 3 - Troj/Peido.B. Descarga y ejecuta otro troyano 4 - Troj/Yipper. Roba direcciones electrónicas 5 - ¡Gane su licencia gratis del antivirus NOD32! _____________________________________________________________ 1 - El SPAM y los virus en los teléfonos celulares _____________________________________________________________ http://www.vsantivirus.com/07-05-03.htm El SPAM y los virus en los teléfonos celulares Por Angela Ruiz angela@videosoft.net.uy Algunos suscriptores de telefonía inalámbrica de AT&T en Estados Unidos, piensan que un mensaje que recibieron este miércoles, y que aparenta ser un SPAM, podría llegar a dañar sus celulares. Todos los suscriptores que reportaron el problema, utilizan como teléfono móvil el modelo Siemens S46. Aún cuando no abrieron el correo electrónico, que comenzaba con el texto "Need Help With International Dialing", algunos llegaron a pensar que se trataba de algún virus o troyano escondido en sus equipos, capaz de robarles la libreta de direcciones y aprovecharse de sus capacidades de correo electrónico. Aún se ignora si los suscriptores afectados fueron víctimas de un ataque deliberado, que sería el primero en los Estados Unidos que involucraría teléfonos celulares, o solo un problema de un software con errores dentro de los dispositivos, dijo el representante de la empresa alemana Siemens al ser consultado el viernes. El modelo S46 utiliza partes del mismo código que la compañía emplea en otros dos modelos, disponibles sólo en Europa y que fueron retirados en marzo de este año a raíz de una serie de correos electrónicos posiblemente maliciosos. Estos incidentes reavivan las preocupaciones acerca de la posibilidad de que el SPAM y los virus tan comunes en las computadoras personales, puedan comenzar a esparcirse a otros dispositivos inalámbricos. El SPAM en los teléfonos celulares, llegó a merecer la atención de la reciente "cumbre del correo masivo" de la Comisión Federal de Comercio de Estados Unidos, llevada a cabo la pasada semana en Washington, D.C. Pero los casos de ataques maliciosos en teléfonos celulares, son aún extremadamente raros, aunque esto puede cambiar a medida que los fabricantes ofrezcan más modelos con la capacidad de descargar software a través de las redes inalámbricas, las que son sumamente vulnerables. Los ataques más conocidos hasta el momento, ocurrieron en Japón en el año 2001, cuando un correo enviado a suscriptores de la compañía japonesa NTT DoCoMo era capaz de marcar el número para emergencias utilizado en ese país (ver "Su celular tiene un mensaje. No responda, es un virus", http://www.vsantivirus.com/18-06-01.htm). Hasta ahora, lo cierto es que en todos los modelos de la serie *45 de Siemens, se han encontrado algunas vulnerabilidades. Una de ellas, recientemente reportada en una lista de seguridad, indica que solo es necesario la recepción de un mensaje SMS especial (Short Message Service, o sea un correo electrónico que puede ser leído en la pantalla del celular), para que el teléfono sea desconectado sin ninguna advertencia, y sin posibilidad de volver a conectarse. Una suscriptora que recibió el misterioso mensaje la pasada semana, dijo que ella lo borró, pensando se trataba de SPAM, pero luego se encontró también con una extraña entrada en donde se guardan las direcciones y números telefónicos, y entonces trató también de borrarla, Como resultado obtuvo el mensaje de que su libreta de direcciones estaba corrupta y ya no pudo volver a enviar correo electrónico. La compañía AT&T, ofreció reemplazar esos modelos por diez dólares más los gastos de envío, dijeron los suscriptores damnificados. Ese modelo se vende en Estados Unidos a cincuenta dólares después de los descuentos. Un representante de AT&T dijo no estar seguro de esa situación y no tenía un comentario inmediato sobre el tema. * Relacionados Volumen del correo masivo amenaza futuro del e-mail http://www.vsantivirus.com/04-05-02.htm Su celular tiene un mensaje. No responda, es un virus http://www.vsantivirus.com/18-06-01.htm La próxima frontera: virus en teléfonos celulares http://www.vsantivirus.com/11-03-02.htm ¿Troyanos en teléfonos móviles? http://www.vsantivirus.com/29-11-01.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Validación incorrecta de parámetros para fonts en IE _____________________________________________________________ http://www.vsantivirus.com/vul-dialog-font.htm Validación incorrecta de parámetros para fonts en IE Por Redacción VSAntivirus vsantivirus@videosoft.net.uy El Internet Explorer no valida adecuadamente los parámetros que indican tipo y tamaño de los fonts en los cuadros de diálogo. Esto permite que un script de un cuadro de diálogo de un dominio, se ejecute en un dominio diferente, incluyendo la zona local (Mi PC). El Internet Explorer proporciona dos métodos (showModalDialog y showModelessDialog) para mostrar los cuadros de diálogo. Ambos métodos requieren parámetros URI (Universal Resource Identifier), que especifiquen la fuente usada en el contenido del cuadro. Como una opción, se permite indicar estos datos con la misma sintaxis usada en las hojas de estilo (Ej.: "font:3;font-size:4"). Un cuadro de diálogo está sujeto a las mismas restricciones de otros objetos DHTML, un script ejecutado en un cuadro, no tiene acceso a los datos de cuadros de un dominio diferente o a través de un protocolo diferente. Por un error en la validación de los parámetros URI para los fonts en el cuadro de diálogo en un dominio, la limitación mencionada no funciona, y se puede acceder a los datos de otro dominio. Un script puede leer entonces ciertos archivos y datos (como por ejemplo las cookies), guardadas en nuestro PC pero pertenecientes a otro sitio Web (para ayudar en la navegación, cada sitio puede guardar por defecto sus cookies en nuestra computadora). Un atacante puede convencer al usuario para que acceda a un documento HTML con parámetros URI especialmente modificados, como una página Web o un correo electrónico con formato HTML, de modo que pueda llegar a obtener datos de otro dominio, o leer archivos de la propia computadora de su víctima. El documento deberá ser leído en una zona donde esté habilitado el Active Scripting. Son afectados el Internet Explorer, Outlook, Outlook Express, MSN Messenger, Eudora, Lotus Notes, Adobe PhotoDeluxe, AOL, y cualquier otro software que utilice el control WebBrowser ActiveX. * Solución: Instalar el último parche acumulativo para el IE: http://www.vsantivirus.com/vulms03-015.htm * Solución alternativa (para Internet Explorer): Configurar el Internet Explorer como se explica aquí: http://www.vsantivirus.com/faq-sitios-confianza.htm * Más detalles Microsoft Internet Explorer does not adequately validate... http://www.kb.cert.org/vuls/id/244729 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Peido.B. Descarga y ejecuta otro troyano _____________________________________________________________ http://www.vsantivirus.com/peido-b.htm Nombre: Troj/Peido.B Tipo: Caballo de Troya en Visual Basic Script Alias: VBS.Inor.B, TrojanDropper.VBS.Inor Relacionados: Troj/Inor.A (Troj/DLoader-BO) Fecha: 7/may/03 Plataforma: Windows 32-bits Este troyano, libera al Troj/Inor.A (ver "Descarga y ejecuta al troyano "Jeem.A", http://www.vsantivirus.com/inor-a.htm). Se presenta como un correo administrativo, simulando provenir del servidor de correo de la víctima (el "Mailer-Daemon" del mismo dominio, por ejemplo "MAILER-DAEMON@adinet.com.uy") con el siguiente texto: THIS IS A WARNING MESSAGE ONLY YOU DO NOT NEED TO RESEND YOUR MESSAGE Cómo datos adjuntos, utiliza el archivo ERROR.HTA. El código de ERROR.HTA, incluye además un script de Visual Basic (VBS) que libera un archivo en la carpeta de Windows y luego lo ejecuta: c:\Windows\sys_con.exe El archivo creado y luego ejecutado, es el troyano "Troj/Inor.A" ("Troj/Dloader-BO", etc.). * Reparación manual 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: VSantivirus No. 499 - 19/nov/01 Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano Desde el Explorador de Windows, localice y borre el archivo con alguno de estos nombres que aparezca: c:\Windows\sys_con.exe Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'. Borre también los mensajes electrónicos similares al descripto antes (ERROR.HTA). * Sobre el troyano "Troj/Inor.A" Siga las siguientes instrucciones para limpiar la infección con este troyano: Troj/Inor.A. Descarga y ejecuta al troyano "Jeem.A" http://www.vsantivirus.com/inor-a.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Referencias: Troj/Inor.A. Descarga y ejecuta al troyano "Jeem.A" http://www.vsantivirus.com/inor-a.htm Nueva forma de ataques masivos a través de troyanos http://www.vsantivirus.com/13-11-02.htm Troj/Backdoor.Jeem.A. Lo instala el troyano "Inor.A" http://www.vsantivirus.com/back-jeem-a.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Yipper. Roba direcciones electrónicas _____________________________________________________________ http://www.vsantivirus.com/yipper.htm Nombre: Troj/Yipper Tipo: Caballo de Troya robador de direcciones Alias: PWS-Yipper, Trojan.Spy.Yitai, Yipper, Yitai Fecha: 6/may/03 Yipper es una familia de troyanos robadores de direcciones electrónicas, escritos en Visual Basic. Las direcciones robadas podrían ser utilizadas por un spammer para el envío de correo basura. Existen al menos tres variantes detectadas todas el 6 de mayo de 2003. Este troyano no se instala a si mismo en el sistema, solo colecciona direcciones de correo electrónico y las envía a dos direcciones preestablecidas de Israel. La variante B queda residente en memoria, mientras que la A y la C terminan su ejecución después de enviar las listas de direcciones. VARIANTE: Yipper.A Esta variante envía direcciones de correo robadas a la siguiente dirección de Israel: yitai342@012.net.il El mensaje es enviado con el texto "Hi" como asunto. El cuerpo del mensaje contiene las direcciones tomadas de la libreta de direcciones del usuario infectado. Esta versión finaliza su ejecución luego de enviar el mensaje. VARIANTE: Yipper.B Esta segunda variante fue enviada a muchas personas en un correo electrónico con el siguiente adjunto: FindMyMatch.exe Esta variante envía direcciones de correo robadas a la siguiente dirección de Israel: yipai342@netvision.net.il El mensaje es enviado con el texto "NewWorld" como asunto. El cuerpo del mensaje contiene las direcciones encriptadas tomadas de la libreta de direcciones de la víctima. Esta versión queda residente en memoria luego de ejecutarse. VARIANTE: Yipper.C Esta variante es muy similar a la primera (A). Envía las direcciones de correo robadas a la siguiente dirección de Israel: yitai342@012.net.il El mensaje es enviado con el texto "Hi" como asunto. El cuerpo del mensaje contiene las direcciones tomadas de la libreta de direcciones del usuario infectado. Esta versión finaliza su ejecución luego de enviar el mensaje. El troyano no se copia a si mismo en el sistema, y no modifica ningún archivo, ni tampoco entrada alguna en el registro. Los siguientes nombres de archivos han sido usados para su propagación: yitai.exe FindMyMatch.exe NikeStock.exe TeenViewer.exe El troyano no se propaga por si solo, pero se ha enviado en forma premeditada a muchas personas y listas de noticias, generalmente bajo la premisa de que es una inocente utilidad. Otros canales de distribución pueden ser los canales de IRC y redes P2P como KaZaa y otros. * Reparación manual Actualice y ejecute un antivirus. Jamás abra adjunto alguno no solicitado. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - ¡Gane su licencia gratis del antivirus NOD32! _____________________________________________________________ ¡Ya se entregaron tres licencias del antivirus Nod32! IMPORTANTE: El viernes 2 de mayo no hubo sorteo de la lotería uruguaya, por lo tanto el próximo Nod32 será sorteado con el primer premio de la lotería de la próxima semana, el 9 de mayo. El anterior sorteo de la tercera de las cinco licencias del antivirus Nod32, que VSAntivirus.com ha decidido compartir con sus lectores para festejar la edición número 1000 de su boletín, fue realizado el viernes 25 de abril. Gracias a Ontinet.com, distribuidor exclusivo en España del producto, Luis Parra de Chile, se hizo acreedor en esa oportunidad de un paquete del antivirus Nod32. Estos son los datos: * Tercer ganador (25/abr/03): - Primer premio lotería uruguaya viernes 25/abr/04: 11654 http://www.loteria.gub.uy/loteria_20030425.htm - Ganador por aproximación (11659): Luis Parra (Chile) Formulario enviado el 7/04/2003 19:25 * Segundo ganador (11/abr/03): - Primer premio lotería uruguaya viernes 11/abr/04: 03469 http://www.loteria.gub.uy/loteria_20030411.htm - Ganador por aproximación (03400): Miguel Domínguez (España) Formulario enviado el 2/04/2003 15:43 * Primer ganador (4/abr/03): - Primer premio lotería uruguaya viernes 4/abr/04: 03665 http://www.loteria.gub.uy/loteria_20030404.htm - Ganador por aproximación (03655): David León Magaña (México) Formulario enviado el 2/04/2003 18:56 El próximo viernes 9 de mayo sorteamos la cuarta licencia. * Formulario de inscripción 1. Para participar en el sorteo de las dos licencias restantes del antivirus Nod32 ingrese su dirección electrónica, nombre y país en el formulario de la siguiente página: http://www.vsantivirus.com/sorteo.htm 2. En un plazo no mayor de 12 horas, recibirá un número generado al azar con el que participará. Dicho número es único y será válido hasta la finalización del sorteo. Sin embargo, se aceptará solo un acierto por número. 3. Cada fin de semana hasta completar el sorteo de las cinco licencias, todo número coincidente con las cifras finales del primer premio del sorteo semanal de la Lotería Uruguaya (http://www.loteria.gub.uy/default.htm), se hará acreedor de la licencia válida por un año de un paquete personal del Antivirus Nod32, cedido a VSAntivirus por Ontinet.com, S.L, distribuidor exclusivo en España del mismo. 4. En caso de no coincidir ningún número con el primer premio, se hará acreedor el más cercano al mismo y se publicará su nombre en nuestro sitio. Para evitar el SPAM, no se mostrará su dirección de correo completa. 5. El ganador será avisado de los pasos siguientes para hacerse de su premio. Su número no participará en el resto de los sorteos hasta completar los cinco paquetes sorteados. 6. Podrán participar todos los suscritos a nuestro boletín, y no se enviará más de un número por dirección suscrita. 7. Si la dirección electrónica utilizada no coincide con la de un usuario registrado, no será enviado ningún número para participar. Asegúrese de que la dirección es la misma que figura al pie de cada boletín, donde dice : "Este boletín es enviado a: [aquí va su dirección]" 8. Los sorteos se realizarán todos los viernes hasta entregar las cinco licencias de Nod32. * Más información: Festejamos los 1000 regalando cinco licencias de Nod32 http://www.vsantivirus.com/sorteo-1000.htm Ya tiene dueño otra licencia de Nod32 http://www.vsantivirus.com/ganadores.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1034, Año 7, Miércoles 7 de mayo de 2003