Mostrando mensaje 668     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1619 Año 8, domingo 12 de diciembre de 2004 Fecha: Domingo, 12 de Diciembre, 2004  03:26:02 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1619 Año 8, domingo 12 de diciembre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - IE: Ofuscación de URI en panel de búsqueda 2 - DoS local en Kerio Personal Firewall (KPF) 3 - Opera: Falsificación de nombres en diálogo de descarga 4 - VBS/Junkmail.A. Datos adjuntos: "xaudio_sound.mp3.vbe" _____________________________________________________________ 1 - IE: Ofuscación de URI en panel de búsqueda _____________________________________________________________ http://www.vsantivirus.com/vul-ie-uri-111204.htm IE: Ofuscación de URI en panel de búsqueda Por Angela Ruiz angela@videosoft.net.uy Una vulnerabilidad que provoca la ofuscación de un URI en el panel de búsqueda, ha sido detectada en Internet Explorer. El problema ocurre por un fallo de la aplicación al presentar el URI contenido en un HTML con código script, cuando es cargado en el panel de búsqueda. URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario @ dominio, etc.). Esta debilidad puede servir a un atacante para mostrar información falsificada en la barra de direcciones del navegador, al cargar un sitio Web de terceros en el panel de búsqueda. El atacante puede entonces presentarle al usuario páginas web maliciosas, haciéndole creer que pertenecen a un sitio de confianza, aplicando de ese modo técnicas de phishing (suplantación de un sitio o persona real para obtener información confidencial, como datos de tarjetas de crédito, cuentas bancarias, contraseñas, etc.). Otras clases de ataques también pueden ser posibles. No se requiere ningún exploit para tomar ventaja de este fallo, y se ha publicado un script que reproduce el mismo. * Software vulnerable: - Microsoft Internet Explorer 6.0 SP2 - Microsoft Internet Explorer 6.0 SP1 - Microsoft Internet Explorer 6.0 * Solución Al momento actual no existe ningún parche publicado para este problema. * Créditos: http-equiv Referencias: Address Bar Spoophing for the Pheeshies: IntotheNet Explorer 6 http://www.securityfocus.com/archive/1/383717 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - DoS local en Kerio Personal Firewall (KPF) _____________________________________________________________ http://www.vsantivirus.com/vul-kpf-doslocal-111204.htm DoS local en Kerio Personal Firewall (KPF) Por Angela Ruiz angela@videosoft.net.uy Kerio Personal Firewall (KPF) es un cortafuego de uso personal que protege la computadora de ataques externos vía Internet. Para sus funciones, como cualquier otro programa de Windows, establece un control sobre determinadas APIs, de las que recibe información. API (Interface de programa de aplicación), es un conjunto de rutinas que cualquier programa de Windows puede utilizar para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo, y es también un conjunto de convención de llamadas en programación que definen cómo se debe invocar un servicio a través de la aplicación. Debido a que KPF no filtra adecuadamente los datos que recibe de las APIs a las que se engancha, ciertos parámetros enviados pueden hacer que el programa falle con una excepción no esperada. Esto puede provocar que el kernel de Windows también falle, lo que causaría un extenso ataque DoS (denegación de servicio), en el que todo el sistema deja de responder. Un atacante local puede explotar esta vulnerabilidad para denegar el acceso a usuarios legítimos. Se ha publicado en Internet el código de un exploit que provoca este fallo. * Software vulnerable: - Kerio Personal Firewall 4.0.6 - Kerio Personal Firewall 4.0.7 - Kerio Personal Firewall 4.0.8 - Kerio Personal Firewall 4.0.9 - Kerio Personal Firewall 4.0.10 - Kerio Personal Firewall 4.0.16 - Kerio Personal Firewall 4.1 - Kerio Personal Firewall 4.1.1 - Kerio Personal Firewall 4.1.2 - Kerio Personal Firewall 2 2.1 - Kerio Personal Firewall 2 2.1.1 - Kerio Personal Firewall 2 2.1.2 - Kerio Personal Firewall 2 2.1.3 - Kerio Personal Firewall 2 2.1.4 - Kerio Personal Firewall 2 2.1.5 * Soluciones No hay actualmente ninguna solución publicada. * Créditos: Cesar <sqlsec@yahoo.com> * Referencias: Kerio http://www.kerio.com/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Opera: Falsificación de nombres en diálogo de descarga _____________________________________________________________ http://www.vsantivirus.com/vul-opera-111204.htm Opera: Falsificación de nombres en diálogo de descarga Por Angela Ruiz angela@videosoft.net.uy Secunia Research ha descubierto una vulnerabilidad en el navegador Opera, la cuál puede ser explotada para engañar a un usuario confiado a los efectos que llegue a ejecutar archivos maliciosos. La vulnerabilidad es causada debido a que ni el nombre de archivo ni el contenido de la cabecera cuando se usa la etiqueta "Content-Type", son debidamente validados antes de ser mostrados en la ventana de descarga de archivos. Esto puede ser explotado para disfrazar cierta clase de archivos al ser descargados, utilizando en la cabecera etiquetas "Content-Disposition" y "Content-Type" maliciosamente modificadas con puntos y caracteres ASCII 160 estratégicamente ubicados. De ese modo el usuario no verá la verdadera naturaleza de ciertos archivos, pudiendo ser engañado para ejecutar archivos maliciosos. * Software afectado: La vulnerabilidad ha sido confirmada en Opera para Windows 7.54 y anteriores. * Solución: Descargar e instalar la versión 7.54u1 o superior desde el siguiente enlace: http://www.opera.com/download/ * Créditos: Andreas Sandblad, Secunia Research. * Referencias: Opera Download Dialog Spoofing Vulnerability http://secunia.com/secunia_research/2004-19/advisory/ Advisory: Opera security advisory 2004-12-10 http://www.opera.com/support/search/supsearch.dml?index=782 Opera Download Dialog Spoofing Vulnerability http://secunia.com/advisories/12981/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - VBS/Junkmail.A. Datos adjuntos: "xaudio_sound.mp3.vbe" _____________________________________________________________ http://www.vsantivirus.com/junkmail-a.htm Nombre: VBS/Junkmail.A Tipo: Gusano de Visual Basic Script Alias: Junkmail, Win32/Junkmail.A, VBS.Junkmail@mm Fecha: 11/dic/04 Plataforma: Windows 32-bit Tamaño: 7,042 bytes Gusano escrito en Visual Basic Script, que se envía de forma masiva por correo electrónico simulando ser un archivo MP3, en mensajes como el siguiente: Asunto: [uno de los siguientes] - Surprise - Important - Imformation Texto del mensaje: All you need to know... (in the audio file) Datos adjuntos: xaudio_sound.mp3.vbe Cuando se ejecuta el archivo adjunto (doble clic), el gusano examina el disco C en busca de archivos con las siguientes extensiones: .bat .bkf .bmp .com .dll .gif .jpg .mp3 .txt .wma Luego, se copia a si mismo con cada nombre de archivo encontrado, pero agregando una segunda extensión: .vbs También se copia con los siguientes nombres y ubicaciones: c:\windows\mapidll.vbs c:\windows\shell32.vbs c:\windows\system32\netdll.vbs xaudio_sound.mp3.vbe También crea el siguiente archivo: c:\windows\readme.htm Luego, se envía a todos los contactos de la libreta de direcciones, utilizando el Microsoft Outlook y Outlook Express, en un mensaje como el descrito antes. Intenta modificar el registro para autoejecutarse en cada reinicio, pero no lo logra. En cambio, modifica las siguientes entradas en el registro para deshabilitar el Administrador de tareas y la característica "timeout" (fuera de tiempo), en algunos Windows: HKCU\Software\Microsoft \Windows\CurrentVersion\Policies\System DisableTaskMgr = "dword: 1" HKCU\Software\Microsoft\Windows Scripting Host\Setting Timeout = "dword: 0" Luego, busca todos los archivos en el disco duro con las siguientes extensiones: .doc .htm .inf .txt Y les agrega una cantidad variable al azar de líneas, conteniendo el siguiente texto: I'm the BEST * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\mapidll.vbs c:\windows\shell32.vbs c:\windows\system32\netdll.vbs c:\windows\readme.htm * En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: xaudio_sound.mp3.vbe 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: xaudio_sound.mp3.vbe 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Haga clic en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \System 3. Haga clic en la carpeta "System" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DisableTaskMgr 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows Scripting Host \Setting 5. Haga clic en la carpeta "Setting" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Timeout 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1619 Año 8, domingo 12 de diciembre de 2004