Mostrando mensaje 697     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1648 Año 9, lunes 10 de enero de 2005 Fecha: Lunes, 10 de Enero, 2005  06:53:06 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1648 Año 9, lunes 10 de enero de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Tres vulnerabilidades críticas en Internet Explorer 2 - Lnk/Acespades.A. Primer infector de archivos LNK 3 - Troj/Small.BU. Abre páginas no deseadas en el IE _____________________________________________________________ 1 - Tres vulnerabilidades críticas en Internet Explorer _____________________________________________________________ http://www.vsantivirus.com/vul-ie-100105.htm Tres vulnerabilidades críticas en Internet Explorer Por Angela Ruiz angela@videosoft.net.uy Algunas vulnerabilidades descubiertas en Internet Explorer, pueden ser explotadas por usuarios maliciosos para comprometer los sistemas afectados, a través de la ejecución de secuencias de comandos ActiveX (scripting) en zonas de seguridad cruzadas o eludiendo las características de seguridad implementadas en Windows XP SP2, según publica Secunia. Algunas de estas vulnerabilidades son variantes de otras recientemente anunciadas, algunas de ellas aún no corregidas. Vulnerabilidad 1. Se produce por una insuficiente validación en los eventos de arrastrar y soltar desde la zona "Internet" hacia recursos locales utilizando archivos de imágenes válidos o de multimedia embebidos en código HTML. Esto puede ser explotado por ejemplo, por un sitio web malicioso para plantar en forma arbitraria documentos HTML en el sistema del usuario, que pueden permitir la ejecución de scripts en la zona de seguridad local. Se trata de una variante de la siguiente vulnerabilidad: Grave vulnerabilidad "Drag and Drop" en IE http://www.vsantivirus.com/vul-ie-drag-and-drop.htm NOTA: Microsoft Windows XP SP2 no permite ejecución de secuencia de comandos (Active Scripting), en la zona de seguridad local. Vulnerabilidad 2. Un error de restricción de zonas de seguridad cuando un control embebido en un archivo de ayuda HTML, por ejemplo cuando un sitio web malicioso hace referencia a un archivo índice (.HHK) especialmente modificado, puede ejecutar un documento HTML local o inyectar un script en el contexto de un documento previamente cargado utilizando un javascript conteniendo un enlace (URL) malicioso. La explotación exitosa de este fallo puede permitir la ejecución de un HTML y un script en la sesión del navegador del usuario actual, en el contexto de un sitio arbitrario, o ejecutar un programa local con parámetros desde la zona de seguridad local, utilizando un enlace a un archivo de ayuda HTML. NOTA: Esto puede eludir las restricciones de seguridad en la zona local del SP2 de Windows XP. Vulnerabilidad 3. Un error de restricción de zonas de seguridad en el manejo del comando "Temas relacionados" en un control embebido en archivos de ayuda HTML, puede ser explotado por un sitio web malicioso para ejecutar un script en forma arbitraria, en el contexto de la zona o sitio visitado. NOTA: Esto puede eludir las restricciones de seguridad en la zona local del SP2 de Windows XP. Secunia ha publicado un test que puede ser utilizado para comprobar esta vulnerabilidad en el siguiente enlace: http://secunia.com/internet_explorer_command_execution_vulnerability_test/ NOTA: la prueba puede pedir la instalación del control ActiveX "hhctrl.ocx". Las vulnerabilidad 1 y 2, o la 3 por si sola, en combinación con un comportamiento inadecuado de un modelo de ActiveX Data Object (ADO), pueden escribir archivos en forma arbitraria comprometiendo el sistema del usuario. Esto ha sido comprobado en sistemas con Internet Explorer 6 y Windows XP SP2 con todos los parches y actualizaciones al día. * Software afectado: - Microsoft Internet Explorer 6 * Solución alternativa: Configurar Internet Explorer como se recomienda en el siguiente artículo: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm Esto disminuye el riesgo de abrir páginas maliciosas en sitios peligrosos, pero no evita que un usuario confiado siga enlaces o descargue archivos de sitios no confiables sin tomar las precauciones mínimas. * Créditos y colaboraciones: 1. http-equiv, Andreas Sandblad (Secunia Research) 2. http-equiv, Roozbeh Afrasiabi 3. Paul, Greyhats Security, Michael Evanchik, ShredderSub7 * Más información: Grave vulnerabilidad "Drag and Drop" en IE http://www.vsantivirus.com/vul-ie-drag-and-drop.htm MS04-038 Actualización acumulativa para IE (834707) http://www.vsantivirus.com/vulms04-038.htm Internet Explorer SP2: Ejecución automática de código 2 http://www.vsantivirus.com/vul-iesp2-291204.htm Internet Explorer SP2: Ejecución automática de código http://www.vsantivirus.com/vul-iesp2-261204.htm Acceso a contenido local con Microsoft Help ActiveX http://www.vsantivirus.com/vul-ie-help-activex-271104.htm Internet Explorer: XSS en DHTML Edit ActiveX Control http://www.vsantivirus.com/vul-ie-dhtml-activex-161204.htm * Referencias: Secunia Advisory: SA12889 Microsoft Internet Explorer Multiple Vulnerabilities http://secunia.com/advisories/12889/ Microsoft Internet Explorer XP SP2 Fully Automated Remote Compromise http://freehost07.websamba.com/greyhats/sp2rc-analysis.htm Microsoft Internet Explorer Drag and Drop Vulnerability http://secunia.com/advisories/12321/ Cómo facilitar la protección del equipo ante el problema de seguridad Click and Scroll de Internet Explorer http://support.microsoft.com/kb/888534 Cómo deshabilitar contenido activo en Internet Explorer http://support.microsoft.com/kb/154036 US-CERT VU#939688: http://www.kb.cert.org/vuls/id/939688 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Lnk/Acespades.A. Primer infector de archivos LNK _____________________________________________________________ http://www.vsantivirus.com/lnk-acespades-a.htm Nombre: Lnk/Acespades.A Tipo: Virus infector de .LNK Alias: Acespades, LNK_ACESPADES.A, Win32/Acespades.A Fecha: 9/ene/05 Plataforma: Windows NT, 2000 y XP Tamaño: 2 KB (aprox.) Se trata del primer virus conocido del tipo LNK que infecta otros archivos con esa extensión (un archivo .LNK es un acceso directo a un programa). Llega a la computadora en un archivo con dicha extensión como adjunto de un mensaje no deseado (spam), o descargado de sitios no confiables o de redes P2P. Cuando el usuario lo ejecuta (doble clic), abre una línea de comandos, y reemplaza todos los accesos directos (.LNK) en la carpeta actual por una copia de si mismo. Si el usuario descarga el archivo y lo ejecuta en el escritorio (donde suelen colocarse por comodidad la mayoría de los accesos directos a múltiples programas y aplicaciones), todos esos accesos serán suplantados por el virus. El virus no realiza ninguna otra acción, y parece estar creado como una prueba de concepto, aunque existe por lo menos un reporte de incidencias del mismo. El virus se ejecuta solo en Windows NT, 2000 y XP. Los archivos .LNK sobrescritos deberán ser restaurados de un respaldo limpio o vueltos a crear. * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, y ejecútelo para eliminar todas las apariciones de este virus. NOTA: Los archivos .LNK sobrescritos deberán ser restaurados de un respaldo limpio o vueltos a crear. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Small.BU. Abre páginas no deseadas en el IE _____________________________________________________________ http://www.vsantivirus.com/troj-small-bu.htm Nombre: Troj/Small.BU Nombre NOD32: Win32/Small.BU Tipo: Caballo de Troya Alias: Small.BU, Memtest, Troj/Blob-A, TROJ_MEMTEST.A, Trojan.Roxabi, Trojan.Win32.Agent.x, Win32/Small.BU Fecha: 9/ene/05 Plataforma: Windows 32-bit Tamaño: 9,126 bytes Se trata de un troyano que permanece residente en memoria, y redirecciona al usuario a diferentes sitios Web al navegar. Puede llegar en un correo electrónico, o ser descargado de sitios específicos. Cuando el usuario abre una ventana del navegador, el troyano lo redirecciona a la siguiente dirección de Internet (esto puede variar): http://www.aawe????earch.com El sitio mostrará contenido variado, tanto en una sola ventana del navegador, como en múltiples ventanas abiertas también por el troyano. El usuario puede ver en una ventana un sitio de entretenimientos, mientras en las otras ventanas se muestra diverso contenido para adultos. Cada vez que el navegador es refrescado (actualizado su contenido), la página que se muestra será diferente. El troyano crea las siguientes entradas en el registro de Windows para asegurar su autoejecución en cada reinicio, y para tomar el control de la navegación con el Internet Explorer: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks {????????-????-????-????-????????????} HKCU\Software\Microsoft\Windows \CurrentVersion\Internet Settings\Zones\2 1001 = 0 1004 = 0 1200 = 0 1201 = 0 1405 = 0 Flags = 43 http = 0 HKCU\Software\Microsoft\SystemCertificates \Root\Certificates\[cadena al azar de 40 caracteres]\Blob HKCU\Software\Microsoft\WindowsCurrentVersion\Run [nombre al azar] = [camino y nombre del troyano] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [nombre al azar] = [camino y nombre del troyano] HKCR\CLSID \{????????-????-????-????-????????????}\InProcServer32 (Predeterminado) = [camino y nombre del troyano] HKLM\SOFTWARE\Classes\CLSID \{????????-????-????-????-????????????}\InProcServer32 (Predeterminado) = [nombre del troyano] Donde {????????-????-????-????-????????????} es un CLSID (Class identifier, o Identificador de clase), seleccionado al azar. También agrega valores (diferentes dominios), en la siguiente entrada del registro: HKCU\Software\Microsoft\Windows \CurrentVersion\Internet Settings\ZoneMap\Domains El troyano crea el siguiente mutex para no ejecutarse más de una vez al mismo tiempo en memoria: CDA62362 * Reparación manual * Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el editor del registro, haga clic en la carpeta "Mi PC" de la ventana izquierda, seleccione el menú desplegable "Edición", "Buscar", y escriba en la ventana "Buscar" que será desplegada el nombre del archivo detectado en el punto 3 del ítem "Antivirus" 3. Cuando encuentre una clave como la siguiente: HKEY_CLASSES_ROOT \CLSID \{????????-????-????-????-????????????} \InProcServer32 (Predeterminado) = [nombre del archivo buscado] Tome nota del valor "{????????-????-????-????-????????????}" y borre dicha carpeta. 4. En el editor del registro, haga clic en la carpeta "Mi PC" de la ventana izquierda, seleccione el menú desplegable "Edición", "Buscar", y escriba en la ventana "Buscar" que será desplegada el valor "{????????-????-????-????-????????????}" y borre todas las entradas que aparezcan. 5. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Internet Settings \ZoneMap \Domains 6. Haga clic en la carpeta "Domains", y en la misma ventana borre las carpetas con nombres de sitios no deseados. 7. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Internet Settings \Zones \2 8. Haga clic en la carpeta "2", y modifique si es necesario, las siguientes entradas para que queden con los siguientes valores: 1001 = 0 1004 = 1 1200 = 0 1201 = 1 1405 = 0 Flags = 43 9. En la misma carpeta "2", borre el siguiente valor: http = 0 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \SystemCertificates \Root \Certificates \[cadena al azar de 40 caracteres] \Blob 11. Borre la carpeta [cadena al azar de 40 caracteres]. 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \WindowsCurrentVersion \Run 13. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 15. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 16. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1648 Año 9, lunes 10 de enero de 2005