Mostrando mensaje 699     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1650 Año 9, miércoles 12 de enero de 2005 Fecha: Miercoles, 12 de Enero, 2005  06:43:01 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1650 Año 9, miércoles 12 de enero de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - MS05-001 HTML Help permite ejecución de código (890175) 2 - MS05-002 Vulnerabilidad en cursores e iconos (891711) 3 - MS05-003 Vulnerabilidad en servicio de indexado (871250) 4 - Mozilla, Firefox y Opera eluden inspección de imágenes 5 - W32/Wurmark.D. Datos adjuntos: ATTACHED.ZIP _____________________________________________________________ 1 - MS05-001 HTML Help permite ejecución de código (890175) _____________________________________________________________ http://www.vsantivirus.com/vulms05-001.htm MS05-001 HTML Help permite ejecución de código (890175) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se ha detectado un problema de seguridad en el objeto "HTML Help ActiveX control" en Windows, que permite la revelación de información o la ejecución remota de código, permitiendo a un usuario malintencionado poner en peligro un sistema basado en Windows y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Después de instalarla, es posible que deba reiniciar el equipo. * Nivel de gravedad: Crítica * Impacto: Ejecución remota de código * Fecha de publicación: 11 de enero de 2005 * Software afectado: - Microsoft Windows 2000 SP3 y Microsoft Windows 2000 SP4 - Microsoft Windows XP SP1 y Microsoft Windows XP SP2 - Microsoft Windows XP 64-Bit Edition Service Pack 1 - Microsoft Windows XP 64-Bit Edition Version 2003 - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 64-Bit Edition - Microsoft Windows 98 - Microsoft Windows 98 Second Edition (SE) - Microsoft Windows Millennium Edition (Me) * Software NO afectado: - Microsoft Windows NT Server 4.0 SP6a - Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 * Componentes afectados: - Internet Explorer 6.0 SP1 en Microsoft Windows NT 4.0 El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft. La versión original de Windows XP está fuera del ciclo de soporte extendido, finalizado el 30 de setiembre de 2004, por lo que se recomienda su actualización a Windows XP SP1 o superior. La versión original de Windows 2000 Service Pack 2, está fuera del ciclo de soporte extendido, finalizado el 30 de junio de 2004. Las versiones anteriores de Windows (98, 98 SE y Me), ya no poseen soporte y solo se proporciona actualizaciones en fallos críticos a través de Windows Update. Versiones anteriores ya no poseen ninguna clase de soporte. Windows NT Server 4.0 y Windows NT 4.0 Terminal Server Edition por defecto no son afectados por esta vulnerabilidad. Sin embargo, si usted tiene instalado Internet Explorer 6.0 Service Pack 1, única versión de Internet Explorer soportada para Windows NT 4.0, su sistema está afectado por esta vulnerabilidad. * Relacionados: Tres vulnerabilidades críticas en Internet Explorer http://www.vsantivirus.com/vul-ie-100105.htm Internet Explorer SP2: Ejecución automática de código 2 http://www.vsantivirus.com/vul-iesp2-291204.htm Internet Explorer SP2: Ejecución automática de código http://www.vsantivirus.com/vul-iesp2-261204.htm Internet Explorer: XSS en DHTML Edit ActiveX Control http://www.vsantivirus.com/vul-ie-dhtml-activex-161204.htm Acceso a contenido local con Microsoft Help ActiveX http://www.vsantivirus.com/vul-ie-help-activex-271104.htm * Descripción Esta actualización resuelve una vulnerabilidad recientemente descubierta y reportada públicamente. Se trata de una vulnerabilidad del tipo "dominio cruzado" (cross-domain vulnerability), en el objeto "HTML Help ActiveX control" en Windows, que permite la revelación de información o la ejecución remota de código en los sistemas afectados. Un atacante puede explotar esta vulnerabilidad construyendo un sitio web malicioso que puede hacer que al ser visitado por un usuario desprevenido, se ejecute código potencialmente peligroso en su equipo, sin ninguna clase de advertencia. Si el usuario actual tiene privilegios administrativos, un atacante podrá tomar el control total del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. Si el usuario actual no posee esos privilegios, el atacante también verá restringidas sus acciones. La vulnerabilidad es crítica en los sistemas mencionados (incluido Windows 98, 98 SE y ME), pero en este último caso, la única forma de actualización es mediante el "Windows Update Web site" en el siguiente enlace: http://go.microsoft.com/fwlink/?LinkId=21130 El riesgo de ejecución mediante un mensaje electrónico con formato HTML está reducido por la configuración impuesta por defecto en Outlook Express 6, Outlook 2002, y Outlook 2003. También está protegido Outlook 2000 si se ha instalado la actualización de seguridad correspondiente: Actualizaciones de Outlook 2000 http://office.microsoft.com/es-es/officeupdate/CD010225913082.aspx Página principal de las Descargas de Microsoft Office http://office.microsoft.com/es-es/officeupdate/default.aspx?displaylang=ES Outlook Express 5.5 SP2 está protegido si se instala el siguiente parche: MS04-018 Parche acumulativo para Outlook Express (823353) http://www.vsantivirus.com/vulms04-018.htm Para reducir los riesgos de otros vectores de ataques, también se sugiere la instalación del siguiente parche acumulativo (o posteriores): MS03-040 Actualización acumulativa para IE (828750) http://www.vsantivirus.com/vulms03-040.htm * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Actualización de seguridad para Windows 2000 (KB890175) Microsoft Windows 2000 SP3 y Microsoft Windows 2000 SP4 http://www.microsoft.com/downloads/details.aspx?familyid=BE1B1 1C0-EF09-4295-8FB2-0FF17BA65460&displaylang=es Actualización de seguridad para Windows XP (KB890175) Microsoft Windows XP SP1 y Microsoft Windows XP SP2 http://www.microsoft.com/downloads/details.aspx?familyid=43201 B00-298D-4C0C-A26F-AAEDF163FEB7&displaylang=es Actualización de seguridad para Windows Server 2003 (KB890175) Microsoft Windows Server 2003 http://www.microsoft.com/downloads/details.aspx?familyid=23E61 9FE-F6DB-4666-A247-339F55B059CC&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms05-001.mspx * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS05-001 www.microsoft.com/technet/security/bulletin/ms05-001.mspx Microsoft Knowledge Base Article - 890175 http://support.microsoft.com/?kbid=890175 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - MS05-002 Vulnerabilidad en cursores e iconos (891711) _____________________________________________________________ http://www.vsantivirus.com/vulms05-002.htm MS05-002 Vulnerabilidad en cursores e iconos (891711) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se ha detectado un problema de seguridad en el manejo del formato de cursores, cursores animados e iconos, que podría permitir a un usuario malintencionado poner en peligro un sistema basado en Windows y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Después de instalarla, es posible que deba reiniciar el equipo. * Nivel de gravedad: Crítica * Impacto: Ejecución remota de código * Fecha de publicación: 11 de enero de 2005 * Software afectado: - Microsoft Windows NT Server 4.0 Service Pack 6a - Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 - Microsoft Windows 2000 SP3 y Microsoft Windows 2000 SP4 - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP 64-Bit Edition Service Pack 1 - Microsoft Windows XP 64-Bit Edition Version 2003 - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 64-Bit Edition - Microsoft Windows 98 - Microsoft Windows 98 Second Edition (SE) - Microsoft Windows Millennium Edition (Me) * Software NO afectado: - Microsoft Windows XP Service Pack 2 El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft. La versión original de Windows XP está fuera del ciclo de soporte extendido, finalizado el 30 de setiembre de 2004, por lo que se recomienda su actualización a Windows XP SP1 o superior. La versión original de Windows 2000 Service Pack 2, está fuera del ciclo de soporte extendido, finalizado el 30 de junio de 2004. Las versiones anteriores de Windows (98, 98 SE y Me), ya no poseen soporte y solo se proporciona actualizaciones en fallos críticos a través de Windows Update. Versiones anteriores ya no poseen ninguna clase de soporte. * Esta actualización suplanta el siguiente parche: (Solo en Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003) MS03-045 Falla en "ListBox" y "ComboBox" (824141) http://www.vsantivirus.com/vulms03-045.htm * Relacionados: Fallo y DoS en Kernel de Windows con archivos .ANI http://www.vsantivirus.com/vul-win-kernel-231204.htm * Descripción Esta actualización resuelve dos vulnerabilidades recientemente descubiertas y reportadas en forma privada y también públicamente. Ambas vulnerabilidades se producen en el manejo del formato de cursores, cursores animados e iconos, y una de ellas puede permitir la ejecución remota de código. La explotación puede realizarse si se convence al usuario a abrir archivos de cursores o iconos especialmente modificados. Un atacante que explote exitosamente la más severa de estas vulnerabilidades puede llegar a tomar el control completo del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios, si el usuario actual tiene privilegios administrativos. Si el usuario actual no posee esos privilegios, el atacante también verá restringidas sus acciones. Las dos vulnerabilidades derivan de una insuficiente validación de los formatos al analizar sintácticamente los cursores, cursores animados e iconos, y por una comprobación inadecuada del número de cuadros especificado en el encabezamiento de los archivos .ANI. La extensión .ANI corresponde a los cursores animados de Windows (Windows Animated Cursor), que consisten en una cantidad determinada de cuadros (imágenes diferentes). Un atacante puede provocar el fallo en forma remota, a través de un archivo .ANI en una página Web maliciosa o desde un correo electrónico, de modo tal que el kernel de Windows calcule una dirección errónea para acceder a un cuadro y entonces falle, provocando el comportamiento errático del sistema, o la ejecución de código potencialmente peligroso. La segunda vulnerabilidad, aunque casi similar, puede hacer que el kernel utilice todos los recursos del procesador, haciendo que todo el sistema deje de responder. A pesar de que ambas vulnerabilidades se han hecho públicas, no se han reportado incidencias de ataques provocados por las mismas. El riesgo de explotación de estas vulnerabilidades mediante un mensaje electrónico con formato HTML está reducido por la configuración impuesta por defecto en Outlook Express 6, Outlook 2002, y Outlook 2003. También está protegido Outlook 2000 si se ha instalado la actualización de seguridad correspondiente: Actualizaciones de Outlook 2000 http://office.microsoft.com/es-es/officeupdate/CD010225913082.aspx Página principal de las Descargas de Microsoft Office http://office.microsoft.com/es-es/officeupdate/default.aspx?displaylang=ES Outlook Express 5.5 SP2 está protegido si se instala el siguiente parche: MS04-018 Parche acumulativo para Outlook Express (823353) http://www.vsantivirus.com/vulms04-018.htm Para reducir los riesgos de otros vectores de ataques, también se sugiere la instalación del siguiente parche acumulativo (o posteriores): MS03-040 Actualización acumulativa para IE (828750) http://www.vsantivirus.com/vulms03-040.htm La vulnerabilidad es crítica en los sistemas mencionados (incluido Windows 98, 98 SE y ME), pero en este último caso, la única forma de actualización es mediante el "Windows Update Web site" en el siguiente enlace: http://go.microsoft.com/fwlink/?LinkId=21130 Microsoft Windows XP Service Pack 2 no es afectado por esta vulnerabilidad. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Actualización de seguridad para Windows NT Server 4.0 (KB891711) Microsoft Windows NT Server 4.0 Service Pack 6a http://www.microsoft.com/downloads/details.aspx?familyid=46044 00A-287E-48CC-91B1-BEE44EEA588C&displaylang=es Actualización de seguridad para Windows NT 4.0, Terminal Server Edition (KB891711) Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 http://www.microsoft.com/downloads/details.aspx?familyid=94A0B 521-4C39-4D15-AA80-068C30476E6F&displaylang=es Actualización de seguridad para Windows 2000 (KB891711) Microsoft Windows 2000 Service Pack 3 and Microsoft Windows 2000 Service Pack 4 http://www.microsoft.com/downloads/details.aspx?familyid=722C6 C65-3F6C-4029-8EB7-D4612A785E78&displaylang=es Actualización de seguridad para Windows XP (KB891711) Microsoft Windows XP Service Pack 1 http://www.microsoft.com/downloads/details.aspx?familyid=88509 54D-57D9-4D23-9AA1-1CCF6085A057&displaylang=es Actualización de seguridad para Windows Server 2003 (KB891711) Microsoft Windows Server 2003 http://www.microsoft.com/downloads/details.aspx?familyid=CBCCA DF6-449A-4D74-937D-4087A6E6C1C2&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms05-002.mspx * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS05-002 www.microsoft.com/technet/security/bulletin/ms05-002.mspx Microsoft Knowledge Base Article - 891711 http://support.microsoft.com/?kbid=891711 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - MS05-003 Vulnerabilidad en servicio de indexado (871250) _____________________________________________________________ http://www.vsantivirus.com/vulms05-003.htm MS05-003 Vulnerabilidad en servicio de indexado (871250) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se ha detectado un problema de seguridad en un componente del servicio de indexado (Indexing Service) que podría permitir a un usuario malintencionado poner en peligro un sistema basado en Windows y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Después de instalarla, es posible que deba reiniciar el equipo. * Nivel de gravedad: Importante * Impacto: Ejecución remota de código * Fecha de publicación: 11 de enero de 2005 * Software afectado: - Microsoft Windows 2000 SP3 y Microsoft Windows 2000 SP4 - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP 64-Bit Edition Service Pack 1 - Microsoft Windows XP 64-Bit Edition Version 2003 - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 64-Bit Edition * Software NO afectado: - Microsoft Windows NT Server 4.0 Service Pack 6a - Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 - Microsoft Windows XP Service Pack 2 - Microsoft Windows 98 - Microsoft Windows 98 Second Edition (SE) - Microsoft Windows Millennium Edition (ME) * Componentes afectados: - Indexing Service El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft. La versión original de Windows XP está fuera del ciclo de soporte extendido, finalizado el 30 de setiembre de 2004, por lo que se recomienda su actualización a Windows XP SP1 o superior. La versión original de Windows 2000 Service Pack 2, está fuera del ciclo de soporte extendido, finalizado el 30 de junio de 2004. Las versiones anteriores de Windows (98, 98 SE y Me), ya no poseen soporte y solo se proporciona actualizaciones en fallos críticos a través de Windows Update. Versiones anteriores ya no poseen ninguna clase de soporte. * Descripción Esta actualización resuelve una vulnerabilidad recientemente descubierta y reportada privadamente. Un atacante que explote exitosamente la más severa de estas vulnerabilidades puede llegar a tomar el control completo del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. Aunque es posible la ejecución remota de código, el resultado más probable para un ataque es la denegación de servicio, haciendo que el sistema afectado deje de responder. La vulnerabilidad que permite la ejecución de código, es provocada por un componente del servicio de indexado (Indexing Service), debido a la manera que se maneja la validación de algunas consultas. Un atacante puede explotar esta vulnerabilidad construyendo una consulta de forma maliciosa, de tal modo que como resultado, se llegue a ejecutar código potencialmente peligroso en el sistema afectado. Un factor que reduce el riesgo de explotación de este fallo, es que el servicio de indexado (Indexing Service), no está habilitado por defecto en los sistemas afectados. Por otra parte, aún cuando el servicio de indexado se instale, no es accesible por defecto para el Internet Information Services (IIS), debiendo ser habilitado específicamente. Por omisión, el servicio de indexado se utiliza solo para realizar consultas locales y remotas de archivos del sistema. Las consultas basadas en páginas web, deben ser específicamente creadas o deben ser instaladas manualmente para permitir al IIS recibir las preguntas de usuarios anónimos y pasar esas consultas al servicio de indexado. Sólo los usuarios con permisos para acceder a estas páginas podrían ser capaces de intentar explotar esta vulnerabilidad a través del IIS. Si éstas páginas requieren autenticación para acceder a las mismas, los usuarios anónimos no tienen forma de explotar esta vulnerabilidad. Si ninguna de los métodos de consultas vía web ha sido instalado manualmente, solo los usuarios autenticados pueden intentar explotar la vulnerabilidad a través de consultas de archivos remotos del sistema. Windows 2000 no es afectado directamente por esta vulnerabilidad. Sin embargo, cambios de seguridad adicionales pueden llegar a afectarlo, por lo que se recomienda instalar la actualización. Si se aplican buenas prácticas de seguridad, la configuración correcta de los cortafuegos (incluido el cortafuego incorporado en Windows XP), y la apertura hacia Internet de la mínima cantidad de puertos necesarias, también se protege al sistema de este tipo de fallo. Cómo siempre, se recomienda bloquear los clásicos puertos UDP 137 y 138, y TCP 139 y 445. Microsoft Windows XP Service Pack 2 no es afectado por esta vulnerabilidad. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Actualización de seguridad para Windows 2000 (KB871250) Microsoft Windows 2000 SP3 y Microsoft Windows 2000 SP4 http://www.microsoft.com/downloads/details.aspx?familyid=CFA4F 3DA-0C2B-44B3-83DB-EB4D8C5B3B13&displaylang=es Actualización de seguridad para Windows XP (KB871250) Microsoft Windows XP Service Pack 1 http://www.microsoft.com/downloads/details.aspx?familyid=FB8A7 622-94AB-44E7-85C3-163BAC4602E2&displaylang=es Actualización de seguridad para Windows Server 2003 (KB871250) Microsoft Windows Server 2003 http://www.microsoft.com/downloads/details.aspx?familyid=50F72 DC5-5DD6-4D12-A91C-6815EC8203EF&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms05-003.mspx * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS05-003 www.microsoft.com/technet/security/bulletin/ms05-003.mspx Microsoft Knowledge Base Article - 871250 http://support.microsoft.com/?kbid=871250 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Mozilla, Firefox y Opera eluden inspección de imágenes _____________________________________________________________ http://www.vsantivirus.com/vul-data-120105.htm Mozilla, Firefox y Opera eluden inspección de imágenes Por Angela Ruiz angela@videosoft.net.uy Ha sido descubierta una debilidad, que permite a un atacante remoto eludir las restricciones de los productos antivirus y de otras tecnologías de seguridad, cuando inspeccionan el contenido de una imagen en una página HTML. Sin embargo, solo puede ser explotada en Mozilla, Mozilla Firefox, Safari, Opera, y posiblemente otros navegadores basados en Netscape. Internet Explorer no muestra este tipo de imágenes, por lo que es inmune a esta forma de exploit. La debilidad puede ser explotada si un atacante codifica en base64 una imagen maliciosa y la inserta dentro del cuerpo de un documento HTML. Una explotación exitosa, puede evitar el examen del contenido de la imagen hasta que la misma es mostrada en el navegador. Inclusive podría ejecutarse un código malicioso si la imagen intenta explotar la vulnerabilidad descripta y corregida en el boletín MS04-028 (Ejecución de código en proceso JPEG, http://www.vsantivirus.com/vulms04-028.htm). Para la codificación, se utiliza el siguiente esquema tal como se especifica en el RFC 2397 (The "data" URL scheme): data:[<tipo de contenido>][;base64],<datos> Por ejemplo: data:image/gif;base64,/9j/4AAQSkZJRgAB[etc...] Aún así, antivirus como NOD32, detendrían la ejecución del código malicioso una vez que ha sido decodificado. De todos modos esta debilidad puede ser considerada como un riesgo importante, por la posibilidad de ser combinada con conocidas vulnerabilidades a los efectos de comprometer la seguridad del sistema afectado. Como Microsoft Internet Explorer no soporta el esquema URL especificado en el RFC 2397, este exploit no puede ser utilizado en equipos que lo utilicen como navegador. Una prueba de concepto ha sido colocada en nuestro sitio. Si al pinchar sobre el enlace, se muestra una pequeña imagen (en este caso inofensiva, de solo 3x3 píxeles), puede considerar que su equipo está en riesgo ante futuros exploits.. Nota: En realidad el termino "vulnerabilidad" en este caso, no es exactamente un fallo de los navegadores mencionados, ya que se trata del uso de una característica documentada, aunque prácticamente no usada. Los vendedores de antivirus, deberán actualizar sus productos para examinar o por lo menos advertir de la peligrosidad de esta técnica si es empleada maliciosamente. * Prueba de concepto: http://www.vsantivirus.com/prueba-av.htm * Créditos: Darren Bounds (dbounds at intrusense.com) * Referencias: Multi-Vendor AntiVirus Gateway Image Inspection Bypass (data:) http://www.securiteam.com/securitynews/5LP0C0AEKS.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Wurmark.D. Datos adjuntos: ATTACHED.ZIP _____________________________________________________________ http://www.vsantivirus.com/wurmark-d.htm Nombre: W32/Wurmark.D Nombre NOD32: Win32/Wurmark.D Tipo: Gusano de Internet y caballo de Troya Alias: Wurmark.D, Win32/Wurmark.D, W32/Wurmark-D, W32/Mugly.gen@MM, W32/Mugly.d@MM Fecha: 8/ene/05 Plataforma: Windows 32-bit Tamaño: 312,221 bytes Modificado: 11/ene/05 Gusano de Internet que se propaga en mensajes con las siguientes características: De: [variable] El remitente puede ser la dirección por defecto del usuario infectado, o alguna de las siguientes direcciones falsas: admirer12 @ yahoo .com alex @ hotmail .com BARBARA @ hotmail .com barby56 @ aol .com britany56 @ sex .com cutie88 @ ogrish .com funyblock @ hotmail .com George @ gmail .com godfather @ hotmail .com Jane44 @ download .com Jane78 @ hotmail .com marija @ hotmail .com mary13 @ gmail .com michael77 @ gmail .com tit_fuck_909 @ paltalk .com Asunto: [uno de los siguientes] Boun natale!! and happy new year HAPPY NEW YEAR HAPPY NEW YEAR!!! Happy New Year,Buon Natale MARY CHRISTMAS from our family Rate My Pic....... You have an Admirer Your Pic On A Website!! Texto del mensaje: [uno de los siguientes] Ejemplo 1: All the best in new year from our family here is a litle attachment to make you smile in new year email me back haha... Ejemplo 2: All the best in new year and christams from our family i was lauging like mad when i saw it! :D Ejemplo 3: i found this on my computer from ages ago download it and see if you can remember it lol i was lauging like mad when i saw it! :D email me back haha... Ejemplo 4: I was looking at a website and came across this pic they look just like you! infact im sure it is lol , did you send this pic into them ? or is it someonce else :S ? Ive Added the pic in a zip so download it and check & email me back! Ejemplo 5: Hi ive sent 5 emails now and nobody will rate my pic!! :( please download and tell me what you think out of 10 , dont worry if you dont like it just say i wont be offended p.s i was drunk when it was taken :P Ejemplo 6: Someone has asked us on there behalf to send you this email and tell you they think you are wonderfull!!! All the The mystery persons details you need are enclosed in the attachment :) please download and respond telling us if you would like to make further contact with this person. Regards Hallmark Admirer Mail Admin. Ejemplo 7: Happy New Year,Buon nataleHappy new year from our family The kids say hi and also monika is missing you! Hope to see ya soon Your friends Datos adjuntos: attachment.zip Este archivo contiene un ejecutable con alguno de los siguientes nombres: admire_001.scr.jpg for_you.scr.jpg From_my_hart.scr Happy_new_year.scr.jpg HOT_NEW_YEAR.scr Hot_new_year.scr is_this_you.scr.jpg love_04.scr.jpg Marry_christmas.scr new_year.scr New_year.scr.jpg Photo_01.scr.jpg Pic_001.scr.jpg Sexy_09.scr.jpg Sexy_new_year.scr with_love.scr La infección se produce cuando un usuario abre el adjunto comprimido, y ejecuta su contenido. Cuando ello ocurre, se muestra la imagen de un saludo en inglés (Happy New Year), cuyas letras las forman los cuerpos de un hombre y una mujer. [ver imagen: http://www.vsantivirus.com/wurmark-d.htm] En ese momento, el gusano crea los siguientes archivos en la carpeta del sistema de Windows: \bt32.exe c:\windows\system32\ansmtp.dll c:\windows\system32\attachment.zip c:\windows\system32\bszip.dll c:\windows\system32\bt32.exe c:\windows\system32\newyear.jpg c:\windows\system32\svkp.sys c:\windows\system32\xxz.tmp Algunos de estos archivos (SVKP.SYS, BT32.EXE), son troyanos. ANSMTP.DLL es el motor SMTP estándar usado para el envío de sus mensajes infectados. ATTACHMENT.ZIP es la copia comprimida del gusano y XXZ.TMP es una copia del propio gusano. BSZIP.DLL es un archivo usado para crear el .ZIP, y NEWYEAR.JPG es la imagen mostrada. También crea las siguientes entradas en el registro de Windows, para autoejecutarse en cada reinicio del sistema: HKCU\Software\Microsoft\OLE\ vb6 = bt32.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run vb6 = bt32.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices vb6 = bt32.exe Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada: downloads1 .kaspersky-labs .com downloads2 .kaspersky-labs .com downloads3 .kaspersky-labs .com downloads3 .kaspersky-labs .com downloads-us1 .kaspersky-labs .com downloads-us2 .kaspersky-labs .com downloads-us3 .kaspersky-labs .com downloads-us4 .kaspersky-labs .com ftp .downloads1 .kaspersky-labs .com ftp .downloads1 .kaspersky-labs .com ftp .downloads2 .kaspersky-labs .com ftp .downloads3 .kaspersky-labs .com liveupdate .symantec .com liveupdate .symantecliveupdate .com liveupdate .symantecliveupdate .com rads .mcafee .com symantecliveupdate .com symatec .com update .symantec .com updates1 .kaspersky-labs .com updates1 .kaspersky-labs .com updates2 .kaspersky-labs .com updates3 .kaspersky-labs .com updates3 .kaspersky-labs .com El gusano puede propagarse a través de mensajes infectados como los descriptos antes. Las direcciones a las que se envía, son tomadas de archivos con las siguientes extensiones: .adb .asp .dbx .doc .htm .html .php .sht .tbb .txt .wab Evita enviarse a aquellas direcciones que contengan cualquiera de las siguientes cadenas en sus nombres: .gov adaware avguk grisoft kaspersky lavasoft mcafee nod32 pandasoftware sophos symantec trendmicro Para el envío de estos mensajes, el gusano registra su propio motor SMTP estándar. Para ello crea las siguientes entradas: HKCR\ANSMTP.MassSender HKCR\ANSMTP.MassSender.1 HKCR\ANSMTP.OBJ HKCR\ANSMTP.OBJ.1 HKCR\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED} HKCR\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4} HKCR\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B} HKCR\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063} HKCR\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8} HKCR\Interface\{B13281CF-8778-4C98-AE23ABBA4637A33D} También crea la siguiente entrada en el registro cuando se ejecuta su componente troyano: HKLM\SYSTEM\CurrentControlSet\Services\SVKP HKCR\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1} NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: \bt32.exe c:\windows\system32\ansmtp.dll c:\windows\system32\attachment.zip c:\windows\system32\bszip.dll c:\windows\system32\bt32.exe c:\windows\system32\newyear.jpg c:\windows\system32\svkp.sys c:\windows\system32\xxz.tmp Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \ANSMTP.MassSender 3. Haga clic en la carpeta "ANSMTP.MassSender" y bórrela. 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \ANSMTP.MassSender.1 5. Haga clic en la carpeta "ANSMTP.MassSender.1" y bórrela. 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \ANSMTP.OBJ 7. Haga clic en la carpeta "ANSMTP.OBJ" y bórrela. 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \ANSMTP.OBJ.1 9. Haga clic en la carpeta "ANSMTP.OBJ.1" y bórrela. 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \CLSID 11. Haga clic en la carpeta "CLSID" y busque y borre las siguientes carpetas: {253664FB-EDFC-4AC6-BD69-B322F466AEED} {887A577B-406B-48FF-80CB-70752BFCD7B4} 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \Interface 13. Haga clic en la carpeta "Interface" y busque y borre las siguientes carpetas: {1E98666F-6260-42C9-B846-32B20FDEFE7B} {68B8DCDB-EFA4-420A-BB8A-71B9892A2063} {A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8} {B13281CF-8778-4C98-AE23ABBA4637A33D} 14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \TypeLib \{DE6317F7-6EF0-45C2-88D1-8E09415817F1} 15. Haga clic en la carpeta "{DE6317F7-6EF0-45C2-88D1- 8E09415817F1}" y bórrela. 16. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \OLE 17. Haga clic en la carpeta "OLE" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: vb6 = bt32.exe 18. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 19. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: vb6 = bt32.exe 20. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 21. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: vb6 = bt32.exe 22. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \SVKP 23. Haga clic en la carpeta "SVKP" y bórrela. 24. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 25. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Actualizaciones: 11/01/05 - 12:20 -0200 (Cambios en la descripción) 11/01/05 - 12:20 -0200 (Alias: W32/Wurmark-D) 11/01/05 - 12:20 -0200 (Alias: W32/Mugly.gen@MM) 12/01/05 - 04:28 -0200 (Alias: W32/Mugly.d@MM) 12/01/05 - 04:28 -0200 (Cambios en la descripción) * Publicado anteriormente: VSantivirus No. 1649 Año 9, martes 11 de enero de 2005 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1650 Año 9, miércoles 12 de enero de 2005