Mostrando mensaje 813     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1763 Año 9, jueves 5 de mayo de 2005 Fecha: Jueves, 5 de Mayo, 2005  16:33:15 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1763 Año 9, jueves 5 de mayo de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - NOD32 consigue la nueva certificación de Checkmark 2 - Ejecución de código en Netscape (nodos DOM) 3 - W32/Antiman.C. Borra archivos multimedia _____________________________________________________________ 1 - NOD32 consigue la nueva certificación de Checkmark _____________________________________________________________ http://www.vsantivirus.com/nod32-checkmark.htm NOD32 consigue la nueva certificación de Checkmark Por Redacción VSAntivirus vsantivirus@videosoft.net.uy [Con información de Eset Latinoamérica] El antivirus de la empresa de seguridad Eset obtiene otro premio para sumar a su lista de galardones. NOD32 se adjudicó la nueva certificación de Checkmark sobre Spyware, luego de pasar exitosamente todas las pruebas a las que fue sometido (http://www.westcoastlabs.org/cm-av-list.asp?Cat_ID=8). Tan solo dos programas antivirus han conseguido esta certificación hasta ahora, y el producto de la empresa de seguridad Eset, es uno de ellos. De esta manera, NOD32 consiguió todas las pruebas del género realizadas por el laboratorio de certificación West Coast Labs, uno de los tres más prestigiosos en materia de seguridad, ya que anteriormente había obtenido las certificaciones Anti Virus Level 1, Anti Virus Level 2 y Trojan. Para que un antivirus obtenga la certificación tiene que ser capaz de detectar troyanos, keyloggers, cookies y otros tipos de malware que fueron incluidos por los laboratorios para la evaluación. Además, el producto no tiene que causar ninguna falsa alarma, es decir, no detectar ningún archivo normal, como un spyware. NOD32 pasó sin ningún problema las dos pruebas y solamente le quedaron 28 troyanos sin detectar, de los 28 mil que existen en la lista de Checkmark. Y además, no generó ninguna falsa alarma. El producto antivirus de Eset ya fue actualizado para detectar los 28 troyanos faltantes. "NOD32 ganó las certificaciones de Checkmark AV Level 1, Level 2, Troyanos, y ahora, Spyware, lo que demuestra que el antivirus de Eset está proporcionando una solución confiable que protegerá a los usuarios contra la multiplicidad de amenazas existentes", dijo Jon Stearn, CTO de West Coast Labs. El spyware es uno de los tipos de malware mas difundidos de hoy en día y distintos estudios informan que la gran mayoría de los ordenadores, especialmente los de uso hogareño, poseen algún tipo de spyware. Por este motivo, es muy importante que el antivirus sea capaz de detectar esta amenaza. "Amenazas como el spyware o el phishing son las más comunes y propagadas de hoy en día, y muchos usuarios utilizan una combinación entre cortafuegos y antivirus para protegerse de las mismas. Pero NOD32 detecta ambas amenazas y siempre es mas sencillo utilizar una sola y simple herramienta, que una combinación de dos2, declaró el CTO de Eset, Andrew Lee. Video Soft, empresa creadora del sitio VSAntivirus, representa de forma exclusiva en Uruguay al antivirus NOD32 (marca registrada de Eset). Más información: http://www.nod32.com.uy/ * Relacionados: West Coast Labs http://www.westcoastlabs.org/ Information Security Product Certification - Checkmark http://www.westcoastlabs.org/checkmarkcertification.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Ejecución de código en Netscape (nodos DOM) _____________________________________________________________ http://www.vsantivirus.com/vul-netscape-290405.htm Ejecución de código en Netscape (nodos DOM) Por Angela Ruiz angela@videosoft.net.uy Una nueva vulnerabilidad capaz de ser explotada remotamente, ha sido detectada en el navegador Netscape 7.2 y anteriores. Un atacante puede instalar código malicioso o robar información confidencial, haciendo que el usuario haga clic en un enlace o en un menú contextual, interactuando con el contenido de un documento XHTML (o XML), y sobrescribiendo las propiedades DOM. La vulnerabilidad se produce porque ciertos nodos de un modelo de objeto documento (DOM) en el contenido de una ventana, no son correctamente validados. Esto permite la ejecución remota de código en los equipos que utilicen las versiones vulnerables del navegador. DOM (siglas de Modelo del Objeto Documento en inglés), es una forma de describir un documento XHTML, XML o cualquier HTML válido, de forma que los programas y scripts puedan acceder y actualizar el contenido, la estructura y el estilo de los documentos de forma dinámica. Este tipo de vulnerabilidad puede permitir a un atacante robar cookies, o acceder a otra información confidencial. * Software vulnerable: - Netscape 7.2 y anteriores. * Soluciones: No existen soluciones al momento actual para esta vulnerabilidad. El fabricante recomienda desactivar JavaScript, desde Edición, Preferencias, Avanzadas, Scripts & Plugins, desmarcar la selección en "Navigator". * Referencias: - Referencias en "Common Vulnerabilities and Exposures project" (cve.mitre.org): CAN-2005-1160 www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1160 - Referencia en Secunia: SA15135 http://secunia.com/advisories/15135/ * Relacionados: Networksecurity.fi Security Advisory (29-04-2005) http://www.networksecurity.fi/advisories/netscape-dom.html Netscape DOM Nodes Validation Vulnerability http://secunia.com/advisories/15135/ Mozilla Multiple Vulnerabilities http://secunia.com/advisories/14992/ Múltiples vulnerabilidades en Mozilla y Firefox http://www.vsantivirus.com/vul-mozilla-170405.htm * Créditos: moz_bug_r_a4 (Mozilla/Firefox) Juha-Matti Laurio (Netscape) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Antiman.C. Borra archivos multimedia _____________________________________________________________ http://www.vsantivirus.com/antiman-c.htm Nombre: W32/Antiman.C Nombre NOD32: Win32/Antiman.C Tipo: Gusano de Internet Alias: Antiman.C, Email-Worm.Win32.Antiman.c, W32.Antiman.A@mm, W32/Antiman.C-mm, W32/Generic.Delphi.c, Win32/Antiman.C, Worm/Antiman.A.1 Fecha: 2/may/05 Plataforma: Windows 32-bit Tamaño: 44,544 bytes Gusano que se propaga por correo electrónico, en mensajes como los siguientes (textos en rumano): De: [Dirección falsa] Asunto: Poza de la mare... Texto del mensaje: Ti-am trimis ultima poza de la mare. Asta e? Datos adjuntos: scan_picture_0001._JPG.exe De: [Dirección falsa] Asunto: Antivirus Texto del mensaje: Asta e ultimul antivirus. Ar trebui sa rezolve toate problemele. Datos adjuntos: antivirus.exe De: [Dirección falsa] Asunto: Sex in camin Texto del mensaje: Ioana, sex in grup in camin. Cred ca o stii si tu Datos adjuntos: ioana_divx._AVI.exe De: [Dirección falsa] Asunto: Faza cu camila Texto del mensaje: :))))))) Datos adjuntos: camila.exe De: [Dirección falsa] Asunto: De ce mor mai repede curiosii... Texto del mensaje: Nu deschide acest mesaj! E numai pentru persoanele prea curioase! Datos adjuntos: curiosii.exe De: [Dirección falsa] Asunto: Antimanele Texto del mensaje: Daca sunteti nu mai suportati manelele la servici, tramvai, taxi, metrou, etc., trimiteti acest mesaj la toti prietenii dvs. ! Va multumesc (din suflet). Datos adjuntos: antimanele.exe De: [Dirección falsa] Asunto: Votati astazi! Texto del mensaje: Credeti ca ar fi mai bine ca Romania sa-si retraga trupele din Irak anul acesta? Deschideti programul Vot, alegeti votul dvs. si vedeti rezultatele. Parerea dvs. conteaza! Datos adjuntos: [fecha actual].exe De: [Dirección falsa] Asunto: Cu sau fara Manele ? Texto del mensaje: Credeti ca ar fi mai bine ca manelele sa fie interzise in Romania? Deschideti programul de votare, alegeti votul dvs. si vedeti rezultatele. Parerea dvs. conteaza! Datos adjuntos: vot_manele.exe De: [Dirección falsa] Asunto: Pentru Ionel Texto del mensaje: Draga Ionel, Scuza-ma ca nu ti-am mai scris de mult timp, dar am avut ceva probleme cu calculatorul. Ti-am promis ultima data pe chat o poza cu mine dezbracata... m-am gandit mult la asta si cred ca pana la urma cel mai bine e sa-ti trimit o poza. Sper sa-ti placa. Daca nu o sa-mi mai scrii dupa mesajul asta, o sa te inteleg... Roxana, Datos adjuntos: poza_roxana._JPG.exe De: [Dirección falsa] Asunto: Cum a murit Papa? Texto del mensaje: Film cu moartea papei. Toate drepturile rezervate. Este interzisa modificarea continutului. Poate fi redistribuit. Asociatia Catolicilor Anonimi din Romania. Datos adjuntos: film_papa._avi._divx_.exe Cuando se ejecuta, el gusano crea los siguientes archivos: c:\windows\FUNNY.SCR [carpeta de inicio]\STARTWIN.EXE Donde carpeta de inicio es la usada por el usuario actual, y es tomada por el gusano de la siguiente clave del registro: HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\Shell Folders\Start Menu Ejemplo: C:\Documents and Settings\NOMBRE\Menú Inicio Donde NOMBRE es el usuario actual. Modifica las siguientes entradas para configurarse como un protector de pantalla, y ejecutarse cada 5 minutos: HKCU\Control Panel\Desktop SCRNSAVE.EXE = c:\windows\FUNNY.SCR HKCU\Control Panel\Desktop ScreenSaveTimeOut = "300" Busca por todo el disco duro archivos con las siguientes extensiones: .mp3 .wma .avi .wav .mid .midi .asf .mpg .mpeg .jpeg .jpg .bmp .rar .zip .ace Y borra todos aquellos cuyo nombre o contenido, contenga algunos de los siguientes textos: Liviu Guta Liviu_Guta Nicolae Guta Nicolae_Guta Copilul de aur Copilul_de_aur adi de la valcea adi_de_la_valcea adi de vito ady de vito florin salam florin_salam adrian & camy stana isbasa adrian cm adrian copilul minune adrian_copilul_minune alina si costi copilul de aur dani de la deva gabi din buzau gabi de la giulesti liviu pustiu guta jr guta & sorina printesa ionela don genove jean de la craiova cristian gusatu ovidiu mititelu sorinel pustiu lucian seres mihaela minune minodora n. guta n.guta nico cu carbon nico_cu_carbon sile dorel vali vijelie carmen serban petrica cercel nicu paleru cata boss liviu_guta stefan de la barbulesti florin peste liviu cu mirela sorina & florinel puiu codreanu catalin de la buzau daniel dinescu relu pustiu victor spaniolu vali raicu adi caval carmen dobre sorinel copilu de aur as da zile de la mine sunt seful vostru pana mor chefdechef chef de chef dusmanii mei plange sufletul jumatate tu jumatate eu ce le-nnebuneste pe femei sa cante manelele El gusano se envía a todos los contactos de la libreta de direcciones, y a todas las direcciones que detecte en los registros del Yahoo Messenger. También crea un archivo de texto en el raíz de C: donde registra toda su actividad: c:\M.TXT * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\M.TXT c:\windows\FUNNY.SCR * En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: STARTWIN.EXE 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: STARTWIN.EXE 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Haga clic en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Control Panel \Desktop 3. Haga clic en la carpeta "Desktop" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: SCRNSAVE.EXE = c:\windows\FUNNY.SCR ScreenSaveTimeOut = "300" 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1763 Año 9, jueves 5 de mayo de 2005