|
Mostrando mensaje 48
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 999 - Año 7 - Miércoles 2 de abril de 2003 | | Fecha: | Miercoles, 2 de Abril, 2003 12:27:43 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 999 - Año 7 - Miércoles 2 de abril de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Tres graves fallas en Linux, ponen en riesgo su seguridad
2 - Denegación de servicio en Kerio WinRoute Firewall
3 - W32/Cult.B (Lanet). Adjunto: BlueMountaineCard.pif
4 - W32/Sahay.C. Gusano e infector. Adjunto: "MathMagic.scr"
5 - Sorteo de cinco licencias de Nod32
_____________________________________________________________
1 - Tres graves fallas en Linux, ponen en riesgo su seguridad
_____________________________________________________________
http://www.vsantivirus.com/vul-linux-tres.htm
Tres graves fallas en Linux, ponen en riesgo su seguridad
Por Angela Ruiz
angela@videosoft.net.uy
Una curiosa forma de ser revelados tres serios agujeros de
seguridad en Linux, ha tenido lugar esta semana.
Un autodenominado "hacker" hizo públicas en una conocida
lista de seguridad, tres importantes agujeros que afectan a
los entornos Unix y Linux.
Quien se identifica como "Hack4Life", dijo haber robado la
información de estas fallas relacionadas con el sistema de
autenticación Kerberos y con dos implementaciones de
encriptación para sitios web, de las computadoras de una
firma asociada al Computer Emergency Response Team (CERT).
Las alertas no eran para publicarse aún, ya que no se han
desarrollado todavía los parches para las mismas. Esto causó
gran preocupación entre las empresas relacionadas con la
seguridad informática.
Una de las fallas hechas públicas, afecta a cierta librería
de Sun incluida en varios servidores que funcionan bajo Linux
o Unix. Su explotación pondría en riesgo la seguridad de los
sistemas afectados.
La segunda falla tiene que ver con el servicio de
autenticación Kerberos, cuya función es autenticar usuarios
frente a servidores y servidores frente a usuarios. Kerberos
usa cifrado simétrico (también llamado cifrado convencional),
método en el cual el cifrado y descifrado se realizan usando
una única clave. La falla permitiría a un intruso asumir la
personalidad de un usuario determinado, tomando para si el
control que éste pudiera tener sobre el sistema.
El tercer agujero hace referencia a la posibilidad de un
ataque dirigido a los servidores que utilizan Secure Sockets
Layer (SSL), y que permitiría romper su encriptación. SSL es
un protocolo que utiliza criptografía para cifrar los datos
que se intercambian con un servidor seguro, proporcionando
privacidad a los datos y a los mensajes, permitiendo
autenticarlos. Básicamente se utiliza para transmitir
información personal o relacionada con tarjetas de crédito de
los usuarios a través de Internet.
Las tres fallas fueron publicadas en una lista de seguridad
ampliamente visitada, y aunque el CERT intentó disuadir a los
moderadores de la misma para retirar los mensajes, estos se
negaron con el argumento que al haberse hecho ya públicas las
fallas, no era ético ocultarlas, a los efectos de que la
comunidad pudiera prepararse en caso de la aparición de
exploits que intenten sacar provecho de las mismas.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Denegación de servicio en Kerio WinRoute Firewall
_____________________________________________________________
http://www.vsantivirus.com/vul-kerio-winroute.htm
Denegación de servicio en Kerio WinRoute Firewall
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Kerio WinRoute Firewall, una conocida aplicación de los
mismos fabricantes del conocido Kerio Personal Firewall,
empleada para el mantenimiento y la gestión del acceso a
Internet, presenta una vulnerabilidad que permite un ataque
de denegación de servicio que causa la caída del sistema.
WinRoute Firewall puede ser administrado en un entorno Web,
realizándose la conexión por el puerto 4080. Debido a una
falla, se puede llegar a enviar una sencilla petición del
tipo GET / HTTP/1.0, modificada de tal modo que el servidor
llega a consumir todos sus recursos en pocos minutos,
colapsando.
Son afectadas todas las versiones incluida la 5.0.1, la
última disponible en el sitio oficial.
Se sugiere restringir los accesos administrativos vía Web,
hasta que la versión 5.0.2 esté disponible para su descarga
en el siguiente enlace:
http://www.kerio.com/kwf_home.html
Fuente:
Positive Technologies
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Cult.B (Lanet). Adjunto: BlueMountaineCard.pif
_____________________________________________________________
http://www.vsantivirus.com/cult-b.htm
Nombre: W32/Cult.B
Tipo: Gusano de Internet
Alias: W32/BluECard, BLUEECARD, I.worm.BlueEcard@mm,
I-Worm.Cult.b, W32.HLLW.Cult.B@mm, W32/BluECard@mm,
W32/Lanet@mm, W32/Lanet@MM, Win32.Cult.B, Win32/Lanet.Worm
Fecha: 31/mar/03
Tamaño: 8,224 bytes
Plataforma: Windows 32-bit
Se trata de un gusano escrito en Visual C++ y comprimido con
XTPack, capaz de enviarse en forma masiva a través del correo
electrónico y las redes de intercambio de archivos entre
usuarios KaZaa.
Para el envío a través del correo, utiliza su propia rutina
SMTP, por lo que no depende del programa de correo instalado
en la computadora infectada para propagarse.
El mensaje enviado presenta estas características:
Asunto: Hi, I sent you an eCard from BlueMountain.com
Datos adjuntos: BlueMountaineCard.pif
Texto del mensaje:
To view your eCard, open the attachment
If you have any comments or questions, please visit
htto://www.bluemountain.com/customer/index.pd
Thanks for using BlueMountain.com.
El adjunto es el gusano propiamente dicho, el cuál simula ser
una tarjeta electrónica de salutación.
VSAntivirus lo describe desde el 1 de abril de 2003 con el
nombre de W32/BluECard (Lanet). Ver la descripción completa
en http://www.vsantivirus.com/bluecard.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Sahay.C. Gusano e infector. Adjunto: "MathMagic.scr"
_____________________________________________________________
http://www.vsantivirus.com/sahay-c.htm
Nombre: W32/Sahay.C (W32/MathMagic.C)
Tipo: Gusano de Internet
Alias: PE_SAHAY.C, W32/Sahay.worm.c, I-Worm.Sahay.c,
W32.Sahay.C@mm, Win32/Sahay.C@mm, Win32/Sahay.C.Worm,
Win32.Sahay.C, W32/MathMagic.C
Fecha: 31/mar/03
Tamaño: 36,864 bytes, 32,768 bytes
Plataforma: Windows 32-bit
Se trata de otra variante del W32/Sahay.A, gusano e infector
de archivos al mismo tiempo, con capacidad de envío masivo a
través de Internet.
El gusano está escrito en Visual C++ y comprimido con la
utilidad PE Compact.
Cuando se ejecuta el archivo que lo propaga (un "dropper"),
el gusano se copia en el raíz de la unidad C:
c:\MathMagic.scr
Para reenviarse a través de Internet vía correo electrónico,
este gusano utiliza direcciones extraídas de la libreta de
direcciones de Windows (Windows Adress Book, WAB).
El mensaje que utiliza tiene estas características:
Asunto: Fw: Sit back and be surprised..
Datos adjuntos: MathMagic.scr (32,768 bytes)
Texto del mensaje:
Think of a number between 1 and 52.
Say it out loud, and keep repeating while you read on.
Think of the name of someone you know (of the opposite
sex). Now count which place in the alphabet, the second
letter of that name has. Add that number to the number
you were thinking of. Say the number out loud 3 times.
Now count which place in the alphabet the first letter
of your first name has, and substract that number from
the one you just had. Say it out loud 3 times. Now sit
back, watch the attached slide show, and be surprised.
El adjunto se copia como vimos, en el directorio raíz de la
unidad actual, y además en la carpeta de temporales de
Windows, las dos veces con el nombre "MathMagic.scr":
C:\MathMagic.scr
C:\Windows\TEMP\MathMagic.scr
También crea y ejecuta el siguiente archivo, el cuál se
encargará de la rutina de envío de mensajes:
C:\Windows\Yahasux.vbs
Este script selecciona direcciones al azar de la libreta de
Windows, y procede a enviar mensajes como el arriba
descripto. Luego del envío, este archivo es borrado.
Además de su capacidad de propagarse, esta versión infecta
todos los archivos con extensión .EXE encontrados en la
carpeta actual (donde se ejecuta el gusano), y en "C:\Program
Files\mIRC\download". Un error en su código hace que esta
acción deje inestables a los archivos infectados, causando el
cuelgue del sistema.
La infección la realiza agregando todo su código (32,768
bytes) al principio de los archivos infectados. Para impedir
volver a infectar los mismos archivos, el virus crea y luego
verifica la presencia de una marca en el offset 0x13h del
cabezal del .EXE.
Una característica de esta forma de infección, es que el
archivo original pierde su icono característico.
Cuando un archivo infectado es llamado, el gusano se ejecuta
primero, y luego copia el .EXE original guardado a partir del
offset 0x8000 (32,768) con el nombre de SCREWYAHA.EXE en el
directorio de Windows. Luego, el virus espera que dicho
programa finalice su ejecución para borrar el archivo
SCREWYAHA.EXE.
El gusano busca además, algunas características del virus
W32/Yaha (y sus variantes), y de encontrarlas, intenta borrar
dicho gusano, además de la clave en el registro que lo
ejecuta:
HKEY_LOCAL_MACHINE\Software\Microsoft\
CurrentVersion\Run\WinServices
Luego, el gusano intenta borrar los siguientes archivos
creados por el "YAHA.K" en el directorio Windows\System:
Be_Happy.scr
Best_Friend.scr
dance.scr
Friend_Finder.exe
Friend_Happy.scr
friendship.scr
GC_Messenger.exe
hotmail_hack.exe
I_Like_You.scr
love.scr
nav32_loader.exe
shake.scr
Sweet.scr
tcpsvs32.exe
True_Love.scr
world_of_friendship.scr
También procede a quitar los atributos de Oculto (+H),
Sistema (+S) y Archivo (+A) puestos por el YAHA en archivos
personales (Mis documentos, etc.).
También restablece la página de inicio del Internet Explorer
modificada por el YAHA, y luego muestra este mensaje:
Exchange viruses?
Hi there.. it seems you were infected with Yaha.k.
That worm however, written by an idiot who sPeLlS
lIkE tHiS,abused my website and got me toreceive
the complaints. Therefore, I have just disinfected
you.Don't worry tho.. as I didn't wanna steal from
you, I gave you this virus (Win32.HLLP.YahaSux) in
return :)
Greetz,
Gigabyte [Metaphase VX Team]
El gusano reinicia la computadora luego de esto.
El código del gusano contiene el siguiente texto, que no es
mostrado:
[Win32.HLLP.YahaSux.b] (c) 2003 Gigabyte [Metaphase VX Team]
* Reparación manual
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\MathMagic.scr
C:\Windows\Temp\MathMagic.scr
C:\Windows\Yahasux.vbs
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Sorteo de cinco licencias de Nod32
_____________________________________________________________
http://www.vsantivirus.com/sorteo.htm
Sorteo de cinco licencias de Nod32
Formulario de inscripción
1. Para participar en el sorteo de las cinco licencias del
antivirus Nod32 ingrese su dirección electrónica, nombre y
país en el formulario de la siguiente página:
http://www.vsantivirus.com/sorteo.htm
2. En un plazo no mayor de 12 horas, recibirá un número
generado al azar con el que participará. Dicho número es
único y será válido hasta la finalización del sorteo. Sin
embargo, se aceptará solo un acierto por número.
3. Cada fin de semana hasta completar el sorteo de las cinco
licencias, todo número coincidente con las cifras finales del
primer premio del sorteo semanal de la Lotería Uruguaya
(http://www.loteria.gub.uy/default.htm), se hará acreedor de
la licencia válida por un año de un paquete personal del
Antivirus Nod32, cedido a VSAntivirus por Ontinet.com, S.L,
distribuidor exclusivo en España del mismo.
4. En caso de no coincidir ningún número con el primer
premio, se hará acreedor el más cercano al mismo y se
publicará su nombre en nuestro sitio. Para evitar el SPAM, no
se mostrará su dirección de correo completa.
5. El ganador será avisado de los pasos siguientes para
hacerse de su premio. Su número no participará en el resto de
los sorteos hasta completar los cinco paquetes sorteados.
6. Podrán participar todos los suscritos a nuestro boletín, y
no se enviará más de un número por dirección suscrita.
7. Si la dirección electrónica utilizada no coincide con la
de un usuario registrado, no será enviado ningún número para
participar. Asegúrese de que la dirección es la misma que
figura al pie de cada boletín, donde dice : "Este boletín es
enviado a: [aquí va su dirección]"
8. El primer sorteo válido será el viernes 4 de abril de
2003, y así cada viernes subsiguiente hasta completar las
cinco licencias.
Más información:
Festejamos los 1000 regalando cinco licencias de Nod32
http://www.vsantivirus.com/sorteo-1000.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 999 - Año 7 - Miércoles 2 de abril de 2003
|
Responder a este mensaje
