Mostrando mensaje 1011     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1959 Año 9, viernes 18 de noviembre de 2005 Fecha: Viernes, 18 de Noviembre, 2005  03:58:43 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1959 Año 9, viernes 18 de noviembre de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - DoS en asignación de memoria vía Windows RPC 2 - ActiveX vulnerable en desinstalación de Sony XCP 3 - Vulnerabilidad permite falsa barra de estado en Opera 4 - Rootkit.XCP. Detección para el rootkit de Sony 5 - Anti Spywares sospechosos o no confiables (18/11/05) _____________________________________________________________ 1 - DoS en asignación de memoria vía Windows RPC _____________________________________________________________ http://www.vsantivirus.com/ms-advisory-911052.htm DoS en asignación de memoria vía Windows RPC Por Angela Ruiz angela@videosoft.net.uy Ha sido identificada en Microsoft Windows, una vulnerabilidad que podría ser explotada por atacantes remotos para causar una denegación de servicio. Este fallo se debe a un error de asignación de memoria cuando se procesan solicitudes RPC (Remote procedure call), cuyos paquetes de datos han sido modificados maliciosamente. Esto puede ocasionar que el sistema entero deje de responder, o que el proceso "services.exe" consuma una gran cantidad de recursos del CPU. Usuarios con Windows XP Service Pack 2, Windows Server 2003 y Windows Server 2003 Service Pack 1, no son afectados. Para que este problema pueda ser explotado en Windows XP Service Pack 1, un atacante debe tener credenciales válidas. La vulnerabilidad no puede ser explotada de forma remota por usuarios anónimos. Sin embargo, el componente afectado puede ser accedido remotamente por usuarios con una cuenta válida. En ciertas configuraciones, un usuario anónimo aún podría autenticarse como invitado. Se ha hecho publico un exploit que permite aprovecharse de esta vulnerabilidad. Microsoft publicó al respecto un aviso de seguridad identificado como Microsoft Security Advisory 911052. RPC (Remote Procedure Call o Llamada de Procedimiento Remoto), es un protocolo utilizado por Windows para permitir que un programa que se ejecuta en un equipo, pueda acceder a los servicios de otro equipo conectado en red. * Software afectado: - Microsoft Windows 2000 Service Pack 4 - Microsoft Windows 2000 Service Pack 3 - Microsoft Windows 2000 Service Pack 2 - Microsoft Windows 2000 Service Pack 1 - Microsoft Windows 2000 - Microsoft Windows XP Service Pack 1 * Software NO afectado: - Microsoft Windows XP Service Pack 2 - Microsoft Windows Server 2003 Service Pack 1 - Microsoft Windows Server 2003 * Puertos relacionados: - UDP 135, 137, 138, y 445 - TCP 135, 139, 445, y 593 * Soluciones: No existen parches al momento de publicarse esta alerta. Sin embargo, la utilización de cortafuego y reglas básicas de seguridad para el acceso a los equipos (usuario y contraseña), minimizan el riesgo de cualquier explotación maliciosa. * Referencias: Microsoft Security Advisory (911052) Memory Allocation Denial of Service Via RPC http://www.microsoft.com/technet/security/advisory/911052.mspx Microsoft Windows RPC Memory Allocation Denial of Service Vulnerability http://www.frsirt.com/english/advisories/2005/2468 * Créditos: Winny Thomas (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - ActiveX vulnerable en desinstalación de Sony XCP _____________________________________________________________ http://www.vsantivirus.com/vul-codesupport-161105.htm ActiveX vulnerable en desinstalación de Sony XCP Por Angela Ruiz angela@videosoft.net.uy [Actualizado el 18/11/05 02:38 -0200] Actualizamos este artículo, para clarificar algunas dudas que la lectura del mismo pudiera crear en nuestros lectores. La confusión se origina porque en la descripción del problema se confunde el desinstalador del controvertido rootkit que instalaba la protección anticopia de Sony, con la propia protección anticopia. La desinstalación del "rootkit", está explicada en el siguiente artículo: Eliminación del rootkit XCP DRM de Sony-BMG http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm Pero esto elimina el "rootkit" propiamente dicho, no la protección anticopia. Para eliminar la protección anticopia (luego que Sony resolvió quitarla debido a las tremendas presiones recibidas por la forma de implementar la misma), el usuario debe solicitar un desinstalador en el sitio de Sony, en el siguiente enlace: UNINSTALL REQUESTS http://cp.sonybmg.com/xcp/english/uninstall.html Aquí es donde entra la vulnerabilidad ahora descripta. En dicha página se descarga (o se descargaba, porque por el momento el software de desinstalación no está disponible), un control ActiveX usado para el proceso de descarga del desinstalador del software de protección completo de First4Internet XCP (que utiliza Sony-BMG). Dicho control es el que posee la vulnerabilidad que anunciamos en esta alerta, la cuál podría ser explotada por un atacante remoto para comprometer el sistema del usuario. El problema se debe a un error de diseño en el sitio web de Sony. La vulnerabilidad es causada por el control "CodeSupport.ocx", que se instala a través del Internet Explorer, cuando el usuario descarga el software de desinstalación de la protección anticopia XCP DRM. Cuando se llenaba el formulario para recibir una copia del desinstalador, el sitio instalaba dicho control. Este control puede permanecer en el sistema aún después que se haya salido de la página de Sony. (NOTA: La opción UNINSTALL REQUESTS, actualmente no está disponible) Este control ActiveX es marcado como "safe-for-scripting" (seguro para scripting), soportando varios métodos potencialmente peligrosos como "RebootMachine", "InstallUpdate" e "IsAdministrator", lo que permite que pueda ser explotado por cualquier otro sitio web malicioso para instalar código de forma arbitraria en el equipo afectado. Ya existen códigos que pueden ser usados como exploits, lo que convierte a este problema en algo crítico. Su equipo puede ser vulnerable, solo si descargó en algún momento la herramienta de desinstalación de Sony. Es importante insistir en que éste es un problema diferente al causado por el componente rootkit instalado por la protección anticopia. La desinstalación del rootkit no instala ningún código ActiveX. * Solución: Borrar el control ActiveX vulnerable del sistema. Si usted no utilizó el desinstalador original de la herramienta de protección contra copias de Sony, entonces está a salvo de esta vulnerabilidad. Si utilizó un formulario en la página de cp.sonybmg.com, o tiene dudas sobre el método usado por el desinstalador para llegar a su PC, igualmente descargue el siguiente archivo de registro de nuestro sitio, y aplíquelo haciendo doble clic sobre él: http://www.videosoft.net.uy/sony-codesupportocx-killbit.reg Esto creará el "kill-bit" al ActiveX vulnerable, impidiendo su ejecución. El "kill-bit" es un determinado valor (1024), que se aplica a la entrada "Compatibility Flags" del ActiveX correspondiente, impidiendo que dicho control se instale o ejecute. Otra forma de eliminar el ActiveX vulnerable, es buscar y borrar el archivo "CodeSupport.ocx". NOTA VSA: Si intentaba ingresar al formulario en la página de Sony que descargaba el ActiveX mencionado, y está utilizando Windows XP SP2, una advertencia de ventana emergente le será mostrada con el siguiente texto: Este sitio puede que requiera el siguiente control de ActiveX: 'Software Update Helper Cabinet (First 4 Internet)' de 'First 4 Internet Ltd'. Haga clic aquí para instalar... * Créditos: Muzzy, J. Alex Halderman, and Ed Felten. * Más información: Sony CD First4Internet XCP Uninstallation ActiveX Control Vulnerability http://secunia.com/advisories/17610/ Sony CD First4Internet XCP Uninstallation ActiveX Vulnerabilities http://www.frsirt.com/english/advisories/2005/2454 Sony's Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs http://www.freedom-to-tinker.com/?p=927 Muzzy's research about Sony's XCP DRM system http://hack.fi/~muzzy/sony-drm/ Sony CD First4Internet XCP DRM Software Security Issue http://secunia.com/advisories/17408/ * Relacionados: ¿Está usted infectado con el rootkit de Sony-BMG? http://www.vsantivirus.com/14-11-05.htm Eliminación del rootkit XCP DRM de Sony-BMG http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm IMPORTANTE: La desinstalación del rootkit, no elimina el software anticopia, solo desinstala el componente capaz de esconder el mismo (y cualquier otro archivo, carpeta, entrada del registro o recurso, cuyo nombre comience con los caracteres $SYS$). Tecnología anticopia de Sony compromete la seguridad http://www.vsantivirus.com/vul-xcp-sony.htm IRCBot.PH. Utiliza la tecnología anticopia de Sony http://www.vsantivirus.com/ircbot-ph.htm * Publicado anteriormente: VSantivirus No. 1958 Año 9, jueves 17 de noviembre de 2005 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Vulnerabilidad permite falsa barra de estado en Opera _____________________________________________________________ http://www.vsantivirus.com/vul-opera-161105.htm Vulnerabilidad permite falsa barra de estado en Opera Por Angela Ruiz angela@videosoft.net.uy Una vulnerabilidad ha sido identificada en el navegador Opera Web. La misma permite que un atacante pueda crear una representación fraudulenta de la barra de estado en el navegador, engañando a los usuarios para sigan un enlace a un sitio malicioso. Esta vulnerabilidad probablemente pueda ser explotada a través de un correo electrónico con formato HTML, aunque también existen otros vectores de ataque, como la inyección de código HTML en aplicaciones Web de otros fabricantes. Ha sido publicada la siguiente prueba de concepto: <form action="[sitio web malicioso]"> <a href="www .ejemplo.com"><input type="image" src="[imagen]" title="www .ejemplo.com"></a> </form> * Productos vulnerables: - Opera Web Browser 8.50 - Opera Web Browser 8.02 - Opera Web Browser 8.01 - Opera Web Browser 8.0 * Solución: Actualmente no existe un parche para esta vulnerabilidad. * Referencias: Opera Web Browser HTML Form Status Bar Misrepresentation Vulnerability http://www.securityfocus.com/bid/15472/info Opera Software http://www.opera.com/ * Créditos: Claudio "Sverx" (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Rootkit.XCP. Detección para el rootkit de Sony _____________________________________________________________ http://www.vsantivirus.com/rootkit-xcp.htm Nombre: Rootkit.XCP Nombre NOD32: Win32/Rootkit.XCP Tipo: Caballo de Troya Alias: Rootkit.XCP, SecurityRisk.First4DRM, Win32/Rootkit.XCP, XCP.Sony.Rootkit Fecha: 17/nov/05 Plataforma: Windows 32-bit Se trata de la detección para el componente "rootkit" del software de protección de derechos de autor utilizado por Sony-BMG. El mismo es catalogado como troyano, ya que realiza acciones sin el conocimiento del usuario. Estas acciones pueden comprometer la seguridad del sistema. El rootkit puede instalarse automáticamente cuando un consumidor inserta en su equipo un CD de música equipado con la tecnología XCP de derechos digitales. Aunque se muestra una licencia de usuario final (EULA), la misma no aclara que la instalación de dicho software agrega un componente que sirve para ocultar archivos y otros recursos del sistema a los ojos del propietario del PC. Si no se acepta la EULA, el CD es expulsado y no podrá ser reproducido. El software tampoco se instalará si no se tiene la opción de auto arranque activada. XCP (Extended Copy Protection), es una tecnología incluida en el audio, e implementada desde mayo de 2005 por Sony BMG Music, para impedir que los usuarios realicen copias de CDs ya copiados, e infrinjan los derechos de autor. Básicamente, permite que los usuarios puedan hacer copias de respaldo de los CDs originales, pero bloquea cualquier intento de querer hacer "una copia de otra copia". La aplicación no agrega ninguna opción de desinstalación. El software de Sony se instala como un servicio de Windows con un nombre engañoso para hacer creer al usuario de que el mismo es parte de: Plug and Play Device Manager Cada segundo y medio, el servicio consulta todos los ejecutables primarios asociados con todos los procesos en ejecución, lo que genera constantes accesos al disco duro. Uno de los componentes instalados, es un filtro que intercepta todas las llamadas al CD, impidiendo la reproducción de cualquier tema con un reproductor diferente al instalado por el programa de Sony. El rootkit intercepta todas las llamadas por procesos, listados de directorio o entradas en el registro, impidiendo que el software instalado pueda ser visualizado por el usuario (cualquier recurso cuyo nombre comience con los caracteres "$SYS$" es también ocultado). Si el software es eliminado sin una correcta desinstalación, el usuario puede dejar de ver la unidad de CD. Sony publicó un parche para eliminar el rootkit, y un desinstalador para borrar todo el programa de protección. Crea el siguiente directorio, donde copia sus propios archivos (el directorio queda oculto): \Windows\System32\$sys$filesystem Instala dos servicios, creando las siguientes entradas en el registro: HKLM\SYSTEM\CurrentControlSet\Services\CD_Proxy HKLM\SYSTEM\CurrentControlSet\Services\$sys$DRMServer También crea las siguientes entradas: HKLM\SYSTEM\CurrentControlSet\Services\$sys$aries HKLM\SYSTEM\CurrentControlSet\Services\$sys$cor HKLM\SYSTEM\CurrentControlSet\Services\$sys$crater HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$OCT HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$LIM Además, crea los siguientes archivos: C:\windows\CDProxyServ.exe C:\windows\DbgHelp.dll C:\windows\system32\$sys$caj.dll C:\windows\system32\$sys$upgtool.exe C:\windows\system32\AXPSupport.dll C:\windows\system32\ECDPlayerControl.ocx C:\windows\system32\InstallContinue.exe C:\windows\system32\Unicows.dll C:\Windows\System32\$sys$filesystem\$sys$DRMServer.exe C:\Windows\System32\$sys$filesystem\$sys$parking C:\Windows\System32\$sys$filesystem\aries.sys C:\Windows\System32\$sys$filesystem\crater.sys C:\Windows\System32\$sys$filesystem\DbgHelp.dll C:\Windows\System32\$sys$filesystem\lim.sys C:\Windows\System32\$sys$filesystem\oct.sys C:\Windows\System32\$sys$filesystem\Unicows.dll C:\windows\system32\driver\$sys$cor.sys C:\windows\system32\TMPX\APIX.vxd C:\windows\system32\TMPX\ASPIENUM.vxd C:\windows\system32\TMPX\WNASPI.dll C:\windows\system32\TMPX\WNASPI32.dl * Reparación manual del rootkit Eliminación del rootkit XCP DRM de Sony-BMG http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm * Desinstalación del programa de protección de copias UNINSTALL REQUESTS http://cp.sonybmg.com/xcp/english/uninstall.html * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Anti Spywares sospechosos o no confiables (18/11/05) _____________________________________________________________ http://www.vsantivirus.com/lista-nospyware.htm Anti Spywares sospechosos o no confiables (18/11/05) Actualización de la lista de programas que se presentan como anti-spywares o anti-adwares, que usted no debería instalar o ejecutar en su computadora, si no desea correr el riesgo de, o bien infectarse con la misma basura que irónicamente muchos de ellos dicen quitar, o bien ser engañados por productos que mienten a la hora de detectar malwares (deliberadamente o no), para que el usuario termine comprándolos. Última actualización 18/nov/05 - 233 entradas http://www.vsantivirus.com/lista-nospyware.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1959 Año 9, viernes 18 de noviembre de 2005