(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - DoS en Microsoft Windows Media Services
_____________________________________________________________
http://www.vsantivirus.com/vulms03-019.htm
Boletín: MS03-019
Fecha: 28/may/03
Producto: Microsoft Windows Media Services
Resumen: Falla en el archivo "nsiislog.dll"
Impacto: Denegación de servicio
Riesgo: Moderado
Plataforma: Microsoft Windows NT 4.0 y 2000
Referencia: Microsoft Security Bulletin MS03-019
Identificación en base de datos: 817772
Una falla en las extensiones ISAPI para Windows Media
Services, pueden provocar denegación de servicio. Esta falla
afecta sistemas que corran Microsoft Windows NT 4.0 o
Microsoft Windows 2000 solamente. No son afectados ni Windows
XP ni Windows Server 2003.
Microsoft Windows Media Services es una característica
implementada en Microsoft Windows 2000 Server, Advanced
Server, y Datacenter Server. También está disponible una
versión descargable para Windows NT 4.0 Server.
Windows Media Services ofrece el soporte para la difusión de
contenido multimedia en vivo a clientes a través de una red
en lo que se conoce como multicast streaming. Se denomina
"streaming" a la técnica utilizada para transmitir datos de
tal modo que estos puedan ser procesados como un flujo
continuo y constante, mostrando la información transmitida
antes de que el archivo se haya descargado en su totalidad.
Mediante el método denominado multicast, la información puede
ser recibida por múltiples nodos de la red y por lo tanto por
múltiples usuarios, pero el servidor no mantiene conexión
directa ni tiene conocimiento del cliente que puede estar
recibiendo el flujo de datos.
Para facilitar el registro de esta información en el cliente,
existe una opción específicamente diseñada para este
propósito, que permite registrar las transmisiones multicast
y unicast (éstas últimas se refieren a las comunicaciones
establecidas entre un solo emisor y un solo receptor en una
red).
Esta capacidad de registro (logging), está implementada en
las extensiones ISAPI (Internet Services Application
Programming Interface), en el archivo "nsiislog.dll". Cuando
Windows Media Services está instalado en Windows NT 4.0
Server o habilitado a través de las opciones de agregar o
quitar programas de Windows 2000, nsiislog.dll es copiado en
el directorio de scripts del servidor Internet Information
Services (IIS).
La falla se produce por la manera que nsiislog.dll procesa la
información recibida. Un atacante puede enviar flujos de
comunicación al servidor que causen que el IIS deje de
responder a cualquier otra solicitud de Internet.
Windows Media Services no se instala por defecto en Windows
2000, y debe ser descargado e instalado específicamente en
Windows NT 4.0. Un atacante que quiera explotar esta
vulnerabilidad tendría que saber que computadora en la red
tiene Windows Media Services instalado para enviarle a ésta
la solicitud específicamente modificada. La denegación de
servicio afecta solamente al IIS, los demás servicios en el
servidor no serían afectados.
* Nota para administradores de sistemas
Una forma de determinar si el servidor tiene instalada la
capacidad de registro que es vulnerable, es utilizar la
opción Buscar, Archivos y carpetas, para localizar el archivo
NSIISLOG.DLL. Si aparece este archivo en cualquier directorio
compartido por el IIS, el servidor puede ser vulnerable.
* Solución
Descargar e instalar el parche que elimina el fallo en el
archivo Nsiislog.dll.
Más información y descarga del parche:
http://www.microsoft.com/technet/security/bulletin/ms03-019.asp
Más información:
http://support.microsoft.com/?kbid=817772
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Holar.H. Destructivo gusano usa e-mail y P2P
_____________________________________________________________
http://www.vsantivirus.com/holar-h.htm
Nombre: W32/Holar.H
Tipo: Gusano de Internet
Alias: Holar, W32/Holar.H@MM, I-worm.Holar.H@mm,
Win32/Holar.H, W32/Holar.h@MM, New MSVB P2P, W32.Hawawi.Worm,
WORM_HOLAR.G, W32/Hawawi@mm
Fecha: 28/may/03
Tamaño: 56,614 bytes
Variante de W32/Holar.D (ver
http://www.vsantivirus.com/holar-d.htm).
Intenta propagarse vía e-mail y a través de las redes de
archivos compartidos P2P.
Consiste en tres componentes principales. Un dropper (libera
a los demás componentes), el gusano propiamente dicho (24,064
bytes) y la librería SMTP para el envío vía e-mail (25,737
bytes).
El "dropper" es un archivo que cuando se ejecuta "gotea" o
libera un virus. Un archivo "dropper" tiene la capacidad de
crear un virus e infectar el sistema del usuario al
ejecutarse. Cuando un "dropper" es escaneado por un
antivirus, generalmente no se detectará un virus, porque el
código viral no ha sido creado todavía. El virus se crea en
el momento que se ejecuta el "dropper".
En este caso, el dropper libera y ejecuta los otros dos
componentes mencionados antes.
El gusano crea un contador que aumenta en cada ejecución. Al
llegar a la ejecución número 30, intentará borrar todos los
archivos del disco duro. Al mismo tiempo muestra varias
ventanas de diálogo. A medida que el usuario las cierra o
pulsa en el botón [OK] muestra distintos mensajes, y
finalmente reinicia la computadora.
Los archivos borrados son truncados a cero byte, haciendo
prácticamente imposible su recuperación sin reinstalar los
mismos (todo el sistema operativo y todos los programas y
aplicaciones).
El gusano utiliza su propio motor SMTP para enviarse como
correo electrónico infectado, con varios asuntos y textos.
Todos los mensajes tienen el mismo remitente.
De: Dispatch@McAfee.com
Asunto: '''*< Love Speaks it all >*'''
Texto:
Hii
Try this great program allowing u to translate 100
languages .just write a passage in english and chose a
language to get the traslation one of my friends used it
with his arabian gf and it worked successfully ;)
so , Now we can say ' Love Speaks it All ' :)
Asunto: Co0o0o0o0oL
Texto:
i thing the subject is enough to describe the attached
file ! check it out and replay your opinion
Cya
Asunto: Fw:
Texto:
You're gonna love it ;)
delete it after reading , Professor :P
Asunto: Heeeeeeeeeeeeeeeey
Texto:
i've got this surprise from a friend :)
it really deserves a few minutes of your time.
Bye
Asunto: Wussaaaaaaaap?
Texto:
Should i email u first to email me?
u don't know how much ur emails mean to me.
i wish u like this email and plzz don't forget me :)
Asunto: WoW But not for NoW
Texto:
coz i couldn't get the other part of it ,
any way , check it out
having alil thing is better than nothing :P
Asunto: y0 Ain't Got Shyt !
Texto:
All u can get is burning ur self
Coz all we can do is to watch, nothing for us to touch :(
Asunto: Why Do We FOk?
Texto:
let me answer ,,,
hummmmmmmmm
Coz we Burn Our selves by watching ********** like the
one i attached :P
Asunto: Heeelllooo , anybody home????
Texto:
i tried many times to send u this email but ur account was
out of storage as i think any way , make sure that i didn't
and i won't forget u :)
Cya Forgotten :P
Asunto: Why did u send me this shyt?
Texto:
THANX BUT I DON'T ACCEPT SEX MATERIALS FROM
STRANGERS. I SAW THEM N I WONDERED HOW U COULD
DO SO ?
I REATTACHED THE SHYT U SENT
PLEASE DON'T EMAIL ME ,
Asunto: Re:Hi
Texto:
No thanx , keep it for you :)
Asunto: Lo0o0o0o0o0o0o0o0o0o0o0o0oL
Texto:
Measure your intelligence , the power of your mind and the
speed of your reaction by answering several Qs , don't
forget to send me your mark.
I took 3.5/10 :P
Let's see who is more intelligent than the other!
Good Luck
Asunto: hurry up !!!
Texto:
this is the last one i could find ,
Don't forget , send me the project in a zipped file :)
Bye
Asunto: To Early To Have Sex!
Texto:
When i saw it i didn't believe that she was only 8 yrs old.
but when i saw the blood and heard the voice of her :( i
got Shocked
Asunto: Fw:Send it to all of the ppl u love
Texto:
Don't Believe ur self, I don't Love Ya :P
But i Don't know why i sent this to u.
Make use of it , Bye ;)
Asunto: Surpise !
Texto:
I'm in a harry ,
Send me any clip with voice like the one i attached .
And stop sending the booooring pictures
For your elegant Taste
elegant ppl should satisfy thier taste with elegant
things ;)
Asunto: Again?
Texto:
I sent this email to another body :P and he replayed saying
Thanx !! i always write your email wrongly.
Hummm, if u like it replay to me , and don't forget to
write ur signature to make sure that i didn't send the
email to a wrong one ;)
Asunto: Who are you??????
Texto:
i'm fine , thanx for asking :)
and thanx for the nice attachements.
but unfortunately, i don't remember you
i will be waiting for u emaill to remind me of your self.
Asunto: Hummm , i hope u accept this show as an apology.
Texto:
The Spanish Beauty
it's a mix of the Arabian beauty & the european grace !
satisfy your eyes with the beauty that u have never seen ;)
Asunto: I've Got it :)
Texto:
I've got it from KaZaA network ,
it seems not to be full but that's all i could find :(
Asunto: Helloooooooo
Texto:
I've got your email , but you forgot to upload the
attachments. Don't be selfish , i sent you all the files i
have, send me anything :(
Asunto: If u are booooored ...
Texto:
i found it in my Recycled , i know u love this kind of
thing ;) attachment :) bye
Asunto: Dispatch@McAfee.com
Texto:
Virus Alert !
Dear User,
McAfee.com Has recieved an infected message from you
.We believe that you are infected with Win32/HaWawi@MM
Virus.
Please download the attached tool (ToolAv01w32) which
will help you to clean your PC.
For more information :
*Create an email addressed to virus_research@nai.com.
Your name, phone number, address, and email address
Operating system:
Antivirus program:
Anti virus engine version (e.g. 4.1.20)
DAT file version (e.g. 4.0.4140)
Browser version
Nature of problem
Uno de los siguientes archivos adjuntos (el mismo archivo con
distintos nombres):
Aint_it_Funny.pif
AniMaL_N_Burning_Ladies.pif
Beauty_VS_Your_FaCe.pif
Broke_ass.pif
Come_2_Cum.pif
Endless_life.pif
Famous_PpL_N_Bad_Setuations.pif
Gurls_Secrets.pif
HAwa.pif
HaWawi_N_Hawaii.pif
Hearts_translator.pif
Hot_Show.pif
How_to_improve_ur_love.pif
Leaders_Scandals.pif
Lo0o0o0o0oL.pif
Real_Magic.pif
Shakiraz_Big_ass.pif
Short_vClip.pif
Sweet_but_smilly.pif
Tears_of_Happiness.pif
Tedious_SeX.pif
Teenz_Raper.pif
The_Truth_of_Love.pif
ToolAv01w32.pif
unfaithful_Gurls.pif
White_AmeRica.pif
XxX_Mpegs_Downloader.pif
Para propagarse a través de las redes de intercambio de
archivos, el gusano crea copias de si mismo con los nombres
vistos antes (ver lista de archivos adjuntos), en las
carpetas compartidas correspondientes.
El gusano crea además los siguientes archivos con los
atributos de ocultos (+H):
C:\Windows\System\Explore.exe
C:\Windows\System\SMTP.ocx
Realiza las siguientes modificaciones en el registro de
Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Explore = c:\windows\system\Explore.exe
HKEY_CURRENT_USER
DeathTime = [contador]
Esta última entrada es el contador mencionado al principio.
* Reparación manual
* Deshabilitar las carpetas compartidas por programas P2P
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Explore = c:\windows\system\Explore.exe
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
