|
|
|
|
|
VSantivirus No. 586 - Año 6 - Miércoles 13 de febrero de 2002 |
VSantivirus No. 586 - Año 6 - Miércoles 13 de febrero de 2002
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Fallos en el último parche de Microsoft
2 - Hotmail vulnerable al robo de contraseñas
3 - W32/Pixo. Un gusano como tantos
4 - Troj/Juntador.C. Puede llegar dentro de WarezX.exe
_____________________________________________________________
1 - Fallos en el último parche de Microsoft
_____________________________________________________________
http://www.vsantivirus.com/13-02-02a.htm
Fallos en el último parche de Microsoft
Por Jose Luis Lopez
videosoft@videosoft.net.uy
7
Según informa la publicación Newsbytes, y de acuerdo a
numerosas pruebas realizadas, el último parche acumulativo de
Microsoft (ver VSA # 585, Parche crítico para 6
vulnerabilidades (MS02-005)
http://www.vsantivirus.com/vulms02-005.htm), liberado esta
semana, y que supuestamente soluciona seis fallas críticas en
la seguridad del Internet Explorer, en realidad deja al
sistema más vulnerable.
Según publica Newsbytes, las pruebas realizadas por su
laboratorio, y la información de otros investigadores
independientes, revelan que al menos dos de las seis
vulnerabilidades que dice corregir, son cerradas parcialmente
y además no corrige una de las fallas más peligrosas, la que
permite a un atacante malicioso, ejecutar en forma remota,
programas en la computadora de la víctima (incluidos
obviamente troyanos, virus, etc.).
Esta peligrosa falla, conocida como "IE Pop-Up OBJECT Tag
Bug", fue reportada a Microsoft el pasado mes de enero por un
investigador conocido como ThePull.
La demostración que ThePull aún mantiene en su sitio,
continúa funcionando perfectamente, aún después de la
actualización q316059, nombre del parche recomendado como
crítica por Microsoft en su boletín MS02-005.
El agujero, permite a cualquier sitio malicioso o escritor de
virus a través de un correo electrónico en formato HTML,
ejecutar cualquier programa existente en el disco duro de la
víctima. Combinar esto con la descarga de un código viral,
para luego ejecutarlo, puede resultar hasta trivial, y es
extraño no exista un gusano que se aproveche de esto aún.
Otra de las fallas que el parche dice corregir, conocida
técnicamente como "Frame Domain Verification Variant via
Document.Open function", no funciona con todas las variantes
conocidas de este exploit (recordemos que esta falla es parte
del problema que permitía tomar el control del MSN Messenger
de otro usuario, secuestrando su cuenta, como se explica en
VSA #584, Vulnerabilidad en IE trae problemas al Messenger
http://www.vsantivirus.com/11-02-02.htm).
Aunque Microsoft asegura en su boletín, que el parche elimina
todas las variantes conocidas, Newsbytes ha comprobado que
aún hay archivos que pueden ser enviados desde la computadora
de la víctima, a la del atacante.
ThePull notificó esta falla en diciembre de 2001 a Microsoft.
Por otra parte, la falla en el componente XMLHTTP del
Internet Explorer 6, solo ha sido corregida bajo Windows
2000, mientras los sistemas basados en Windows 98 y Me siguen
siendo vulnerables.
Recordemos que el parche estuvo listo el pasado jueves, pero
fue sacado del sitio de Microsoft apenas dos horas después,
aludiendo fallas en el empaquetado, no en el parche en si
mismo. La compañía insistió que aquellos que habían bajado el
parche en esa oportunidad y lo habían podido instalar sin
dificultades, no tenían porque volver a hacerlo, ya que la
falla solo causaba problemas en el desempaquetado del parche,
impidiendo su instalación.
La duda que esto nos deja (no es la primera vez que ocurre en
los últimos meses), es si estos fallos de parches que no
funcionan como deberían, pueda ser consecuencia directa de la
presión que Microsoft está recibiendo por la constante
divulgación de fallas, y la premura por solucionarlas.
De cualquier modo, no hay respuesta oficial de Microsoft aún.
Relacionados:
VSantivirus No. 585 - 12/feb/02
Parche crítico para 6 vulnerabilidades (MS02-005)
http://www.vsantivirus.com/vulms02-005.htm
Boletín MS02-005 de Microsoft
http://www.microsoft.com/technet/security/bulletin/MS02-005.asp
Sitio de ThePull con las demostraciones de las fallas
http://www.osioniusx.com
Newsbytes
http://www.newsbytes.com
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Hotmail vulnerable al robo de contraseñas
_____________________________________________________________
http://www.vsantivirus.com/13-02-02b.htm
Hotmail vulnerable al robo de contraseñas
Por Jose Luis Lopez
videosoft@videosoft.net.uy
El problema no es solo con Hotmail, sino con todo el soporte
relacionado, y conocido como Passport, una de las claves para
el uso comercial del nuevo entorno .NET. En teoría, esta
forma de autentificación, nos habilita no solo la cuenta de
correo, sino el acceso a numerosas formas de comercio
electrónico, transacciones comerciales y bancarias, etc.
En la teoría, si un atacante puede hacerse de nuestra
contraseña, puede acceder a los sitios de comercio
electrónico habilitados con dicha contraseña en Passport,
hacer sus compras a nuestro nombre y pedir la despachen a
otra dirección. Aunque esta situación pueda no ser tan común
para aquellos que no vivimos en los Estados Unidos, es bueno
que sepamos que ello es posible, y que podríamos convertirnos
fácilmente en víctimas de un auténtico fraude.
El truco usado esta vez por los crackers para obtener las
contraseñas, está relacionado con la pregunta confidencial
que Hotmail solicita cuando un usuario se olvida la clave.
Normalmente, es necesario llenar un formulario en el Web con
algunos datos, entre los cuáles está la pregunta
confidencial.
Existe una forma de saltarse el formulario de aprobación, e
ir directamente a la pregunta confidencial de cualquier
usuario. Con estos datos, puede obtenerse la contraseña de
este usuario, y con ella la utilización de su cuenta en
Passport.
Lo más preocupante (además del hecho del uso ilegal de
nuestra cuenta por supuesto), está en que las "herramientas"
para hacer uso de este exploit, están visibles para
cualquiera que se tome el trabajo de examinar el código
fuente de la página de login de Hotmail. Y por cierto que es
un error muy grave de seguridad dejar cierta información
crítica en texto plano, sin ninguna clase de encriptación...
:(
Si usted tiene cuenta de Hotmail, espere hasta que Microsoft
solucione esta falla, antes de pensar en utilizar su cuenta
Passport para algún tipo de transacción comercial. Y rece
para que nadie lo haga en su lugar... :(
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Pixo. Un gusano como tantos
_____________________________________________________________
http://www.vsantivirus.com/pixo.htm
Nombre: W32/Pixo
Tipo: Gusano de Internet
Fecha: 12/feb/02
Plataforma: Windows
Fuente: Symantec
Pixo es un gusano escrito en Visual Basic que se copia a si
mismo en la carpeta \Windows\System o \Winnt\System32 (el
contenido de la variable %System%) y a cualquier disquete
insertado en la unidad A.
El nombre usado en la copia es el mismo que tenía el
original. Por ejemplo:
C:\Windows\System\PIX-61081.exe
C:\Winnt\System32\PIX-61081.exe
También modifica el registro de Windows para autoejecutarse
en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Rundll32.exe = C:\Windows\System\PIX-61081.exe
Recordemos que el nombre del gusano puede variar.
El gusano puede propagarse vía e-mail.
* Cómo borrar manualmente el gusano
Para borrar manualmente el gusano, reinicie Windows en modo a
prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Luego, siga estos pasos:
1. Ejecute un antivirus actualizado, copie el nombre del
archivo detectado como W32/Pixo en un papel.
2. Seleccione Inicio, Buscar, Archivos o carpetas
3. Teclee el nombre del archivo obtenido en el punto 1 y
pulse ENTER
4. Borre ese archivo si aparece
5. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter
6. En el panel izquierdo del editor de registro de Windows,
pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
RunServices
7. Pinche sobre la carpeta "RunServices". En el panel de la
derecha pinche sobre la entrada que coincida con el nombre
del archivo obtenido en el punto 1, y pulse la tecla SUPR o
DEL. Conteste afirmativamente la pregunta de si desea borrar
la clave.
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
Notas:
Si el sistema operativo instalado es Windows Me, para poder
eliminar correctamente este virus de su computadora, deberá
deshabilitar antes de cualquier acción, la herramienta
"Restaurar sistema" como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Troj/Juntador.C. Puede llegar dentro de WarezX.exe
_____________________________________________________________
http://www.vsantivirus.com/juntador-c.htm
Nombre: Troj/Juntador.C
Tipo: Caballo de Troya
Alias: TR/Juntador.C.Drop, TrojanDropper.Win32.Juntador.C
Tamaño: 8 Kb aprox.
Fecha: 11/feb/02
Plataforma: Windows
Fuente: Central Command
Este troyano se activa al ser ejecutado por el propio
usuario, por lo tanto se recomienda no abrir archivos
enviados sin su consentimiento, ni ejecutar nada descargado
de Internet, sin revisarlo antes con uno o dos antivirus al
día.
Originalmente llega dentro de archivos aparentemente
inocentes, siendo el reportado por Central Command, una
supuesta utilidad hacker llamada "WarezX.exe".
Cuando el usuario ejecuta ese archivo, el troyano es liberado
con el nombre de NETSTET.exe en la carpeta \Windows\
C:\Windows\NETSTET.exe
Luego, para ejecutarse en cada reinicio, modifica esta
entrada del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NETSTET=C:\Windows\NETSTET.exe
Una vez activo, queda a la espera de ordenes desde un
supuesto cliente, vía Internet.
IMPORTANTE:
Si el troyano ha sido instalado en el sistema, es posible que
su computadora pueda ser accedida en forma remota por un
intruso sin su autorización. Esto es más crítico en caso de
tenerla conectada a una red. Por esta razón es imposible
garantizar la integridad del sistema luego de la infección.
El usuario remoto puede haber realizado cambios a su sistema,
incluyendo las siguientes acciones (entre otras posibles):
- Robo o cambio de contraseñas o archivos de contraseñas.
- Instalación de cualquier software que habilite conexiones
remotas, a partir de puertas traseras.
- Instalación de programas que capturen todo lo tecleado por
la víctima.
- Modificación de las reglas de los cortafuegos instalados.
- Robo de números de las tarjetas de crédito, información
bancaria, datos personales.
- Borrado o modificación de archivos.
- Envío de material inapropiado o incriminatorio desde la
cuenta de correo de la víctima.
- Modificación de los derechos de acceso a las cuentas de
usuario o a los archivos.
- Borrado de información que pueda delatar las actividades
del atacante (logs, etc.).
Estas acciones solo se indican como ejemplo, pero de ningún
modo deben tomarse como las únicas posibles.
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
De cualquier modo, y sin olvidar las mencionadas previsiones,
se puede sugerir el siguiente plan
de acción para un intento de sacar el troyano en forma
manual.
* Cómo borrar manualmente el gusano
Para borrar manualmente el gusano, reinicie Windows en modo a
prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Luego, siga estos pasos:
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Teclee NETSTET.exe y pulse ENTER
3. Borre NETSTET.exe si aparece
4. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter
5. En el panel izquierdo del editor de registro de Windows,
pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
6. Pinche sobre la carpeta "Run". En el panel de la derecha
pinche sobre la entrada "NETSTET", "C:\Windows\NETSTET.exe" y
pulse la tecla SUPR o DEL. Conteste afirmativamente la
pregunta de si desea borrar la clave.
7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
Notas:
Si el sistema operativo instalado es Windows Me, para poder
eliminar correctamente este virus de su computadora, deberá
deshabilitar antes de cualquier acción, la herramienta
"Restaurar sistema" como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
| 