VSantivirus No. 587 - Año 6 - Jueves 14 de febrero de 2002

VSantivirus No. 587 - Año 6 - Jueves 14 de febrero de 2002

VSantivirus No. 587 - Año 6 - Jueves 14 de febrero de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - La más seria amenaza a la seguridad de Internet
2 - JS/Menger. Gusano que nos contagia al visitar ciertos Web
3 - Limpieza de virus en Windows XP
_____________________________________________________________

1 - La más seria amenaza a la seguridad de Internet
_____________________________________________________________

http://www.vsantivirus.com/14-02-02.htm

La más seria amenaza a la seguridad de Internet
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Una serie de vulnerabilidades que involucran a numerosas
aplicaciones que utilizan el protocolo SNMPv1 (Simple Network
Management Protocol versión 1), amenaza con convertirse en la
mayor pesadilla conque hayan tenido que lidiar los
administradores de sistema responsables.

Y posiblemente, si no se toman las medidas del caso, también
sea un gran problema para nosotros, los usuarios, cuando
surjan formas maliciosas de aprovecharse de estas fallas.

La serie de vulnerabilidades, afecta a numerosos productos, y
según el CERT, existen más de 100 fabricantes involucrados.

El protocolo SNMP es utilizado para la administración de una
red en Internet. Prácticamente todos los sistemas operativos,
ruteadores, cables módems, ADSL, cortafuegos, etc.,
implementan este protocolo. Las fallas permiten el acceso no
autorizado eludiendo privilegios, y hasta ataques coordinados
de negación de servicio.

Están afectados la mayoría de los productos de compañías como
Cisco, Computer Associates, Hewlett-Packard, Juniper, Lucent,
Marconi, Microsoft y Nortel. Casi todos ellos han publicado
parches o actualizaciones.

Para los administradores de sistemas, evaluar cuán vulnerable
es su sistema, e implementar la operabilidad de los programas
y servicios afectados, va a ser una dura experiencia. Pero es
algo que deberán hacer sin dilaciones.

Lo curioso, es que siendo estas fallas tan importantes,
recién hayan sido descubiertas.

Hispasec (www.hispasec.com) recomienda a los administradores
de redes, una serie de medidas para minimizar el impacto de
las fallas. Estas son:

1. Aplicar el parche correspondiente del vendedor del
producto afectado

2. Deshabilitar el servicio SNMP. Si bien en algunos casos
los productos afectados pueden presentar un comportamiento
inesperado o negaciones de servicio incluso si SNMP no se
encuentra activo

3. Bloquear el acceso a los servicios SNMP en la red
perimetral como medida temporal para limitar el alcance de
estas vulnerabilidades

4. Cambiar las "community strings" por defecto. Esto es
debido a que una gran parte de los productos se distribuyen
con "comunities" de acceso sólo lectura como "public" y
"private" para acceso de escritura. Se recomienda cambiar
estas cadenas por defecto por algo a elección del
administrador

Más información:

CERT Advisory CA-2002-03
Multiple Vulnerabilities in Many Implementations of the
Simple Network Management Protocol (SNMP):
http://www.cert.org/advisories/CA-2002-03.html

Internet Security Systems Security Alert
http://www.iss.net/security_center/alerts/advise110.php

Aviso de seguridad de Microsoft MS02-006
http://www.microsoft.com/technet/security/bulletin/MS02-006.asp

Cisco Security Advisory:
Malformed SNMP Message-Handling Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-malformed-snmp-msgs-pub.shtml

PROTOS - Security Testing of Protocol Implementations
http://www.ee.oulu.fi/research/ouspg/protos/

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - JS/Menger. Gusano que nos contagia al visitar ciertos Web
_____________________________________________________________

http://www.vsantivirus.com/menger.htm

Nombre: JS/Menger
Tipo: Gusano de JavaScript, virus de HTML
Alias: JS_MENGER.GEN, MENGER.GEN, Js/Messenger-Exploit,
JS/CoolNow, JScript/CoolNow.Worm, Menger.
Plataforma: Windows
Fecha: 13/feb/02

Si al visitar un sitio, se abre un enlace y una ventana a
pantalla completa del browser, corremos el riesgo de haber
sido infectados por este virus.

Este gusano nos contagia al visitar determinadas páginas Web,
las que contienen el código viral (un Javascript). Para
dirigirnos a dicha página, podemos recibir vía MSN Messenger,
un mensaje con un enlace a la misma.

Si ejecutamos el enlace y se nos abre en nuestro explorador
dicho sitio, el virus se activa en nuestra computadora. Para
ello engancha el manejador del evento ONLOAD con su función
principal. La primera acción visible es configurar el browser
para conectarse a ese sitio en el modo Pantalla completa:

res:///blank.htm

Modifica el texto de la pantalla o el título de la ventana
para que muestre el mensaje "Please Wait...".

Utiliza una de las vulnerabilidades que corrige el último
parche acumulativo de Microsoft, en la librería MSHTML.DLL
para invocar e iniciar automáticamente una sesión en MSN.

El gusano también puede robar datos de nuestra configuración
del MSN Messenger. Estos datos son enviados en formato HTML
al autor del gusano.

El virus envía la información de la solicitud HTTP a un
servidor Web específico, cuya dirección está oculta en la
página visitada.

El gusano envía entonces notificaciones a todos los usuarios
listados en MSN Messenger, invitándolos a visitar determinado
sitio.

Según los últimos reportes, el gusano está presente en
numerosos sitios, existiendo diferentes variantes que alteran
el nombre dado en el mensaje enviado por el MSN.

Un ejemplo:

ATTeNT!oN - Go to:
http://www..com/elite_Xjp/teztx1.htm Now

El parche que corrige la falla que permite esto, está en el
paquete del boletín MS02-005 (ver VSA #585, Parche crítico
para 6 vulnerabilidades (MS02-005)
http://www.vsantivirus.com/vulms02-005.htm).

Para remover el gusano de un sistema infectado, ejecute uno o
más antivirus actualizados, y borre los archivos
identificados como JS/Menger o similar.

Para evitar su ejecución, actualice su Internet Explorer con
el parche acumulativo de MS02-005, según se explica en el
artículo mencionado antes.

Mientras tanto, evite seguir el enlace a páginas Web que
aparezcan en cualquier mensaje no solicitado.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - Limpieza de virus en Windows XP
_____________________________________________________________

http://www.vsantivirus.com/faq-winxp.htm

Limpieza de virus en Windows XP

Cómo sucedía con Windows Millenium, en Windows XP también
debemos deshabilitar la opción "Restaurar Sistema" o
"AutoRestore", para la limpieza de algunos virus. Esta
característica implementada por primera vez en Windows Me y
ahora también presente en Windows XP, realiza un respaldo
automático de los archivos esenciales del sistema para poder
restituirlos ante cualquier modificación crítica. Sin
embargo, algunos virus, por copiarse en ciertas carpetas o
ubicaciones especiales, también son "respaldados", causando
problemas a los antivirus al intentar eliminarlos.

Para deshabilitar la herramienta "Restaurar sistema" en
Windows Me diríjase a nuestro artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Para deshabilitar la herramienta "Restaurar sistema" en
Windows XP, siga estos pasos:

1. Seleccione, Inicio, Mi PC
2. Haga clic en "Ver información del sistema"
3. Seleccione la etiqueta "Restauración de sistema"
4. Marque la casilla "Deshabilitar Restauración del Sistema
en todos los discos" y pulsar en "Aplicar".
5. El sistema le preguntará si está seguro de querer
deshabilitarlo. Confírmelo pulsando en SI.
6. La opción que muestra el estado de los discos en la
ventana "Restauración del Sistema" aparecerá deshabilitada
(todo gris). Pulse en el botón Aceptar.

Reinicie su PC, y proceda a escanearlo con uno o dos
antivirus actualizados.

Para rehabilitar la opción "Restauración del sistema" repita
todos los pasos anteriores, desmarcando en (4) la casilla
"Deshabilitar Restauración del Sistema en todos los discos".

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________