VSantivirus No. 668 - Año 6 - Lunes 6 de mayo de 2002

VSantivirus No. 668 - Año 6 - Lunes 6 de mayo de 2002

VSantivirus No. 668 - Año 6 - Lunes 6 de mayo de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - ¿Cuánto más segura será la plataforma .NET?
2 - JS/FakeHost. Suplanta el archivo HOSTS por uno falso
3 - VBS/Small.J (Troj/Small.J). Envío masivo de TARIFE.VBS
_____________________________________________________________

1 - ¿Cuánto más segura será la plataforma .NET?
_____________________________________________________________

http://www.vsantivirus.com/06-05-02.htm

¿Cuánto más segura será la plataforma .NET?
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

En una reciente conferencia de seguridad realizada en
Vancouver, en la Columbia Británica, fueron examinadas
algunas de las características de seguridad de la tan
esperada próxima generación de servicios de Internet, la
plataforma .NET.

Los resultados en principio parecen ser halagüeños, según lo
revelado por el consultor de seguridad de una compañía
llamada Digital Defense. H.D. Moore es considerado un
auténtico hacker, y su exposición en la citada conferencia,
no dejó del todo mal parado al próximo producto estrella de
Microsoft.

Según Moore, el producto es bueno, pero todavía quedan cosas
para hacer en él, antes de poder dar una opinión final.

El mayor problema por el momento, no está en la plataforma en
si, sino en la documentación actual. Según Moore, esta
plataforma podría llegar a eliminar algunas de la
vulnerabilidades que plagan a los productos actuales de
Microsoft, pero el software del servidor todavía es muy fácil
de configurar en forma errónea. Y la documentación actual, no
ayuda mucho en esto.

Para Moore, la plataforma .NET es segura tal como se
presenta, pero proclive a una mala programación que la haga
vulnerable.

Aunque existen todavía algunas fallas, el mayor problema es
que la documentación no menciona adecuadamente los problemas
de seguridad.

Es más, incluso una de los ejemplos de configuración posee
una vulnerabilidad que deja a dos archivos críticos de
configuración, al alcance de cualquier extraño vía Web.

Otras cosas equivocadas son demasiado obvias, y no deberían
estar en la documentación de un producto que debe ser seguro
obligatoriamente, como decir a los diseñadores que creen un
archivo con contraseñas en un directorio... ¡accesible para
cualquiera desde Internet!.

Aunque durante la presentación de Moore no habían
representantes de Microsoft que dieran su opinión a la
prensa, la compañía informó luego que examinaría todo lo
relacionado con el tema.

El producto tiene pocos meses de estar disponible para su
evaluación, y según Microsoft, la documentación ha sido bien
recibida por la comunidad, pero puede ser modificada de ser
necesario.

Tanto esta actitud, como los resultados mismos obtenidos en
la evaluación del producto, parecen afianzar la filosofía de
Gates de hacer de la seguridad de sus productos una
prioridad, como afirmó hace unos meses. Pero para el público
en general, y para muchos expertos y profesionales, hasta
ahora con sus productos actuales, solo parecen ser buenas
intenciones.

El análisis de Moore, por lo pronto, indica que la nueva
plataforma .Net tiene muchas posibilidades para poder lograr
en el futuro que la infraestructura de la Web, sea más segura
realmente. Aunque todavía existan muchos rasgos que claman
por ser "cerrados con llave", según el analista.

De todos modos, un tema en contra, es que la curva de
aprendizaje del nuevo entorno, puede hacerse muy empinada, y
resulta obvio que los errores humanos cometidos, pueden dañar
cualquier aplicación por más segura que esta se proclame.

Por ejemplo, un diseñador que instale .Net en una computadora
con el software Internet Information Server (IIS, el servidor
Web de Microsoft), notará que la configuración por defecto,
mucho más segura que en el pasado, también bloqueará muchos
más servicios por defecto que antes. Y a la hora de habilitar
estos servicios, los errores que se cometan pueden provocar
grandes problemas de seguridad.

Por otra parte, el nuevo software agrega 18 nuevas
extensiones, las que pueden convertirse en escenario de otras
tantas vulnerabilidades. Además, la versión actual del
producto tiene algunos componentes que podrían revelar
información sensible al ocurrir un error, dejando al
descubierto en algunos casos, el camino completo de un
determinado archivo en el servidor.

El consejo de Moore es tomar el tema de la configuración del
servidor en serio, ya que cualquier cosa que un diseñador
haga para cambiar un seteo por defecto, puede significar
también una seria disminución de la seguridad.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - JS/FakeHost. Suplanta el archivo HOSTS por uno falso
_____________________________________________________________

http://www.vsantivirus.com/fakehost.htm

Nombre: JS/FakeHost
Tipo: Caballo de Troya de Javascript
Fecha: 25/feb/02

Es un troyano escrito en javascript, que crea un archivo
HOSTS inválido en el sistema de la víctima, cuando una página
Web maliciosa, conteniendo el script del troyano, es
visualizada. El código del script está encriptado, y se auto
desencripta mientras es visto en el navegador.

El archivo HOSTS es usado por Windows para asociar nombres de
dominio con direcciones IP. Si este archivo existe (en
C:\Windows\), el sistema lo examina antes de hacer una
consulta a un servidor DNS. Tenga en cuenta que no
necesariamente debe existir, y generalmente no es necesario.

Un servidor DNS hace la misma tarea, convertir algo como
www.nombre.com en una dirección IP, tipo 200.165.104.181 (es
ficticia), que es lo que necesitan las computadoras para
conectarse.

Si existe un archivo HOSTS en la máquina infectada, el mismo
es sobrescrito por el troyano.

El HOSTS que pone el troyano, por su parte, contiene una
lista de populares sitios, los que son asociados a una sola
dirección IP ficticia. De este modo, cuando queramos navegar
al sitio de google.com (por ejemplo), iremos a una dirección
falsa.

La lista de sitios del nuevo HOSTS es la siguiente:

hotmail .com
yahoo .com
msn .com
altavista .com
google .com
paypal .com
ebay .com
buy .com
microsoft .com
icq .com
usa .net
usa .com
netscape .net
netscape .com
aol .com
web .de
excite .com
qwest .net
dell .com
hp .com
sony .com
gateway .com
ibm .com
bestbuy .com
prodigy .net
att .com
att .net
earthlink .net
earthlink .com
mail .com
lycos .com
av .com
mp3 .com
hollywood .com
cnn .com
nba .com
nhl .com
nfl .com
usatoday .com
weather .com
money .com
geocities .com
amazon .com
bankamerica .com
wu .com
westernunion .com
c2it .com
visa .com
internet .com
ivillage .com
real .com
x10 .com
about .com
www .hotmail .com
www .yahoo .com
www .msn .com
www .altavista .com
www .google .com
www .paypal .com
www .ebay .com
www .buy .com
www .microsoft .com
www .icq .com
www .usa .net
www .usa .com
www .netscape .net
www .netscape .com
www .aol .com
www .web .de
www .excite .com
www .qwest .net
www .dell .com
www .hp .com
www .sony .com
www .gateway .com
www .ibm .com
www .bestbuy .com
www .prodigy .net
www .att .com
www .att .net
www .earthlink .net
www .earthlink .com
www .mail .com
www .lycos .com
www .av .com
www .mp3 .com
www .hollywood .com
www .cnn .com
www .nba .com
www .nhl .com
www .nfl .com
www .usatoday .com
www .weather .com
www .money .com
www .geocities .com
www .amazon .com
www .bankamerica .com
www .wu .com
www .westernunion .com
www .c2it .com
www .visa .com
www .internet .com
www .ivillage .com
www .real .com
www .x10 .com
www .about .com

Todas están asociadas a la misma dirección IP.

Para limpiar un sistema infectado, solo borre el archivo
C:\Windows\HOSTS (no posee extensión).

Este archivo puede ser editado con el bloc de notas o el
Wordpad en modo texto. Recuerde que el archivo puede existir
en su sistema, y no necesariamente ser el mismo creado por el
troyano. En ese caso, no lo borre.

* Uso de Proxomitron para protegernos de HTMLs maliciosos

Para disminuir el riesgo de infección y evitar daños
provocados por el uso malintencionado de código malicioso
embebido en páginas WEB por el simple hecho de visualizarlas,
recomendamos la instalación de la utilidad Proxomitron.

Para instalar y configurar esta utilidad, así como para
obtener más información sobre la misma, siga este enlace:

VSantivirus No. 646 - 14/abr/02
Proxomitron. Una protección imprescindible para navegar
http://www.vsantivirus.com/proxomitron.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - VBS/Small.J (Troj/Small.J). Envío masivo de TARIFE.VBS
_____________________________________________________________

http://www.vsantivirus.com/small-j.htm

Nombre: VBS/Small.J
Tipo: Gusano de Visual Basic Script
Alias: VBS_SMALL.J, I-Worm.Small.j
Fecha: 4/may/02
Plataforma: Windows
Tamaño: 1,759 bytes

Este gusano está escrito en Visual Basic Script y llega en un
mensaje infectado. También es liberado por el troyano
Small.J.

Posee la capacidad de enviar mensajes infectados en forma
masiva a otros usuarios. Estos mensajes tienen como adjunto
un archivo llamado TARIFE.VBS, que es el propio gusano.

La extensión .VBS no siempre es visible, dependiendo de la
configuración de Windows, por lo que puede aparecer como
TARIFE solamente (vea al final de esta descripción "Cómo ver
las extensiones de los archivos").

También puede propagarse a través de los recursos compartidos
de una red.

El mensaje usado por el gusano tiene estas características:

Asunto: Ist dein Provider zu teuer?

Texto:
Dann ist die mail richtig für dich!Habe dir die
tarife von t-online-plus mitgeschickt und überzeuge
dich selbst!lg ferdinand

Datos adjuntos: Tarife.vbs

Para que se active, el usuario debe ejecutar el adjunto con
un doble clic, y entonces se copia a si mismo en el
directorio System de Windows:

C:\Windows\System\Tarife.vbs

Luego modifica el registro para autoejecutarse en próximos
reinicios del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Tarife" = "C:\Windows\System\tarife.VBS"

Si la computadora infectada está conectada a una red,
entonces el gusano se copia también en todas las unidades de
disco compartidas, como TARIFE.VBS.

Luego, se envía en un mensaje como el visto antes, a todas
las direcciones de la libreta del Outlook de la víctima
infectada.

Luego del primer envío masivo, activa un contador, y no
vuelve a enviar mensajes infectados hasta que la computadora
ha sido reiniciada 20 veces más (o lo que es lo mismo, hasta
que se ha ejecutado 20 veces más el archivo TARIFE.VBS al
iniciarse Windows).

Luego de esta cifra, la siguiente vez que Windows se inicia y
se ejecuta TARIFE.VBS, vuelve a auto enviarse en las mismas
condiciones anteriores.

* El troyano Small.J

Nombre: Troj/Small.J
Tipo: Caballo de Troya, dropper de VBS/Small.J
Alias: W32/Small.J, TROJ_SMALL.J,
TrojanDropper.Win32.Small.J, VBS_SMALL.J
Fecha: 4/may/02
Tamaño: 548,645 bytes

Este troyano actúa como dropper del gusano VBS/Small.J, el
cuál libera en la máquina infectada.

Cuando el troyano es ejecutado por el usuario (doble clic),
se copian y ejecutan dos archivos en la carpeta de archivos
temporales de Windows (C:\Windows\TEMP):

C:\Windows\TEMP\~temp1.vbs
C:\Windows\TEMP\~temp2.exe

El primero es el componente de envío masivo vía e-mail,
detectado como VBS/Small.J, descripto al principio.

El segundo es un programa normal que el troyano ejecuta luego
de activar al gusano, para esconder su actividad maliciosa, y
no despertar sospechas.

Este programa muestra las imágenes de dos vacas y ejecuta un
determinado sonido por cada una de las vacas.

* Reparación manual

Para eliminar el gusano y el troyano de un sistema infectado,
siga estos pasos:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros

3. Borre los archivos detectados como infectados

4. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

"Tarife" = "C:\Windows\System\Tarife.VBS"

7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

* Cómo ver las extensiones de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

- En Windows 95, vaya a Mi PC, Menú Ver, Opciones.

- En Windows 98, vaya a Mi PC, Menú Ver, Opciones de
carpetas.

- En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones
de carpetas.

Luego, en la lengüeta "Ver", DESMARQUE la opción "Ocultar
extensiones para los tipos de archivos conocidos" o similar.
También MARQUE la opción "Mostrar todos los archivos y
carpetas ocultos" o similar.

Más información:

VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es?
http://www.vsantivirus.com/sbam-extensiones.htm

* Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script
Defender, utilidad que nos protege de la ejecución de
archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF,
.WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y
gusanos escritos en Visual Basic Script por ejemplo, ya no
nos sorprenderán.

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm

* Glosario

DROPPER (cuentagotas) - Es un archivo que cuando se ejecuta
"gotea" o libera un virus. Un archivo "dropper" tiene la
capacidad de crear un virus e infectar el sistema del usuario
al ejecutarse. Cuando un "dropper" es escaneado por un
antivirus, generalmente no se detectará un virus, porque el
código viral no ha sido creado todavía. El virus se crea en
el momento que se ejecuta el "dropper".

Windows Scripting Host (WSH). Es un interprete de Java Script
y de Visual Basic Script, que puede ayudar a automatizar
varias tareas dentro de Windows, pero también puede ser
explotado por virus en dichos lenguajes. Está instalado por
defecto en Windows 98 y posteriores.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________