VSantivirus No. 709 - Año 6 - Domingo 16 de junio de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - E-mail sobre el virus Klez mezcla realidad con ficción
2 - Microsoft liberó cinco parches en una semana
3 - W97M/Nori.A. Activa una rutina destructiva el 1 de abril
_____________________________________________________________

1 - E-mail sobre el virus Klez mezcla realidad con ficción
_____________________________________________________________

http://www.vsantivirus.com/hoax-klez.htm

E-mail sobre el virus Klez mezcla realidad con ficción

Por Giordani Rodrigues
editor@infoguerra.com.br

Traducción: VSAntivirus

Artículo publicado originalmente en "InfoGuerra" (*)
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1024004387,86297,/

No satisfechos con la gran cantidad de mensajes contaminados
con el virus Klez que continúan obstruyendo las casillas de
correo electrónico en todo el mundo, los diseminadores de
bulos por Internet, resolvieron dar más fuerza a la plaga. Un
e-mail con el asunto "Terrorismo Virtual" comenzó a circular
recientemente y trae el siguiente mensaje:

--- comienzo del mensaje original ---

Atenção:

Hoje, 12/06/2002 alguém vem tentando infectar computadores.

O Relatório da Norton acusa mensagens vindas do seguinte
endereço: zveiter@aol.com como sendo o distribuidor do vírus.
O endereço está sendo divulgado pela Internet.

Do referido endereço vem um "setup.exe" infectado pelo vírus:
"W32.Klez.H@mm"

Caso você saiba ou tenha este endereço em sua lista,
divulgue, denuncie e bloqueie este ato de terrorismo virtual.

--- comienzo del mensaje traducido ---

Atención:

Hoy, 12/06/2002 alguien está intentando infectar
computadoras.

El informe de Norton acusa mensajes venidos de la siguiente
dirección: zveiter@aol.com como portadores del virus. La
dirección está siendo divulgada por Internet.

De la referida dirección llega un "setup.exe" infectado por
el virus: "W32.Klez.H@mm"

En caso de que usted sepa o tenga esa dirección en su lista,
divulgue, denuncie y bloquee este acto de terrorismo virtual.

--- final del mensaje ---

InfoGuerra entró en contacto con el asesor de prensa de
Symantec, productora del Norton antivirus, y recibió la
información del ingeniero de sistemas Daniel Moreira de que
la empresa no divulgó ningún reporte con el contenido
referido en el mensaje.

Una investigación con el mecanismo de búsqueda de Google,
usando el correo electrónico zveiter@aol.com como palabra
clave, tampoco devolvió resultado alguno, incluso en los
grupos de discusión, lo que demuestra que la dirección no
está siendo divulgada por Internet, como afirma el mensaje.
Daniel Moreira, en tanto, recuerda que el virus Klez.H es una
amenaza real y que esa dirección pudo haberse infectado con
el virus.

Esto no quiere decir que usted deba empezar a divulgar este
mensaje entre sus conocidos, primero porque el supuesto
"Informe de Norton" no existe, y segundo porque el Klez puede
utilizar cualquier dirección de e-mail para propagarse,
incluyendo aquellas de personas que nunca tuvieron sus
máquinas contaminadas.

Una de las características más traicioneras del Klez es su
capacidad de escoger direcciones aleatorias para usarlas en
sus mensajes. Digamos que Pedro tiene la dirección
pedro@dominio.com. Su máquina está libre de virus, pero su
dirección está en la libreta de José, cuya máquina está
infectada por el Klez. A partir de ese computador infectado,
el virus genera un mensaje con su código, inserta la
dirección pedro@dominio.com en el campo del remitente, y
envía ese mensaje a usted, cuya dirección también está en la
libreta de José. A causa de esto, usted podría pensar que el
PC de Pedro está infectado, cuando esto no es verdad.

El Klez.H posee su propio mecanismo SMTP para enviar los
mensajes y una compleja rutina capaz de usar virtualmente
cualquier dirección del mundo para propagarse. Otra media
verdad contenida en el hoax, se refiere al archivo setup.exe.
Este es usado por una de las variantes del Klez. Pero el
Klez.H tiene la capacidad de infectar, robar y enviar por
correo electrónico archivos y documentos. Los archivos
ejecutables en general siempre deben ser tratados con
desconfianza.

La verdad es que el Klez.H está tan diseminado en el mundo,
que la combinación actual de direcciones electrónicas,
mensajes y archivos que puede usar para propagarse es tan
grande, que si todo el mundo fuese a enviar un mensaje
conteniendo cada una de estas descripciones a todos sus
conocidos, probablemente Internet sufriría un colapso.

Lo mejor que usted debería hacer es utilizar un antivirus
actualizado y descargar las actualizaciones para su Internet
Explorer y para Windows, pues el Klez se aprovecha de fallas
de programación para poder ejecutarse automáticamente. Y si
recibe un mensaje como el descripto arriba, bórrelo en lugar
de enviárselo a sus amigos.

Vea también (en portugués):

Vírus Klez espalha documentos pessoais pela Web
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1020049200,93156,/

Vírus Klez.E destruirá arquivos nesta quarta-feira
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1015297200,99870,/

Vírus destrutivo age só com pré-visualização de e-mail
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1005669738,38737,/

En VSAntivirus:

VSantivirus No. 680 - 18/may/02
Klez: la historia de los mensajes que usted no mandó
http://www.vsantivirus.com/klez-spam.htm

VSantivirus No. 664 - 2/may/02
Un consejo para los que están cansados de recibir el Klez
http://www.vsantivirus.com/faq-reglas-klez.htm

VSantivirus No. 654 - 22/abr/02
Guía rápida para limpiar un sistema infectado con el Klez.H
http://www.vsantivirus.com/faq-klez.htm

VSantivirus No. 650 - 18/abr/02
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm

VSantivirus No. 626 - 25/mar/02
El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm

VSantivirus No. 652 - 20/abr/02
Klez.H hace públicos nuestros secretos más íntimos
http://www.vsantivirus.com/20-04-02a.htm

(*) InfoGuerra es el primer sitio brasileño especializado en
noticias sobre seguridad y privacidad que apunta al público
en general. Ofrece diariamente información seleccionada y
muchas veces exclusiva sobre estos temas, bajo la premisa del
respeto a la inteligencia, al derecho a estar informado, y a
la privacidad de sus lectores. VSAntivirus (Video Soft) e
InfoGuerra mantienen desde agosto de 2001, un mutuo acuerdo
de intercambio de información.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Microsoft liberó cinco parches en una semana
_____________________________________________________________

http://www.vsantivirus.com/vulms02-27-30.htm

Microsoft liberó cinco parches en una semana

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

En la semana pasada, Microsoft hizo públicos cinco parches
diferentes, llegando al colmo de liberar uno... para
"emparchar" su propio parche...

Algunos fueron comentados durante la semana. Lo siguiente es
una descripción resumida de todos ellos.

* MS02-027 (revisado el 14 de junio, versión 2.0)

El día 11 de junio, Microsoft liberó la primera versión de
este boletín, en donde se relataba el procedimiento
aconsejado para protegernos de una vulnerabilidad
recientemente hecha pública.

El día 14, una actualización del mismo boletín anunciaba la
disponibilidad de los parches para los productos Proxy Server
2.0 e ISA Server 2000. Los parches para usuarios hogareños y
todos aquellos que usen Internet Explorer como navegador, aún
siguen pendientes.

Título: Unchecked Buffer in Gopher Protocol Handler Can Run
Code of Attacker's Choice (Q323889)
Fecha: 11/jun/02
Software afectado: Internet Explorer, Proxy Server, Internet
Security y Acceleration Server
Impacto: Ejecución de código seleccionado por un atacante,
mediante el uso del protocolo gopher.
Riesgo: Crítico

Más información:
http://www.microsoft.com/technet/security/bulletin/MS02-027.asp

* MS02-028

Este parche elimina una nueva vulnerabilidad recientemente
descubierta que afecta al servidor IIS (Internet Information
Services). Este parche, a diferencia de otros anteriores para
el IIS que eran acumulativos, solo soluciona esta
vulnerabilidad. Cuando el parche acumulativo esté disponible,
Microsoft actualizará este boletín nuevamente. Las razones
dadas por Microsoft para sacar esta actualización parcial,
son las de dar una protección inmediata a sus clientes,
aunque recomienda que se instale antes (si no se ha hecho),
el parche acumulativo previo (boletín MS02-018).

Título: Heap Overrun in HTR Chunked Encoding Could Enable Web
Server Compromise (Q321599)
Fecha: 12/jun/02
Software afectado: Internet Information Server
Impacto: Ejecución de código seleccionado por un atacante
Riesgo: Moderado

Más información:
http://www.microsoft.com/technet/security/bulletin/MS02-028.asp

* MS02-029

Una falla existente en la implementación de la agenda
telefónica de Remote Access Service (RAS), empleada para las
conexiones remotas, permite un desbordamiento de búfer. Esto
puede ser empleado para causar una falla en el sistema, o
para ejecutar código con privilegios de usuario local. Si un
atacante puede logearse en el servidor afectado y modificar
la entrada de la agenda telefónica con un código
maliciosamente creado, puede llegar a hacer una conexión y
ejecutar dicho código en el sistema.

Título: Unchecked Buffer in Remote Access Service Phonebook
Could Lead to Code Execution (Q318138)
Fecha: 12/jun/02
Software afectado: Windows NT 4.0, NT 4.0 Terminal Server
Edition, Windows 2000 y XP, Routing and Remote Access Server
(RRAS)
Impacto: Acceder a privilegios locales
Riesgo: Crítico

Más información:
http://www.microsoft.com/technet/security/bulletin/MS02-029.asp

* MS02-030

Una vulnerabilidad producida por un desbordamiento de búfer
en una extensión ISAPI, puede permitir en el peor de los
casos, que un atacante ejecute cualquier código en forma
remota en un servidor IIS (Microsoft Internet Information
Services). La vulnerabilidad tiene su origen en SQLXML, un
componente incluido en SQL Server 2000 y destinado a la
transferencia de datos XML desde y hacia ese servidor, y
puede ser provocada por una etiqueta XML maliciosamente
implementada. Esto permite a un atacante ejecutar un script
en la computadora atacada, con los máximos privilegios. Por
ejemplo, podría ejecutarse un código en la zona "Intranet
local".

Título: Unchecked Buffer in SQLXML Could Lead to Code
Execution (Q321911)
Fecha: 12/jun/02
Software afectado: Microsoft SQLXML
Impacto: Dos vulnerabilidades, la más seria es la de que un
atacante pueda ejecutar el código de su elección.
Riesgo: Moderado

Más información:
http://www.microsoft.com/technet/security/bulletin/MS02-030.asp

* MS02-022 (Revisado el 11 de junio 2002, versión 2.0)

El 8 de mayo, Microsoft realizó la versión original de este
boletín. La actualización del 11 de junio, informa que el
parche anterior no solucionaba el problema en todos los
escenarios posibles. La falla se encuentra en el control MSN
Chat incluido en MSN Messenger y Exchange Instant Messenger.

En otras palabras, este nuevo parche, emparcha el anterior
del propio Microsoft, y soluciona un desbordamiento de buffer
que posibilita la ejecución remota de código con privilegios
locales. La acción puede provocarse al navegar por un sitio
WEB especialmente creado, o a través de un correo electrónico
con formato HTML modificado maliciosamente. La instalación es
altamente recomendada para todos aquellos que utilizan en
forma habitual el MSN Chat.

Título: Unchecked Buffer in MSN Chat Control Can Lead to Code
Execution (Q321661)
Fecha: 8/may/02
Software afectado: MSN Chat, MSN Messenger, Exchange Instant
Messenger
Impacto: Un atacante puede ejecutar código en forma remota
Riesgo: Crítico

Más información:
http://www.microsoft.com/technet/security/bulletin/MS02-022.asp

* Referencias:

VSantivirus No. 706 - 13/jun/02
La falla de Gopher es más peligrosa de lo que se dijo
http://www.vsantivirus.com/vulms02-027.htm

VSantivirus No. 671 - 9/may/02
Riesgo de ataque a través del MSN Messenger (ActiveX)
http://www.vsantivirus.com/vulms02-022.htm

VSantivirus No. 647 - 15/abr/02
Nuevo parche acumulativo para IIS (*)
http://www.vsantivirus.com/vulms02-018.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - W97M/Nori.A. Activa una rutina destructiva el 1 de abril
_____________________________________________________________

http://www.vsantivirus.com/nori-a.htm

Nombre: W97M/Nori.A
Tipo: Virus de macros Word97
Alias: Macro.Word97.Nori, W97M.Nori.A
Fecha: 13/jun/02
Plataformas: Todas las que corran Word 97, 2000 y XP

Es un típico virus de macros que afecta las versiones de Word
97, 2000 y XP, y que posee una peligrosa carga destructiva.

Se propaga infectando la plantilla global NORMAL.DOT y los
documentos activos en ese momento.

La rutina maliciosa es activada el 1 de abril de cualquier
año, e intenta borrar o bien todos los archivos de su disco
duro, o bien todo el texto del documento infectado.

Si existe la siguiente entrada en el registro, borra todos
los archivos y carpeta de la unidad C:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
RegisteredOrganization = IRON

En caso contrario (si dicha entrada no es "IRON"), borra todo
el texto del documento activo. Existe otro virus que puede
renombrar esta entrada, por lo que existe la posibilidad de
que este virus pueda ser complemento de otro, o descargado
por un troyano que realice otras acciones.

El virus oculta su presencia deshabilitando las siguientes
opciones del menú:

1. Herramientas, Opciones, General, Confirmar conversiones al
abrir

Los documentos en formatos diferentes a los de Word (por
ejemplo .TXT) pueden ser convertidos al formato de Word
automáticamente. El usuario no recibe el pedido de
confirmación para esta conversión.

2. Herramientas, Opciones, General, Protección antivirus en
macros

Los documentos conteniendo macros pueden ser abiertos
automáticamente. El usuario no recibe el pedido de
confirmación para habilitar o deshabilitar los macros antes
de abrir el documento (Word 97). Word 2000 actúa diferente
con esta protección, y no es afectado en este caso. En ese
caso el virus también examina si el Word usado es el 2000 o
XP, y cambia la configuración de la seguridad a BAJA,
modificando el registro.

3. Herramientas, Opciones, Guardar, Preguntar si guarda la
plantilla normal

El usuario no es consultado para aceptar o no los cambios a
la plantilla NORMAL.DOT, siendo estos grabados
automáticamente, sin su conocimiento.

También oculta el editor de Visual Basic de los macros.

El virus se propaga cuando un documento infectado es abierto
o cerrado, y también cuando un documento nuevo es creado, si
el documento infectado sigue abierto. Luego de la infección
de la plantilla NORMAL.DOT todo documento nuevo también es
infectado.

Durante la infección, se crea un archivo temporal llamado
C:\Iron.tmp. El virus utiliza dicho archivo para copiar su
código al propagarse. Luego de la infección, dicho archivo es
borrado.

* Como sacar el virus de un sistema infectado

Ejecute uno o más antivirus actualizados. Recomendamos el uso
de F-Macrow, antivirus de F-Prot solo para virus macros,
gratuito para uso personal, y que se actualiza con MACRO.DEF
(MACRDEF2.ZIP).

Programa y actualización pueden ser descargados de nuestro
sitio: http://www.vsantivirus.com/f-prot.htm

* Medidas complementarias con los macros

En Word 97, seleccione Herramientas, Opciones, pinche en la
lengüeta General, y marque la última casilla: "Protección
antivirus en macros" y "Confirmar conversiones al abrir". En
Word 2000 y XP, vaya a Herramientas, Seguridad, y cambie el
nivel a Alto.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________