VSantivirus No. 870 - Año 7 - Domingo 24 de noviembre de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - RealOne y RealPlayer vulnerables a un ataque
2 - W32/Seoul. Si detecta un antivirus, borra todo su disco
3 - Vulnerabilidades BIND en SUN Solaris
_____________________________________________________________

1 - RealOne y RealPlayer vulnerables a un ataque
_____________________________________________________________

http://www.vsantivirus.com/vul-realone-realplayer.com

RealOne y RealPlayer vulnerables a un ataque

Aviso de seguridad: Desbordamiento de búfer en RealOne y
RealPlayer
Fecha original: 22/nov/02
Autor/descubridor: Mark Litchfield (mark@ngssoftware.com)
Aplicaciones vulnerables: RealAudio 3, RealOne Player,
RealOne Player V2, RealPlayer 4, 5, 7, 8, G2.
Severidad: Media
Riesgo: Ejecución de código malicioso en forma remota

Existen al menos tres graves vulnerabilidades en los
populares reproductores de archivos multimedia, RealOne y
RealPlayer, que permiten a un atacante ejecutar código en
forma remota, comprometiendo la seguridad de la máquina
afectada.

Real Networks Inc. liberó un parche al respecto (
http://service.real.com/help/faq/security/bufferoverrun_playe
r.html ), pero el mismo no soluciona totalmente el problema.

La primera vulnerabilidad ocurre cuando un usuario hace doble
clic sobre un enlace a un archivo SMIL (synchronized
multimedia integration language).

Tanto RealOne como RealPlayer, intentan automáticamente
descargar y ejecutar dicho contenido.

Sin embargo, si un atacante proporciona un parámetro
excesivamente extenso dentro del archivo SMIL, ello
ocasionará un desbordamiento de búfer en el archivo
RealPlay.exe.

La segunda falla ocurre cuando un usuario intenta descargar y
reproducir un archivo desde un enlace "rtsp://" con un
parámetro excesivamente largo (por ejemplo dentro de un
archivo .m3u). RealPlayer descarga el archivo, pero cuando el
usuario intenta reproducirlo se produce el desbordamiento de
búfer en RealPlay.exe.

El tercer problema ocurre por la forma como el reproductor
maneja algunos nombres de archivos muy largos (y está
relacionado con la segunda falla). Si el usuario descarga uno
de estos archivos, y luego hace clic con el botón derecho en
la opción "Now Playing" y selecciona "Edit clip info" o
"Select copy to my library", entonces se produce el
desbordamiento de búfer.

Un atacante puede provocar estos desbordamientos, de modo que
cuando ocurran, se ejecute un determinado código previsto por
él (incluso un virus, un troyano, etc.). Esta ejecución sería
sin restricciones, al hacerse en el entorno de seguridad
local (Mi PC).

La empresa Real Networks fue avisada en su momento (1/nov/02)
por el descubridor de la falla, emitiendo el día 20 de
noviembre los parches que actualmente están disponibles en el
enlace mencionado antes. Sin embargo, el RealOne Enterprise
Desktop es aún vulnerable al menos a dos de estos tipos de
ataques. Además, en los otros productos, existen formas de
explotar la falla que aún funcionan.

Solución:

No utilice estos reproductores con archivos recibidos o
descargados de Internet, hasta que un parche definitivo esté
disponible (puede usar la opción "Check for Updates" del
reproductor en "Help", "About Real Player", o visitar
regularmente el enlace a la compañía ya mencionado). Tenga en
cuenta que el parche actual (referencia en la página a
"Updated November 20, 2002"), aún es vulnerable, y aunque su
instalación puede disminuir algunos riesgos, no los evita en
un 100 por ciento.

Referencias:

Parche: RealPlayer Buffer Overrun Vulnerability
http://service.real.com/help/faq/security/bufferoverrun_playe
r.html

Real Networks
http://www.real.com/

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - W32/Seoul. Si detecta un antivirus, borra todo su disco
_____________________________________________________________

http://www.vsantivirus.com/seoul.htm

Nombre: W32/Seoul
Tipo: Virus y Caballo de Troya
Alias: Seoul, Trojan/Worm.Seoul,
Trojan.Seoul/Win32.HLLM.Seoul, Troj/Seoul
Origen: Corea
Fecha: 21/nov/02
Plataforma: Windows 32-bits

Detectado por primera vez en Corea el 21 de noviembre de 2002
y reportado por DialogueScience, Inc. (antivirus Dr. Web),
fue catalogado por la compañía como de alta peligrosidad. Sin
embargo, no han sido detectados casos de infección en
nuestros países.

El código del virus tiene una mención a su origen (Republic
of Korea), y una dedicación a AVAR (Association of anti Virus
Asia Researchers), una organización que reúne a los
desarrolladores de antivirus del continente asiático.

Se trata de un virus multi-componente, algunas de cuyas
partes están encriptados.

Cuando se activa, el virus examina la memoria en busca de
herramientas de análisis (Debug, etc.), monitoreo,
cortafuegos y antivirus, y si encuentra alguno, "mata" sus
procesos activos, finalizando su ejecución.

Luego muestra una ventana con el siguiente mensaje:

What foolish thing you've done

Esta advertencia (algo así como "Que tontería ha hecho
usted"), es el preludio al borrado de todos los archivos del
sistema en el disco duro, preservando solo las diferentes
carpetas y los archivos que estén en uso en ese momento. De
cualquier modo esto ocasiona la caída de Windows, y su
imposibilidad de reinicio por los métodos normales.

Si no encontrara ninguno de los procesos en memoria
mencionados, el virus no realiza el borrado de archivos
(consecuentemente tampoco muestra la ventana de advertencia
indicada). En cambio, procede a copiarse a si mismo en la
siguiente ubicación:

C:\Windows\System\win[caracteres al azar].exe

'C:\Windows\System' puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como 'C:\WinNT\System32' en Windows NT/2000 y
'C:\Windows\System32' en Windows XP).

El nombre del archivo comienza con las letras WIN, pero
continúa con caracteres al azar, más la extensión .EXE.

Después de ello, el virus agrega el archivo mencionado al
registro, en cada una de las siguientes claves, para de ese
modo ejecutarse nuevamente en los siguientes reinicios de
Windows:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Al terminar, el virus permanece residente en memoria
controlando la presencia de los programas mencionados antes.
En caso de monitorearse cualquiera de ellos (antivirus,
cortafuegos, etc.), procede a realizar la rutina destructiva
ya descripta.

En el caso de no borrar los archivos del disco duro, el virus
activa su rutina de envío masivo de mensajes infectados.

Las direcciones para enviarse las obtiene de los archivos
cookies (archivos de texto con información utilizada por los
diferentes sitios para facilitar la navegación del usuario).
Para ello agrega cosas como "webmaster@" a los dominios
listados en los cookies, para enviarse.

La estructura de dichos mensajes es la siguiente:

Asunto:
Re: AVAR(Association of Anti-Virus Asia Reseachers)

Datos adjuntos:
WIN2290.TXT (12.6 KB) MUSIC_1.HTM
WIN2290.GIF (120 bytes) MUSIC_2.CEO

A un usuario poco atento, podrían parecerle cuatro adjuntos,
pero en realidad son dos con extensiones .HTM y .CEO.

El intento de abrir el supuesto WIN2290.TXT (un aparente
archivo de texto), en realidad ejecutaría un código en
JavaScript dentro del archivo .HTM, al visualizarse el mismo
en el navegador asociado.

Este código modifica el registro para hacer que los archivos
.CEO sean del tipo ejecutables.

Si luego de ello, el usuario intentara abrir el supuesto
archivo de imágenes (WIN2290.GIF), se ejecutaría el archivo
.CEO (la rutina destructiva del virus), dando como resultado
la infección del sistema o el inmediato borrado de sus
archivos, como se ha descripto antes.

Pero además, el virus hace uso de la conocida vulnerabilidad
conocida como "Incorrect MIME Header vulnerability (MS01-
020)", que afecta las versiones 5.01 y 5.5 de Outlook y
Outlook Express, si el sistema no tiene el parche
correspondiente.

MIME es un protocolo creado para el envío y recepción de
contenidos complejos tales como programas ejecutables,
sonidos, imágenes, o cualquier información que no sea en
esencia solo texto, sino de contenido binario. MIME clasifica
los contenidos que se incluyen en los mensajes de correo
según su naturaleza. En la cabecera del mensaje se añaden dos
etiquetas (MIME-Version y Content-type), en la que la segunda
especifica en qué grupo de la clasificación se incluiría el
código contenido en el cuerpo del mensaje. Una manipulación
de estas etiquetas le hacen creer al Explorer que se trata de
un archivo de sonido o imagen, cuando en realidad se trata de
un ejecutable.

Esto ejecuta el código del virus con solo verlo en el panel
de vista previa, o al abrirlo para leerlo, sin necesidad de
abrir y ejecutar deliberadamente el adjunto.

Más información en "Grave vulnerabilidad en extensiones MIME
en Internet Explorer",
http://www.vsantivirus.com/vulms01-020.htm.

Si el virus no encuentra archivos cookies en el sistema y el
sistema no está en ese momento conectado a Internet, el
gusano realiza las mismas acciones que si hubiera encontrado
algún software antivirus o de seguridad activo en memoria, o
sea, comienza a borrar todos los archivos del disco duro.
Además, la ventana con el texto "What foolish thing you've
done" aparecería una gran cantidad de veces.

En este caso, se sugiere proceder a apagar inmediatamente la
computadora (en lugar de ponerse a cerrar ventana tras
ventana), ya que el daño sería mucho menor si se interrumpe
el proceso de borrado. Por supuesto, un arranque desde
disquete de inicio, limpieza de virus y posterior
reinstalación de Windows, deberían realizarse. Sin embargo,
al no haberse borrado todos los archivos, la probabilidad de
recuperar el sistema tal cuál estaba, son mayores.

* Reparación manual

1. Actualice sus antivirus con las últimas definiciones,
luego reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora. En caso de haberse borrado todos los archivos
del disco, una reinstalación completa sería necesaria.

* Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

WIN[xxx] = C:\Windows\System\WIN[xxx].EXE

Donde las [xxx] representan caracteres al azar.

4. Repita los pasos 2 y 3 para las siguientes entradas del
registro:

HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\RunServices

HKEY_USERS\.DEFAULT\Software\Microsoft
\Windows\CurrentVersion\Run

5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir las siguientes ramas:

HKEY_CLASSES_ROOT\.ceo
HKEY_CLASSES_ROOT\ceofile

6. En cada caso, pinche en las carpetas ".ceo" y "ceofile" y
bórrelas a ambas.

7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en
el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm

* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - Vulnerabilidades BIND en SUN Solaris
_____________________________________________________________

http://www.vsantivirus.com/vul-bind-solaris.htm

Vulnerabilidades BIND en SUN Solaris

Aviso de seguridad: Vulnerabilidades BIND en SUN Solaris
Fecha original: 21/nov/02
Aplicaciones vulnerables: Sun Solaris 2.51, 2.6, 7, 8 y 9
Severidad: Medianamente crítica
Riesgo: Acceso remoto al sistema

SUN ha admitido que las versiones 7, 8 y 9 de Solaris son
afectados por las vulnerabilidades recientemente divulgadas
(ver "Múltiples vulnerabilidades remotas en BIND4 y BIND8"
http://www.vsantivirus.com/vul-bind4-8.htm).

Las versiones 2.51 y 2.6 también son vulnerables, pero a una
vieja falla que permite que el host resuelva nombres de
dominio de un servidor de nombres malicioso.

Solución:

Solaris 7, 8 y 9 que estén ejecutando BIND, pueden ser
protegidos por medio de una actualización manual utilizando
los parches disponibles en ISC:

BIND 8.3.3
http://www.isc.org/products/BIND/patches/bind833.diff

BIND 8.2.6
http://www.isc.org/products/BIND/patches/bind826.diff

BIND 4.9.10
http://www.isc.org/products/BIND/patches/bind4910.diff

También puede temporalmente deshabilitar la recursión en su
servidor de nombres, realizando estos cambios:

En BIND 8:

Modificar o agregar lo siguiente en "named.conf":

options {
recursion no;
};

En BIND 4:

Modificar o agregar lo siguiente en "named.boot":

options no-recursion

Solaris 2.51 y 2.6 no presentan una solución fácil de
implementar. Se recomienda deshabilitar las opciones de
"reverse DNS lookups" para todas las aplicaciones posibles.

También se debe tener especial cuidado sobre que nombres de
dominio deben ser resueltos, porque cualquier solicitud hecha
directamente o a un servidor DNS malicioso, podría ser
utilizada para comprometer indirectamente a todo el sistema.
Pocos cortafuegos proporcionan una validación de solicitudes
DNS, pero en los casos que ello fuera así, es un forma eficaz
de detener la explotación de esta vulnerabilidad.

SUN no ha publicado aún ningún parche, pero sugerimos visitar
regularmente el siguiente enlace:

Security vulnerabilities in BIND and libresolv (CERT CA-2002-31)
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F48818

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________