Archive for Diciembre, 2005

Peligroso troyano que explota una vulnerabilidad en ficheros WMF de Windows

Diciembre 29, 05 by admin

Se ha detectado un exploit activo, que permite la ejecución de código malicioso por el simple hecho de visualizar un archivo con extensión WMF en un directorio de Windows con vista previa activada, o simplemente por visualizar una página web vía Internet. El mayor peligro es que no hay que hacer clic o alguna otra acción en ningún archivo para que se ejecute. Comenzó a ser enviado masivamente en un mensaje de correo electrónico durante hoy jueves.

El exploit se vale de una vulnerabilidad en el proceso de archivos de imágenes WMF (Windows Metafile), que puede permitir la ejecución remota de código en el sistema. Cualquier programa que procese imágenes WMF en el equipo afectado, puede ser vulnerable a un ataque. De este modo, no solo los usuarios de Internet Explorer están involucrados, sino también quienes utilicen otros navegadores, tales como Firefox.

Aconsejamos precaución extrema a la hora de abrir adjuntos, páginas de Internet o carpetas compartidas por programas P2P que contengan archivos .WMF. Quienes usen un cortafuegos que detecte intentos de conexión desde el PC hacia el exterior, serán avisados del intento de conexión de un archivo a un determinado sitio Web, que en las primeras pruebas tenía el nombre de A.EXE (ello puede ser modificado por el autor en futuras versiones, y en este caso válido para el primer exploit detectado).

En este caso, el archivo A.EXE, de 6,641 bytes, puede copiarse en el escritorio de Windows y en la carpeta de archivos temporales de Windows, con los atributos de oculto.

En el caso de recibir esta alerta, se debe negar la conexión. Luego, desde el Administrador de tareas de Windows (CTRL+ALT+SUPR), buscar y eliminar el proceso llamado “a.exe”.

También se deben borrar los siguientes archivos:

  • c:windowsuniq
  • c:windowskl.exe

La vulnerabilidad afecta a todas las computadoras que ejecuten Windows XP (SP2 incluido) y Windows Server 2003 (SP1 incluido), incluso con todos los parches actuales instalados. 

Reiteramos, mucha precaución a la hora de navegar, no hacerlo por sitios no conocidos, y mantener al día los antivirus. Aún ahora no todos detectan el exploit o sus variantes.

Descripciones sobre los códigos maliciosos aquí listados pueden encontrarse en EnciclopediaVirus.com.

Multados por acceder a varios servidores de la UPV y al ordenador de un profesor

Diciembre 28, 05 by admin

La Audiencia de Valencia ha condenado a dos jóvenes a pagar sendas multas de 3.600 euros por acceder a través de Internet a diferentes servidores de la Universidad Politécnica de Valencia (UPV) y a los ordenadores de un profesor, tanto al personal como al profesional, por “vulneración de la intimidad”.

En un primer juicio, ambos acusados quedaron absueltos,ya que no podía demostrarse ni la informacion obtenida ni los fines de la intrusión, pero tras un recurso de la fiscal y tras la vista de otro juez, ambos han resultado culpables.

El Mundo.
Las provincias.
20 Minutos.

Ya llegó el DNI electrónico

Diciembre 26, 05 by admin

El pasado 24 de diciembre  fue publicado en el BOE el Real Decreto 1553/2005 que regula la expedición del documento nacional de identidad y sus certificados de firma electrónica. En el articulo 1.4 establece que el documento nacional de identidad permite realizar la firma electrónica de documentos. En el artículo 9.2 establece que la activación de la utilidad informática es de carácter voluntario y que se llevará a cabo mediante una clave personal secreta que el titular podrá introducir en el sistema. El documento incorpora un chip a la tarjeta soporte que contiene:

  • Datos de filiación del titular.
  • Imagen digitalizada de la fotografía.
  • Imagen digitalizada de la firma manuscrita.
  • Plantilla de la impresión dactilar del dedo índice de la mano derecha.
  • Certificados reconocidos de autenticación y de firma.
  • Y claves privadas para activar esos certificados.



Este documento se renueva dependiendo de la edad, sin embargo los certificados electrónicos reconocidos incorporados al mismo se renuevan cada treinta meses. Si se extingue la vigencia de los certificados se puede solicitar la expedición de nuevos certificados manteniendo el mismo documento hasta que termine su vigencia. Si finaliza la validez del documento finalizará además la validez de los certificados incorporados al mismo.

Grave agujero de seguridad en McAfee Antivirus

Diciembre 26, 05 by admin

Según la publicación InformationWeek, la compañía Symantec informó de la existencia de un agujero de seguridad en su antivirus Norton que permitía el control del PC. El fallo se producía cuando el usuario visitaba una página con código malicioso. A partir de ese instante el atacante podía escribir en los archivos del disco duro del usuario afectado, obteniendo el control de ese sistema.

Esta vulnerabilidad que ha sido calificada como grave, afecta ahora al antivirus McAfee, habiendo sido ya ha sido corregida por symantec y en la actualidad todos los usuarios pueden descargarse la actualización que permite eliminar el problema de seguridad, por lo que recomendamos a todos los usuarios de Norton Antivirus la rápida actualización, y a los usuarios de McAfee recomendamos que estén pendientes de una próxima actualización

Pedófilo alemán se entrega a la policía tras creerse el mensaje del gusano Sober-Z

Diciembre 20, 05 by admin

Un informe elaborado por Reuters revela que un coleccionista de pornografía infantil se ha entregado a las autoridades al confundir un email del gusano Sober con una advertencia oficial en el que se le informaba que estaba siendo investigado.

Este joven de 20 años y origen alemán, cuyo nombre no ha sido revelado, se creyó el mensaje enviado por el tenaz gusano Sober-Z en el que se le informaba de la investigación llevada a cabo por la Oficina Federal del Crimen de Alemania (conocida como BKA) y se le acusaba de visitar regularmente sitios web ilegales. La policía de la ciudad de Paderborn arrestó a este hombre tras encontrar pornografía infantil en su ordenador.

Normalmente tratamos de que la gente comprenda que un virus nunca puede ser bondadoso, pero ahora se da la paradoja de que accidentalmente Sober-Z ha conseguido que un pedófilo se entregue a la policía. Con una protección antivirus actualizada, este hombre nunca habría recibido el mensaje de Sober-Z, y si finalmente debe cumplir condena por posesión de pornografía infantil,  podrá dedicar su tiempo a reflexionar sobre la importancia de no creerse todo lo que nos llega por email.

El gusano Sober-Z, que actualmente representa cerca del 78% de los virus detectados por Sophos, se puede hacer pasar por mensajes del FBI, de la CIA o de la BKA.  El gusano llega en un documento adjunto con el siguiente mensaje:

Estimado Señor/Señora:
Hemos localizado su dirección IP en más de 30 sitios Web ilegales.
Importante: por favor, responda a nuestras preguntas. Lista de preguntas en
el documento adjunto.

Atentamente,
Steven Allison
Federal Bureau of Investigation-FBI-
935 Pennsylvania Avenue, NW , Room 3220
Washington , DC 20535
Teléfono: (202) 324-30000

Red.es emite una serie de "prácticas saludables" para éstas Navidades

Diciembre 19, 05 by admin

Red.es ha publicado una serie de recomendaciones prácticas saludables para el uso del ordenador e Internet durante estas Navidades, especialmente dirigido a usuarios nóveles e inexpertos. Ciertamente son unas recomendaciones bastante simples y que ya deben ser conocidas de sobra por nuestros lectores, pero que no viene mal recordar, especialmente en ésta época en la que se realizan una mayor cantidad de transacciones y compras por Internet, y en la que los menores de edad también suelen hacer un uso intensivo del ordenador:

  1. Nuevos ordenadores: Es aconsejable que el sistema operativo
    del PC esté actualizado y que tenga instalado un programa antivirus u
    otras herramientas como antispam, antiphishing o antispyware.
  2. Nuevas conexiones: El Centro de Alerta recomienda configurar
    la conexión ADSL de forma segura y recuerda que el ordenador debe
    estar apagado si no se usa.
  3. Conexiones ADSL inalámbricas: Es importante
    exigir al proveedor del ADSL inalámbrico una conexión protegida.
    Con ello se logra proteger recursos como el ordenador o el ancho de banda.
    Además, algunos sistemas operativos permiten que los usuarios de
    conexiones inalámbricas puedan configurar su acceso seguro a Internet.
  4. Abrir archivos adjuntos en el correo electrónico:
    Se aconseja tener precaución con los archivos de doble extensión.
    Los más comunes y peligrosos son los que terminan en .scr o .exe
    ya que son ejecutables, pueden infectar el ordenador y propagar el virus
    a sus contactos. Estos archivos son igual de nocivos aunque tengan doble
    extensión. Se debe desconfiar, por ejemplo, de posibles archivos
    adjuntos como postalnavidad.doc.exe, postalnavidad.zip.exe, postalnavidad.doc.scr
    o postalnavidad.zip.scr .
  5. Compras a través del comercio electrónico:
    En época navideña aumentan las compras y quizás también
    los intentos de estafa. Lo más recomendable es que la web donde
    se realicen las compras online esté dotada de medidas de seguridad
    certificadas y reconocidas. El Centro de Alerta sugiere utilizar una única
    tarjeta para comprar en Internet y mantenerla con el saldo mínimo
    necesario. Es importante informarse periódicamente de los movimientos
    bancarios registrados en las cuentas.
  6. Para los usuarios más jóvenes que estrenan ordenador
    o que utilizan Internet por primera vez:
    Los jóvenes que
    estrenen ordenador o se conecten por primera vez a Internet debe estar
    acompañados por sus progenitores. Padres e hijos comprobarán
    juntos que el PC está correctamente protegido. Si el menor de edad
    accede a Internet por primera vez, Red.es pone a su disposición
    el portal www.chaval.es para iniciarle de forma segura y pedagógica.
  7. Para mayor seguridad de los padres existen herramientas
    que permiten a los progenitores limitar la visualización de determinados
    contenidos. Los documentos adjuntos en el correo electrónico, las
    redes de intercambio P2P, los chats y los sitios web de juegos online
    pueden traer consigo software espía, programas nocivos y enlaces
    a contenidos maliciosos.

Los hackers chinos que dirigen sus ataques al Gobierno de los EEUU son militares

Diciembre 18, 05 by admin

Esta es la conclusión a la que ha llegado el director del Instituto Sans, quien ha manifestado que los ataques provienen en su mayoría de la región china de Guangdog, y el echo más relevante son las técnicas utilizadas en los ataques  que hace sospechar de que en su mayoría son de origen militar.

El gusano Bagle ataca de nuevo con una nueva variante: Bagle.DR

Diciembre 16, 05 by admin

Esta nueva aparición del gusano Bagle.DR se trata de un gusano que ya se encontró con anterioridad en la red, pero reempaquetado con una utilidad para buscar que los antivirus no lo detecten. Win32/Bagle.DR fue detectado por primera vez el 22 de Noviembre y trepó rápidamente a las primeras posiciones del ranking de detecciones de VirusRadar.com. 

Esta nueva versión del gusano ya se encuentra dentro del las primeras posiciones del ranking del día. Y con el paso de las horas se seguirán detectando más muestras del gusano. El método de envío de este es manual, y en forma masiva, como suele ser con la familia Bagle.    

Internamente esta nueva variante funciona exactamente igual que la anterior lanzada durante el mes pasado. Contiene un dropper (troyano que libera otro componente), el cual lanza otro troyano que produce la propagación de la amenaza en forma de spam con todas las direcciones que se encuentran disponibles en el cliente de correo del usuario.

El archivo adjunto al mensaje es el nombre propio, en inglés, de alguna persona, como  Daniel.zip, Thomas.zip o Robert.zip; entre muchos otros. Los nombres son seleccionados al azar dentro de una lista de más de 100 posibles nombres. Además, el asunto del correo lleva el mismo nombre que el archivo comprimido.   

El contenido del mensaje intenta hacer creer al destinatario que el archivo adjunto contiene fotos y/o videos del remitente ficticio, y el texto está en inglés.

Dados los altos niveles de propagación que se están presentando durante estos tiempos, es completamente necesario que los usuarios tengan un antivirus de última generación con análisis y detección proactiva para protegerse de las nuevas amenazas. Además, es indispensable que los usuarios tengan constantemente actualizado su antivirus.

También, es recomendable que sólo ejecuten archivos adjuntos en los correos electrónicos enviados por personas conocidas y que el archivo haya sido solicitado por uno mismo.

Junto a las familias de gusanos Sober, Mytob y Netsky, las versiones del gusano Bagle son de las de mayor capacidad de propagación de la actualidad y una de las más ligadas a la propagación de correo no solicitado. Es por esto que seguimos viendo más y más variantes de este código malicioso en forma periódica

Una descripción en español con más detalles técnicos de este gusano puede ser encontrado en EnciclopediaVirus.com.

Los derechos humanos, la privacidad y la libertad han fallecido en Europa

Diciembre 15, 05 by admin

Los derechos humanos, la privacidad y la libertad han fallecido en Internet y en el telefóno. Rogad a Dios en caridad por la privacidad de los usuarios de Internet, los usuarios del teléfono fijo y los usuarios del teléfono móvil que han desaparecido el pasado día 14 de diciembre de 2005 en el Parlamento Europeo.

Esto no es una broma, es la triste realidad a la que han llegado los representantes de los 450 millones de europeos que a partir de ahora sus comunicaciones telefónicas y por Internet serán almacenadas por un plazo entre 6 meses y 4 años, con el supuesto objetivo de ser utilizadas en casos de lucha contra el terrorismo.

Entre otras cuestiones se almacenará al destinatario de nuestras llamadas, las direcciones de páginas visitadas, los contenidos descargados e incluso el lugar desde donde se realiza una llamada de teléfono móvil.

La Comunidad Europea ha aprobado un texto que obliga a las compañías de telefonía a almacenar todos estos datos de tráfico de sus clientes, para que posteriormente los gobiernos y agencias de policía puedan utilizar estos datos para investigar seas o no sospechoso de algún delito.

Y en todo este “negocio” están algunos sectores que ya reivindican derechos sobre esos datos privados, como es el caso de las compañías discográficas que los reclaman para luchar contra la  libre divulgación universal de la cultura.

La propuesta que ha sido promovida por el gobierno británico ha sido aprobada con el consenso de socialistas y populares por 378 votos a favor y 197 votos en contra.

Y digo yo … ¿Por qué se ponen de acuerdo socialistas y populares precisamente en este tema y no en otros que sí son necesarios? ¿No vulnera la Constitución esta Ley?

Ejecución de código de forma arbitraria en mIRC

Diciembre 15, 05 by admin

Jordi Corrales nos ha remitido un bug descubierto en mIRC. La vulnerabilidad se ha testeado en mIRC 6.16,6.12,6.03 y 5.91, todos resultaban ser vulnerables. Posiblemente todas las versiones de mIRC sean vulnerables. El código que se pueda conseguir ejecutar se ejecutaría con los privilegios del usuario que haya en esos momentos, de todos modos podría ser peligroso para universidades, cybercafes, escuelas y cualquier otro sitio donde se tengan restricciones ya que se podria eludir estas protecciones mediante un código especificamente diseñado para ello.

Añadiendo o editando los filtros las carpetas de donde se localizaran los archivos que se reciban por DCC si se escribe una linea mayor o igual de 981 bytes la aplicacion dara un error y muestra un error de memoria 0×0000. Este error de memoria 0×0000 se debe a que está leyendo el campo editable inferior y esta vacío, si se escribe AAAA en ese campo el error cambia y da como error 0×41414141, por lo que sobreescribe la EIP, así que se puede tomar el control del PC y ejecutar código arbitrario. Pero para ejecutar código arbitrario hay un problema, solo se pueden escribir 39 bytes en el segundo campo editable por lo que imposibilita insertar una shellcode con un buen código, lo que se puede hacer para resolver este problema es modificar la pila para que lea el texto que hay en el primer campo que tiene 980bytes y ahi poner una shellcode, para ello se realizaría por ejemplo jmp esp + sub esp 0×74 + jmp esp.