La cuenta de correo de Saddam Hussein hackeada
Noticia enviada el Jueves 31 de Octubre de 2002 por alex
Y es que parece que la cuenta disponía de un login de cinco letras que torpemente coincidía con el password. Según podemos leer en la revista Wired, un hacker ha roto la cuenta de correo de la presidencia iraquí, press@uruklink.net, y localizado curiosos mensajes de todo tipo en el mismo.
Según parece en el buzón se podían encontrar tipo de mensajes y de todas partes del mundo, algunos solicitaban autógrafos, otros le enviaban sugerencias bélicas e incluso alguna que otra empresa estadounidense solicitaba entrevistas personales para ofrecerle tecnología bélica de última hornada.
Fuente de la noticia:
www.webpanto.com
Preguntas y respuestas sobre los ataques a los servidores raíz del DNS
Noticia enviada el Martes 29 de Octubre de 2002 por alex
Tal como recogieron numerosos medios de comunicación, el pasado lunes día 21 se realizó un ataque distribuido de denegación de servicio contra los servidores raíz del servicio de nombres de dominio.
¿Qué es el DNS?
El DNS (servicio de nombres de dominio) es el servicio responsable de realizar la conversión entre los nombres de dominio y sus correspondientes direcciones IP. Esta conversión puede realizarse en ambos sentidos: a partir de un nombre de dominio se puede obtener la dirección IP asociada y viceversa.
El DNS se utiliza para facilitar la identificación de los sistemas conectados a la red por parte de los seres humanos. A todos nosotros nos resulta mucho más fácil recordar un nombre de máquina que no su dirección IP.
La importancia del DNS viene a que, en su ausencia, no es posible realizar la conversión de direcciones. Como los ordenadores no utilizan los nombres de dominio en las conexiones, sino que utilizan directamente las direcciones IP, la ausencia del servicio de conversión hace que, desde el punto de vista del usuario, "la red no funciona".
¿Qué son los servidores raíz?
Cada vez que se escribe un nombre, éste debe ser traducido a una dirección IP numérica. Cada ordenador tiene la dirección del servidor de nombres local, habitualmente configurado por el ISP. Si este servidor de nombres local no conoce la conversión a realizar, pasa la solicitud de conversión al servidor responsable del dominio .COM (dominio de primer nivel). En el caso de que no sepa cuál es el servidor responsable del dominio de primer nivel, realiza la consulta a uno de los servidores raíz.
Estos servidores raíz disponen de punteros a todos los servidores responsables de los dominios de primer nivel: .com, .net, .org, .es, .uk, .info...
Por ejemplo, cuando intentamos acceder a http://www.hispasec.com un
servidor de DNS realiza los siguientes pasos:
* Consulta a un servidor raíz para conocer que servidor dispone de información acerca del dominio .COM (dominio de primer nivel).
* Con la información obtenida, conecta al servidor con información del dominio .COM y solicita que servidor dispone de información del dominio HISPASEC.COM (dominio de segundo nivel). ?
* Una vez determinado el servidor del dominio HISPASEC.COM, conecta directamente con él y solicita la dirección IP asociada al nombre de máquina WWW.HISPASEC.COM Evidentemente para optimizar todo este proceso, los servidores de nombres disponen de memorias caché para reducir, siempre que sea posible, las consultas a los servidores raíz y los servidores responsables de los dominios de segundo nivel. Cada servidor raíz atiende, aproximadamente, 270 millones de consultas cada día.
Existen 13 servidores raíz en todo el mundo: diez de ellos están situados en Estados Unidos, dos en Europa (Londres y Estocolmo) y el último en Japón. Esta distribución deja un poco que desear, ya que hay una elevada concentración de servidores en áreas geográficas muy reducidas. Así hay cuatro servidores en la costa oeste de los Estados Unidos (todos ellos en California) y seis en la costa este (cuatro en Virginia y dos en Maryland). Los interesados en conocer la ubicación de cada uno de los servidores y las organizaciones responsables de los mismos, pueden ver un mapa en Mapa.
¿Qué impacto tiene si los servidores raíz dejan de funcionar?
Como ya hemos indicado antes, para los usuarios el DNS es un servicio fundamental ya que, en su ausencia, nos vemos obligados a utilizar las direcciones IP para poder acceder a los sistemas existentes en la red. Cualquier intento de utilizar los nombres, si estos no están en las memorias caché de nuestro servidor de nombres, generará un error al no poder realizar la conversión.
Según diversos expertos, el servicio de resolución de nombres puede funcionar sin problemas para el usuario final siempre que exista un mínimo de cinco servidores operativos.
¿Qué sucedió el pasado lunes 21 de octubre?
Durante aproximadamente una hora, entre las 22:45 y las 23:45 (hora central europea), se detectó un ataque distribuido de denegación de servicio contra todos los servidores raíz. A pesar que no se conocen muchos detalles sobre el ataque, ya que está siendo investigado por el FBI, se sabe que durante el apogeo del ataque un máximo de siete servidores raíz tuvieron problemas.
No obstante, el alcance del ataque parece que fue relativamente reducido, ya que se calcula que únicamente un 6% de las peticiones de resolución no fueron atendidas.
Lo más significativo de este ataque fue que tenía como objetivo todos los servidores raíz, de forma simultánea.
¿Tuvo algún efecto el ataque en los usuarios finales?
No. Debido a que el ataque únicamente duró una hora, antes de que pudiera ser atajado, evitó problemas a los usuarios finales. La existencia de memorias caché en todos los puntos y el hecho que, una servidor de nombres bien configurado, raramente realiza peticiones directamente a los servidores raíz, evitó que los usuarios finales notaran ningún efecto.
He leído que este ataque fue el "más sofisticado jamás realizado" ¿Es cierto?
Sin conocer los detalles específicos del ataque, es difícil valorar. Posiblemente la principal novedad es que el ataque se lanzó simultáneamente contra todos los servidores raíz.
La descripción realizada parece, visto desde fuera, más como una forma de llamar la atención de los medios de comunicación que no como una descripción realista de lo sucedido.
Con anterioridad han existido algunos problemas con la resolución de nombres con un impacto más grande. Así, por ejemplo, en abrid de 1997, el sistema de resolución de nombres no funcionó durante varías horas debido a que un router, por error en su configuración, se anunció el mismo en Internet como el camino más rápido para acceder a otras direcciones. Esto causó que todas las peticiones intentaran utilizar este servidor, provocando el colapso de la red.
Fuente de la noticia:
Hispasec- una-al-día
Ataques de denegación de servicio (DoS)
Noticia enviada el Viernes 25 de Octubre de 2002 por alex
Hoy, en Oxygen3 24h-365d vamos a explicar los ataques distribuidos de denegación de servicios DDoS (Denial of Service -DDoS-), a raíz del ataque que han sufrido los principales servidores DNS de Internet esta semana, y del que se han hecho eco varios medios de comunicación(*).
Los ataques de denegación de servicio DoS son, en realidad, algunos de los más simples en lo que a dificultad técnica se refiere, ya que no realizan intrusiones dentro de los sistemas ni llevan a cabo ningún tipo de modificación en la información que éstos contienen. Su único fin consiste en impedir a los usuarios acceder a los servicios que ofrece el servidor, para lo que acapara todos los recursos del sistema realizando múltiples peticiones.
En condiciones normales, un servidor tiene un caudal de tráfico mayor y más recursos que el ordenador del atacante, por lo que es complicado que desde una sola máquina cliente pueda desbordarse el límite de un servidor. Es en este contexto donde surgen los ataques distribuidos de denegación de servicio (DDoS), que se basan en coordinar agresiones desde varias máquinas clientes hacia un servidor, en un intento de desbordar su capacidad de respuesta.
Los ataques DDoS pueden ser realizados por un grupo de personas que se coordinan para dirigir el tráfico de sus respectivas máquinas a los objetivos fijados, aunque lo más habitual es que sea obra de una sola persona.
Los servidores DNS que esta semana sufrieron el ataque son los encargados de traducir los nombres de dominio en direcciones IP y viceversa. El impacto fue menor de lo esperado gracias a la propia infraestructura de Internet, que establece una red de jerarquías distribuidas que permite delegar la mayoría de las peticiones a servidores DNS intermedios repartidos por toda la Red. Aunque el ataque se focalizó y puso en aprieto a algunos de los 13 servidores raíz que ocupan el escalón superior, los usuarios apenas percibieron sus efectos.
(*) Más información en:
http://www.washingtonpost.com/wp-dyn/articles/A828-2002Oct22.html y
http://www.pcworld.com/news/article/0,aid,106239,00.asp
Fuente de la noticia:
Oxygen3 24h-365d, por Panda Software
Se inicia OpenHack 4
Noticia enviada el Jueves 24 de Octubre de 2002 por alex
Acaba de dar comienzo la cuarta edición de la competición OpenHack, que durante 17 días pondrá a prueba las habilidades de los hackers mas cualificados.
En esta cuarta entrega OpenHack vuelve a sus orígenes proponiéndonos como en sus dos primeras ediciones el compromiso de aplicaciones, las elegidas para este año han sido Microsoft y Oracle.
Por desgracia la competición es únicamente para ciudadanos norteamericanos, lo que no quita que el resto del mundo pueda probar el reto, eso si, sin optar a los jugosos premios:
1.000 $ por modificar alguna de las páginas web de OpenHack.
1.000 $ por obtener el código fuente de uno de los sitios web.
500 $ por realizar un ataque de cross-site scripting.
1.500 $ por obtener información de tarjetas de crédito.
1.000 $ por enviar comandos SQL maliciosos (inyección SQL).
Para este año está prevista una alta participación. Según los datos de eWeek empresa organizadora del concurso, en el último OpenHack realizado en Febrero de 2001 se realizaron 5,4 millones de intentos en 17 días por cerca de 40.000 participantes. Es esta última ocasión
el premio quedó desierto.
Visitar OpenHack 4
Fuente de la noticia:
Hispasec- una-al-día
Lanzado 7a69#14!
Noticia enviada el Martes 22 de Octubre de 2002 por alex
Ya ha salido el e-zine 7a69 número #14
Contenidos:
1.-Presentacion. Staff
2.-Exploit-it Ripe
3.-Del fin de los tiempos. MemoniX
4.-Inyeccion de codigo en tiempo de ejecucion. Ripe
5.-Virus en Linux. Viesllo
6.-Metodologia distribuida. Tahum
7.-Seguridad en redes GSM. Acero
8.-Tutorial de VxD's en ASM. Viesllo
9.-Introduccion a la programacion del PIC 16F84. Fkt
10.-Agentes autonomos. MemoniX
11.-Chroot como entorno inseguro. Ripe
12.-Programando con GLADE y LibGlade. Fkt
13.-Stack overflow con stack no ejecutable. Ripe
14.-NcN. El congreso de Palma. Ripe
15.-Debate. Varios
16.-Leyes de la fisica hax0r. Anonimo
17.-Charlando con... CatHack! Staff
18.-Correo del lector. Staff
19.-7a69Soft. Staff
20.-Llaves PGP. Staff
21.-Despedida. Staff
Verlo:
Ver 7a69 #14
Visitar web:
www.7a69ezine.org
Ayuda y Centro de Soporte de Windows XP permiten el borrado de archivos
Noticia enviada el Sábado 19 de Octubre de 2002 por alex
Se ha anunciado la existencia de una vulnerabilidad en las Ayuda y Centro de Soporte de Windows XP que puede permitir a un atacante el borrado de cualquier archivo o directorio del disco duro de los usuarios de este sistema operativo.
En Windows XP, Help y Support Center proporcionan a los usuarios proporciona una infraestructura centralizada a través de la cual los usuarios pueden obtener asistencia sobre una variedad de temas. Así, esto proporciona documentación de producto, asistencia en compatibilidad de hardware, acceso a Windows Update, ayuda online de Microsoft, etc.
Existe una vulnerabilidad en la Ayuda y Centro de Soporte de Windows XP como resultado de que un archivo concebido únicamente para su uso por el sistema está, por el contrario, disponible para su uso por cualquier página web. El propósito de este archivo es permitir que con el permiso del usuario se puedan subir archivos de información de
hardware de forma anónima, de forma que Microsoft pueda evaluar para que dispositivos los usuarios no encuentran controladores adecuados. Esta información es empleada para trabajar con los fabricantes de hardware y equipos de dispositivos para mejorar la calidad y cantidad de controladores disponibles en Windows. Por diseño, después de intentar subir un archivo XML que contenga la información de hardware el sistema lo borra.
Un atacante podrá explotar la vulnerabilidad mediante la construcción de una página web que, cuando se abra, pueda llamar la función y proporcionar como argumento el nombre de un archivo o carpeta existente. El intento de subir el archivo o carpeta fallará, pero el archivo será eliminado. La página para explotar la vulnerabilidad podrá ser hospedada en un sitio web para atacar a los usuarios que visiten el sitio o podrá ser enviada como un mensaje HTML para atacar al receptor del mensaje.
Los usuarios de Windows XP con Service Pack 1 instalado están libres de este problema.
Microsoft publica actualizaciones para solventar esta vulnerabilidad:
Microsoft Windows XP
Microsoft Windows XP 64-bit Edition
Flaw in Windows XP Help and Support Center Could Enable File Deletion
Fuente de la noticia:
Hispasec- una-al-día
Problemas de seguridad con Macromedia Shockwave Player
Noticia enviada el Martes 15 de Octubre de 2002 por alex
Macromedia ha lanzado un aviso de seguridad para poner en guardia a los usuarios de Internet que puedan ejecutar archivos de Macromedia Shockwave Player.
Recientemente se ha anunciado la existencia de una vulnerabilidad en el Shockwave Player que puede permitir que contenido Shockwave maliciosamente producido y que trabaje en combinación con otros contenidos de un servidor Web permita la lectura de archivos del disco duro local del sistema que accede al contenido Shockwave.
Se recomienda a los usuarios la descarga del nuevo Macromedia Shockwave Player. Shockwave Player incluye una opción de actualización automática que actualiza los clientes de forma regular.
Macromedia Shockwave URL modification Issue
Fuente de la noticia:
Hispasec- una-al-día
W32/Rodok.A. Se propaga a través del MSN Messenger
Noticia enviada el Martes 15 de Octubre de 2002 por alex
Nombre: W32/Rodok.A (Fleming)
Tipo: Gusano de Internet
Alias: WORM_RODOK.A, Henpeck, Br2002, Rodok, W32/Rodok-A, Worm.Win32.Fleming, Fleming, W32.HLLW.Henpeck, Win32.HLLM.Fleming.53248, W32/Fleming.worm, Worm/Fleming, W32/Rodok
Relacionados: BKDR_EVILBOT.A, Troj/Backdoor.Evilbot.A
Plataforma: Windows 32-bits
Tamaño: 53,248 bytes
Este gusano, escrito en Visual Basic 6, se propaga a través del MSN Messenger.
Cuando se ejecuta, muestra una ventana con el siguiente texto:
Generate
Quit
El virus crea las siguientes entradas del registro:
HKCUSoftwareValveCounterStrikeSettingsKey
HKCUSoftwareValveHalf-LifeSettingsKey
El gusano abre el MSN Messenger y envía el siguiente mensaje:
Hey!! Could you please check out this program for me? :) I made it myself and want people to test it. Its a readme with the program that explains what it does!
http://home.[xxxx].net/downl0ad/BR2002.exe !!!!<-- There you can download it! give me advices on what to upgrade please!!
Donde [xxxx] es parte del nombre del sitio que se ha omitido en esta
descripción por seguridad.
[......]
Fuente de la noticia y la misma completa:
0ri0n Team Venezuela
Nueva Versión 8.0 del PGP
Noticia enviada el Martes 15 de Octubre de 2002 por alex
El programa de encriptacion y cifrado PGP vuelve a nuestros ordenadores, de la mano de una compañía independiente y con la nueva versión 8.0
El programa de encriptacion y cifrado PGP vuelve a nuestros ordenadores, de la mano de una compañía independiente y con la nueva versión 8.0
PGP (Pretty Good Privacy), es un programa de encriptación y seguridad militar, inicialmente desarrollado por Phil Zimmerman y que fué adquirido en su momento por Networks Associates, que hizo público hace unos meses su intención de abandonar su desarrollo.
PGP ha vuelto finalmente de la mano de una startup independiente, creada especialmente para resucitar a PGP, y en la que Jon Callas, el principal científico de las versiones anteriores de PGP, se convierte en el CTO de la nueva empresa.
Las buenas noticias para todos son que la versión 8.0 beta del programa de encriptación ya puede ser descargado.
Enlace relacionado:
http://www.pgp.com/beta80.php
Fuente de la noticia:
0TV
Detectado un troyano en algunas copias de Sendmail
Noticia enviada el Domingo 13 de Octubre de 2002 por alex
Se ha detectado la presencia de un troyano en algunas copias del código fuente de Sendmail distribuidas a través de Internet. Según se ha informado un intruso modificó el código fuente para incluir el troyano y comprometió la seguridad del servidor FTP oficial, ftp.sendmail.org, para hospedar las copias infectadas.
Desde el 28 de septiembre, fecha en la que se estima se introdujo el troyano, hasta el 6 de octubre, los usuarios que hayan descargado los ficheros sendmail.8.12.6.tar.z y sendmail.8.12.6.tar.gz pueden estar afectados. Actualmente el servidor FTP está fuera de servicio debido a este ataque y los usuarios pueden descargar la versión legítima de Sendmail desde el servidor web http://www.sendmail.org/ cuyas copias no han sufrido el incidente.
El troyano introducido en estos paquetes de distribución de Sendmail tenía como misión conectarse a un servidor remoto a través del puerto TCP/6667 y permitir al intruso ejecutar código en el servidor infectado. Para evitar este tipo de ataques el CERT y el Sendmail Consortium recomiendan comprobar siempre las firmas digitales de los ficheros descargados antes de proceder a su instalación, ya que de esta forma podemos comprobar su integridad y detectar si han sido manipulados.
Los MTA (Mail Transport Agent) son los programas encargados de transferir los mensajes de correo electrónico y hacerlos llegar a su destino. Sendmail es el MTA más utilizado en Internet y suele formar parte de los servidores de correo de plataformas Unix. La misión principal de Sendmail consiste en recoger los e-mails enviados por los usuarios a través de sus clientes de correo y elegir la estrategia de reparto para que lleguen correctamente al servidor de correo del destinatario.
CERT Advisory CA-2002-28 Trojan Horse Sendmail Distribution
Fuente de la noticia:
Hispasec- una-al-día
Problemas de seguridad en ArGoSoft Mail Server Pro para WinNT/2000/XP
Noticia enviada el Jueves 10 de Octubre de 2002 por alex
ArGoSoft Mail Server Pro se ve afectado por un problema de seguridad en el interfaz de correo Web-Mail, por el cual un atacante podría obtener datos sensibles.
El problema en cuestión viene dado por la posibilidad de ejecución de un javascript encubierto en un correo electrónico, ya que esta utilidad no procede a su filtrado. Esto permitiría el robo de cookies, lo que especial importancia debido que estas cookies también guardan los datos de usuarios como nombre de usuario y clave en texto plano.
En el momento de escribir esta noticia sólo se ha podido verrificar la existencia del problema en la versión 1.8.1.9 aunque posiblemente versiones anteriores también se vean afectadas. Como medida preventiva se recomienda la desactivación del interfaz Web-Mail.
ArGoSoft Mail Server Pro E-Mail HTML Injection Vulnerability
Fuente de la noticia:
Hispasec- una-al-día
Rodok, nuevo gusano para MSN Messenger
Noticia enviada el Miércoles 9 de Octubre de 2002 por alex
Panda Software ha detectado la aparición de un nuevo gusano denominado Rodok (W32/Rodok.A), que se propaga a través de la aplicación de mensajería instantánea y chat MSN Messenger recurriendo, para ello, a la Ingeniería Social.
El mensaje en el que se envía Rodok intenta engañar al usuario para que descargue un programa desde una dirección web que, en realidad, contiene al citado código malicioso. En la práctica, si el fichero es ejecutado aparece una ventana que simula ser una aplicación para obtener claves de registro ilegales.
Rodok intenta descargar desde Internet dos archivos, que graba en el directorio raíz del disco duro del equipo con los nombres update35784.exe y hehe2397824.exe. Estos ficheros contienen un troyano -denominado Bck/Brat y de tipo backdoor-, que permite a un usuario malicioso controlar, de forma remota,la máquina afectada.
Para evitar los efectos de posibles encuentros con Rodok, Panda Software aconseja actualizar las soluciones antivirus. Para ello, la multinacional española ya ha puesto a disposición de los usuarios las correspondientes actualizaciones de sus antivirus para la detección y eliminación de éste código malicioso, que puede ser descargadas desde
Pandasoftware. Por otra parte, los usuarios que quieran desinfectar "online" sus sistemas, pueden utilizar la solución antivirus gratuita Panda ActiveScan, que también se encuentra disponible en la web dela compañía.
Fuente de la noticia Oxygen3 24h-365d, por Panda Software
Vulnerabilidad en funciones de descompresión de Microsoft Windows
Noticia enviada el Lunes 7 de Octubre de 2002 por alex
Existen dos vulnerabilidades en las funciones de compresión incluidas en Windows 98 con Plus!, Windows Me y Windows XP, una de las cuales permitirá a un atacante la ejecución código en los sistemas afectados.
En Windows 98 con Plus! Pack, Windows Me y Windows XP, la característica Carpetas Comprimidas (Compressed Folders) permite la creación de archivos zip que serán tratados como carpetas. La característica Carpetas Comprimidas puede ser empleada para crear, añadir archivos y extrar archivos de los archivos comprimidos.
Existen dos vulnerabilidades en la función Carpetas Comprimidas:
- - Existe un búfer sin comprobar en el programa que trata la descompresión de archivos de un fichero zip. Un atacante podrá explotar esta vulnerabilidad para lograr la ejecución de código.
- - La función de descompresión puede situar un archivo en un directorio que no sea el especificado por el usuario y donde se descompriman los archivos zip. Esto puede permitir a un atacante situar un archivo en una localización conocida en el sistema, como por ejemplo dituar un programa en el directorio de inicio.
- Windows 98 con Plus! Pack
- Windows Me:
Sólo disponible a través de
Windows Update
- Windows XP
Más información:
Unchecked Buffer in File Decompression Functions Could Lead to Code Execution
Fuente de la noticia:
Hispasec- una-al-día
Caída de elhacker.net
Noticia enviada el Domingo 6 de Octubre de 2002 por alex
Por cambio de caja (chasis) del servidor, y otros problemas técnicos, www.elhacker.net ha estado caído durante la tarde y noche de ayer y toda la mañana de hoy.
Ya vuelve a funcionar todo con normalidad.
Disculpad las molestias.
Saludos,
Alex
Nuevo virus W32/Opaserv
Noticia enviada el Sábado 5 de Octubre de 2002 por Crackepeter
ya existe la vakuna para el famoso W32/Opaserv,del ke se dice mas kontagioso y kon mas nivel de daños ke el famoso w32/KlezI.Aqui os ponemos donde podeis bajaros la vacuna y como detectar si esta en vuestro pc.
Descripcion del gusano:
Nombre: W32/Opaserv
Aliases: W32/Opaserv.worm, W32/Opaserv-A, Win32.Opaserv, WORM_OPASOFT.A
Variantes: Ninguna
Fecha de Descubrimiento: 30/09/2002
Tipo: Gusano de internet - Recursos compartidos
Gravedad: Media
Origen: Desconocido
Información: Es capaz de propagarse a través de recursos compartidos. Además puede descargar actualizaciones desde un sitio Web.
Características: Cuando el gusano es ejecutado, chequea la existencia del valor ScrSvrOld en la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run, si existe elimina el archivo al cual apunta dicha clave. En el caso que no exista ahora chequea la existencia del valor ScrSvr en la misma clave del registro, si la misma no existiese agrega el valor ScrSvr C:\Windows\ScrSvr.exe.
Luego verifica si el archivo C:\Windows\ScrSvr.exe se encuentra corriendo, sino lo está agrega el valor ScrSvrOld (nomre original del gusano) a la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run.
Al finalizar, chequea la clave del registro y la ubicación desde donde el virus se está ejecutando, chequea, también si se encuentra actualmente activo creando un mutex llamado ScrSvr31415.
Si aun no se encuentra ejecutándose, se registra como un proceso bajo Windows 9x/Me. Bajo Windows NT/2000/XP eleva la prioridad del proceso.
El gusano busca a través de la red recursos al disco C\, al encontrarlos se copia allí como C\Windows\Crsvr.exe.
Además, modifica el archivo Win.ini agregando la linea run= C:\tmp.ini, y luego crea el archivo tmp.ini el cual contiene el texto run= c:\windows\scrsvr.exe.
Intentará, por último, actualizarse conectandose a una URL incluida en su código, para bajar un archivo llamado Scrupd.exe.
Para eliminarlo: Las grandes compañías desarrolladoras de antivirus ya han
actualizado sus definiciones para detectar este virus. Para ver una lista de las direcciones de dónde bajar estos archivos, haz click aquí.
Además, Symantec, ha desarrollado una herramienta capaz de desinfectar este virus de un sistema. Para lograrlo, ésta, realiza las siguientes acciones:
1. Terminar todos los procesos activos del gusano.
2. Eliminar cualquier archivo ejecutable del virus.
3. Remover las entradas del registro.
4. Restaurar el archivo Win.ini.
Los usuarios deberán seguir los siguientes pasos para eliminarlo correctamente:
NOTA: Bajo Windows NT/2000/XP debes tener privilegios de administrador para correr esta herramienta.
1. Bajar el archivo FixOpsrv.exe desde:
http://securityresponse.symantec.com/avcenter/FixOpsrv.exe
2. Salvar dicho archivo en una ubicación conveniente, como el Escritorio o Mis documentos.
3. Cerrar todos los programas antes de ejecutarla.
4. Si el equipo se encuentra conectado a internet y/o a una red, desconectarlo de ambas.
5. Si el sistema es Win Me o Xp, deshabilitar la opción de Restaurar Sistema.
6. Doble click sobre el archivo FixOpsrv.exe para ejecutar la herramienta.
7. Click en Start para empezar el proceso.
8. Una vez finalizada, reiniciar el sistema.
9. Ejecutar nuevamente la herramienta para asegurarse que el sistema se encuentra limpio.
10. Bajo Win Me o Xp, rehabilitar la opción de Restaurar el Sistema.
11. Actualizar el antivirus que se posea en el equipo y realizar un escaneo con él para eliminar cualquier tipo de rastro del mismo.
Fuente de la noticia.
www.euromech.com
Nuevas versiones de Apache 1.3.* y 2.0.*
Noticia enviada el Viernes 4 de Octubre de 2002 por alex
Se acaban de publicar dos actualizaciones de Apache, para las ramas 1.3.* y 2.0.*. Estas actualizaciones solucionan varios problemas de seguridad.
Apache es el servidor web más popular del mundo, disponible en código fuente y para infinidad de plataformas, incluyendo UNIX, Microsoft Windows y Novel NetWare.
Las versiones no actualizadas de Apache contienen varios problemas de seguridad. La recomendación es actualizar cuanto antes a Apache 1.3.27 o 2.0.43.
En concreto, los problemas de seguridad solucionados son:
* 1.3.27:
- Un problema en la gestión de la memoria compartida permite que
cualquier usuario *LOCAL* en la máquina, que pueda ejecutar código con el UID de Apache (típicamente "nobody"), pueda enviar cualquier señal UNIX a cualquier proceso del sistema, como "root". También puede provocar un DoS (Ataque de Denegación de Servicio) sobre la máquina local, en particular el propio proceso Apache.
Esta vulnerabilidad solo es explotable para usuarios locales.
- Apache permite explotar vulnerabilidades CSS (Cross Site Scripting) en la página web por defecto cuando se muestra un error 404 (página inexistente), en dominios que admitan comodines en el DNS.
- Varios desbordamientos de búfer en el código de "ab.c", herramienta incluida en el sistema para realizar pruebas de carga de un servidor web. Las vulnerabilidades son explotables cuando se utiliza "ab" contra un servidor web malicioso.
* 2.0.43:
- Apache permite explotar vulnerabilidades CSS (Cross Site Scripting) en la página web por defecto cuando se muestra un error 404 (página inexistente), en dominios que admitan máscaras en el DNS.
- Apache puede devolver el código fuente de un script cuando un cliente hace un "POST" y tenemos activado DAV para el recurso en cuestión.
La recomendación es actualizar Apache a la versión 1.3.27 o 2.0.43.
Fuente de la noticia:
Hispasec- una-al-día
Apache:
HTTP Server Project
Nuevo virus detectado ayer mismo.
Noticia enviada el Miércoles 2 de Octubre de 2002 por Crackepeter
Como siempre, elhacker.net os trae las ultimas novedades en seguridad informatica.Este virus se detecto el 1 de Octubre y ya os lo ponemos en exklusiva.
Un nuevo gusano capaz de detener el antivirus
Las compañías de seguridad informática han advertido en las últimas horas de la aparición del gusano de correo electrónico "W32/Bugbear", también conocido como "Tanat", cuyo código malicioso está diseñado para enviarse como fichero adjunto de un "e-mail".
El gusano, detectado por vez primera ayer procedente de Malasia, según la empresa MessageLabs, aparece en correos electrónicos que tienen asuntos y cuerpos variables, aunque el archivo infectado, que también puede tener cualquier nombre, siempre ocupa 50.688 bytes.
Cuando se ejecuta el archivo, "Bugbear" crea varios archivos en el equipo, si bien éstos tienen un nombre escogido de manera aleatoria. Algunos de ellos son copias del propio gusano, como "%sysdir%????.exe" y "%startup%???.exe", en los que cada signo "?" corresponde a un carácter diferente, informó la multinacional española Panda Software.
El gusano tiene la capacidad de abrir el puerto 36794 del ordenador al que ataca y, al mismo tiempo, detener aplicaciones tales como antivirus y cortafuegos personales.
De esta forma, el gusano abre una puerta trasera que permite a un atacante acceder a un ordenador o a una red de forma remota, siendo especialmente peligroso para robar contraseñas y números de tarjetas de crédito, añadió MessageLabs.
Por otra parte, el gusano introduce una entrada en el registro del sistema operativo "Windows" con el objetivo de ejecutarse cada vez que se reinicie el equipo. Las compañías de seguridad aconsejan actualizar las soluciones antivirus.
Fuente de la noticia Oxygen3 24h-365d, por Panda Software.