Envenenamiento de cache DNS en Symantec Enterprise Firewall 7 y 8 Se ha descubierto una vulnerabilidad en Symantec Enterprise Firewall que puede ser explotada por usuarios maliciosos para envenenar la caché de DNS.
Cuando actúa como un servidor caché de DNS, el proxy DNS integrado confía en una respuesta recibida de un servidor DNS sin comprobar que corresponde a una petición realizada o si es válida. Este problema puede explotarse para introducir información falsificada en la caché DNS y así dirigir a usuarios a sitios maliciosos o impedir que accedan a determinados sitios web.
Esta vulnerabilidad se ha confirmado en las versiones 7.0.4 y 8.0 para Solaris, aunque otras plataformas y versiones podrían verse afectadas.
Se ha confirmado que algunos servidores DNS públicos usan esta vulnerabilidad para redirigir dominios no registrados a sus sitios, aunque también podría emplearse para realizar ataques de tipo hombre en el medio, denegaciones de servicio o de ingeniería social.
Symantec está investigando el problema, así que a la espera de un parche oficial que corrija esta vulnerabilidad, se recomienda no usar el proxy DNS.
Más información:
http://www.hispasec.com/unaaldia/2066Ataque DoS en Sygate Personal Firewall (teefer.sys) Sygate Personal Firewall (SPF), es un cortafuego de uso personal para plataformas Microsoft Windows. La versión Pro 5.5 Build 2525, ha sido reportada como vulnerable a un ataque de denegación de servicio (DoS), causado por un fallo en el componente TEEFER.SYS. El error se produce cuando se intenta validar la fuente de códigos de control.
Si el servicio del cortafuego (SMC.EXE) es deshabilitado, SPF posee una característica llamada "fail-close" que bloquea todo el tráfico, protegiendo al equipo de intrusiones posteriores, hasta que el programa es reiniciado correctamente.
Sin embargo, con este fallo, un atacante local puede ocasionar la caída de SMC.EXE y hacer que la característica "fail-close" también falle, al enviar códigos de control maliciosamente modificados.
Esto dejaría al equipo desprotegido ante cualquier otro ataque, o incluso a merced de gusanos que se aprovechan de vulnerabilidades conocidas de Windows, y que un cortafuego suele bloquear.
La vulnerabilidad se produce en todas las versiones de Windows en las que se ejecuta Sygate Personal Firewall Pro y afecta a la versión 5.5 Build 2525 de este software.
No hay solución del vendedor a la fecha de publicación de esta alerta. Sygate recibió el reporte un mes antes de esta alerta pública. La respuesta oficial fue que el problema será corregido en una próxima actualización del producto.
Más información:
http://www.vsantivirus.com/vul-spf-teefer.htmFallo en filtro de contenido malicioso de ZoneAlarm Pro La última versión de ZoneAlarm Pro (ZAP), posee una nueva característica llamada "Mobile Code" (código móvil), capaz de bloquear componentes potencialmente peligrosos tales como controles ActiveX, appletts de Java y ciertos objetos del tipo MIME.
MIME (Multipurpose Internet Mail Extensions), es un protocolo que especifica la codificación y formato de los contenidos de los mensajes. Permite el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza.
En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el código contenido en el cuerpo del mensaje. También puede usarse codificación MIME en una página HTML.
El filtro de ZoneAlarm, bloquea contenidos con códigos MIME del tipo clasificado como "application/*". Sin embargo, este filtro no actúa con contenido SSL.
Secure Sockets Layer (SSL), es un protocolo creado por para la autenticación y encriptado de datos sobre redes TCP/IP. Su aplicación más popular es HTTPS, el Protocolo de Transferencia de Hipertexto (HTTP) sobre SSL.
Un usuario malicioso, puede colocar en un sitio, contenido SSL peligroso, que no sería bloqueado por el ZoneAlarm.
Esta vulnerabilidad fue reportada en Internet el mismo día de su descubrimiento, y no hay respuesta oficial de ZoneLabs.
Afecta a la versión ZoneAlarm PRO 5.0.590.015, bajo todos los sistemas operativos Windows soportados (probado bajo Windows XP).
Sugerencias:
Se sugiere no navegar por sitios con protocolo SSL (https://) que no sean de confianza.
Más información:
http://www.vsantivirus.com/vul-zap-mobilecode.htmW32/Korgo.R. Infecta equipos sin parche LSASSNombre: W32/Korgo.R
Tipo: Gusano de Internet
Alias: Korgo.R, Padobot.G, W32.Korgo.R, Worm.Win32.Padobot.Gen, Win32/Korgo.R, WORM_KORGO.R, W32/Korgo.worm.r, W32/Korgo.R.worm, W32/Korgo.R, W32/Korgo.R.worm, Worm.Win32.Padobot.h, WORM_KORGO.H, W32/Korgo.L, W32/Korgo.N.worm, Worm.Win32.Padobot.g
Fecha: 22/jun/04
Plataforma: Windows 32-bit
Tamaño: 9,343 bytes (recomprimido)
Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar
Variante del gusano Korgo.P, recomprimido. Explota la conocida vulnerabilidad en el componente LSASS (usada también por gusanos como Sasser, Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario.
Más información:
http://www.vsantivirus.com/korgo-r.htmHacarmy.C Troyano de control remoto, o puerta trasera, que da a un usuario remoto no autorizado control sobre la máquina infectada.
Nombre completo: Backdoor.W32/Hacarmy.C
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Backdoor.Hacarmy.C (Symantec)
Detalles
Cuando Hacarmy.C e s ejecutado, hace lo siguiente:
Se copia en %System%\ipconfigs.exe, donde %System% representa la carpeta de sistema de Windows, por defecto C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Añade el valor
"IPConfig"="ipconfigs.exe"
a las claves del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
para ser ejecutado durante el arranque de Windows
Crea dos mutexes llamados "JB@" y "JP@2" para que no haya más de una instancia del gusano en ejecución
Intenta conectar con un servidor IRC al puerto 6667. Si tiene éxito, permite al atacante remoto realizar operaciones en la máquina infectada, entre las que se incluyen:
Descargar y ejecutar ficheros
Terminar procesos
Robar información del sistema.
Más información
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4010Emt Troyano que se registra a sí mismo como un componente BHO(Browser Helper Object ), que buscará todas las páginas vistas por el usuario a través de Internet Explorer.
Nombre completo: Trojan.W32/Emt
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Tamaño (bytes): 18944
Alias:TROJ_EMT.A (Trend Micro)
Detalles
Se registra a sí mismo en el sistema como un componente BHO(Browser Helper Object), que buscará todas las páginas vistas por el usuario a través de Internet Explorer.
Para el registrar el componente añadirá las siguientes entradas en los registros indicados:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Explorer\Browser
Helper Objects\{C5B2B338-4A3F-4ab4-93F6-3BDAFE154D94}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\
{C5B2B338-4A3F-4ab4-93F6-3BDAFE154D94}
Más información
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4009Mlhr Virus de macro simple dedicado a infectar ficheros de documentos de Microsoft Word e intenta descagar un Troyano.
Nombre completo: Virus.W97M/Mlhr
Tipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
Plataforma: [W97M] - Virus de Word 97 y posteriores
w32
Alias:W97M.MLHR (Symantec)
Efectos
Su primera ejecución se realiza cuando se cierra un documento Word ya infectado infectando a su vez la plantilla universal Normal.dot, que provocará la infección de otros documentos en el momento de ser cerrados.
Mantiene su código almacenado en un módulo llamado "CorporacionMLHR."
Reduce al mínimo los parámetros de seguridad de macros en Microsoft Word.
Cambia la página de inicio de Internet Explorer por
www.gedzac.tk.
Cambia el título de la ventana del explorador por:
Morusa está aquí - ¡Viva México! - GeDZaC 2004 Macro.Morusa...
Cada vez que el virus es activado intentará la descarga de un fichero que guardará como " %Temp %\MLHR.html " para mostrarlo en el navegador. Es totalmente inofensivo.
Nota: %Temp% es una variable qye representa la carpeta de ficheros temporales. Por defecto será C:\Windows\TEMP (Windows 95/98/Me/XP) o C:\WINNT\Temp (Windows NT/2000).
Otro de los intentos tras la activación, será la descarga de un fichero que guardará como "%Windir%\Services.exe". Este fichero es un troyano que intentará ejecutarse de forma inmediata. Algunos fabricantes lo detectan como "Trojan Horse."
Nota: %Windir% es una variable que representa la carpeta de Windows. Por defecto será C:\Windows o C:\Winnt.
Más información
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4007Korgo.P Nombre completo: Worm.W32/Korgo.P@LSASS
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [LSASS] - Gusano que se difundiende aprovechando la vulnerabilidad de LSASS (MS04-011) que afecta a Windows 2000 y XP.
Tamaño comprimido (bytes): 9343
Alias:W32/Korgo.P.worm (Panda Software), WORM_KORGO.P (Trend Micro), Win32.Korgo.P (Computer Associates), Win32.Padobot.gen (Otros), Worm/Padobot.J (Otros), Win32.Worm.Korgo.P (Bit Defender)
Otra versión mas de korgo, que como ya sabemos se trata de un gusano que se propaga a través de Internet, explotando la vulnerabilidad LSASS en ordenadores remotos.
Esta vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido convenientemente actualizados.
Se conecta a una serie de sitios web, a los que envía información sobre el país donde se encuentra el ordenador afectado, y de los que intenta descargar archivos.
Más información
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4006Korgo.O Nombre completo: Worm.W32/Korgo.O@LSASS
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [LSASS] - Gusano que se difundiende aprovechando la vulnerabilidad de LSASS (MS04-011) que afecta a Windows 2000 y XP.
Tamaño comprimido (bytes): 9343
Alias:W32/Korgo.O.worm (Panda Software), WIN32/KORGO.O (Enciclopedia Virus (Ontinent))
Gusano que se propaga a través de Internet, explotando la vulnerabilidad LSASS en ordenadores remotos. Esta vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido convenientemente actualizados.
Se conecta a sitios web, a los que envía información sobre el país donde se encuentra el ordenador afectado, y de los que intenta descargar archivos.
Se propaga de manera automática por ordenadores con Windows XP/2000. Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En este último caso, convertiría dicho ordenador en un nuevo foco de propagación.
Más información
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4005W32/Rbot-BLAlias: W32/Sdbot.worm.gen.g
Tipo: Gusano Win32
Descripción
W32/Rbot-BL es un gusano de redes y un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC y que se extiende a través de unidades compartidas con contraseñas no seguras.
W32/Rbot-BL se copia en la carpeta System32 de Windows con el nombre WUAMGRD.EXE y modifica las siguientes claves del registro para activarse en el inicio del sistema, comprobando los valores cada minuto:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
W32/Rbot-BL también modifica el valor de las siguientes entradas del registro, comprobando los valores cada dos minutos:
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"
W32/Rbot-BL intentará borrar las unidades compartidas C$, D$, E$, IPC$ y ADMIN$ cada dos minutos.
W32/Rbot-BL intentará terminar diferentes procesos relacionados con productos antivirus y de seguridad, como REGEDIT.EXE, MSCONFIG.EXE o NETSTAT.EXE.
Más información:
http://www.sophos.com/support/disinfection/worms.html
