Ejecución de código en RealPlayer/RealOne (DUNZIP32.DLL) Según informa Secunia, eEye Digital Security ha reportado una vulnerabilidad en RealPlayer y RealOne, que puede ser explotada por usuarios maliciosos para comprometer el sistema afectado.
La vulnerabilidad es causada por un error de límites (desbordamiento de búfer), en la librería de compresión DUNZIP32.DLL, cuando se procesan los archivos con skins para la interfase del reproductor.
DUNZIP32.DLL es utilizada por RealPlayer y otra variedad de programas, incluido el propio Windows, que corrigió un fallo similar en uno de sus boletines de octubre de 2004 (ver "MS04-034 Vulnerabilidad en carpetas comprimidas (873376)",
http://www.vsantivirus.com/vulms04-034.htm).
En el caso de los productos de RealNetworks, un atacante podría construir un archivo con skins (comprimido), de tal forma que pudiera ejecutar código malicioso en el equipo del usuario afectado, cuando éste intentara abrirlo con un RealPlayer o un RealOne vulnerable.
La vulnerabilidad afecta a las siguientes versiones:
- RealPlayer 10.5 anterior al build 6.0.12.1056
- RealPlayer 10
- RealOne Player v2
- RealOne Player v1
Las versiones posteriores ya no son afectadas (RealNetworks publicó estas versiones recientemente).
Para actualizarse, los usuarios deben seleccionar la opción "Buscar actualizaciones" del menú Herramientas.
Más información (en español):
www.service.real.com/help/faq/security/041026_player/ES-XM/Créditos: eEye Digital Security
Referencias:
RealNetworks, Inc. lanza una actualización de seguridad para resolver puntos vulnerables.
www.service.real.com/help/faq/security/041026_player/ES-XM/RealPlayer/RealOne "DUNZIP32.dll" Buffer Overflow Vulnerability
http://secunia.com/advisories/12869/Más información:
http://www.vsantivirus.com/vul-real-dunzip-271004.htmW32/Bagz.E. Desactiva cortafuegos de WindowsW32/Bagz.F.
Nombre: W32/Bagz.E
Nombre Nod32: Win32/Bagz.E
Tipo: Gusano de Internet
Alias: Bagz.E, Win32/Bagz.E, Win32.Bagz.C, Win32/Bagz.C.Worm, I-Worm.Bagz.d, W32/Bagz.D@mm, W32/Bagz.e@MM
Plataforma: Windows 32-bit
Tamaño: 155,138 bytes (UPX)
Gusano que intenta deshabilitar el cortafuegos de Windows XP. Su presencia en un sistema infectado, resulta en una notoria caída de rendimiento en la conexión a Internet.
Se propaga por correo electrónico en forma masiva, utilizando su propio motor SMTP, a direcciones obtenidas en archivos de la máquina infectada. Utiliza remitentes falsos.
Los mensajes tienen las siguientes características:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
- Administrator
- Allert!
- Amirecans
- ASAP
- Att
- attach
- attachments
- best regards
- contract
- Have a nice day
- Hello
- Money
- office
- please responce
- re: Andrey
- re: order
- re: please
- Read this
- Russian's
- text
- toxic
- urgent
- Vasia
- waiting
- Warning
Texto del mensaje: [uno de los siguientes]
Ejemplo 1:
Hi
Did you get the previous document I attached
for you? I resent it in this email just in
case, because I really need you to check it out
asap.
Best Regards
Ejemplo 2:
Hi
I made a mistake and forgot to click attach
on the previous email I sent you. Please give
me your opinion on this opportunity when you
get a chance.
Best Regards
Ejemplo 3:
Hi
I was supposed to send you this document
yesterday. Sorry for the delay, please forward
this to your family if possible.
It contains important info for both of you.
Best Regards
Ejemplo 4:
Hi
Sorry, I forgot to send an important
document to you in that last email. I had an
important phone call. Please checkout attached
doc file when you have a moment.
Best Regards
Ejemplo 5:
Hi
I was in a rush and I forgot to attach an
important document. Please see attached doc
file.
Best Regards
Ejemplo 6:
Sorry to bother you, but I am having a problem
receiving your emails. I am responding to your
last email in the attached file.
Please get back to me if there is any problem
reading the attachment.
Ejemplo 7:
I am responding to your last email in the
attached file. I had a delivery problem with
your inbox, so maybe you'll receive this now.
Ejemplo 8:
Can you please check out the email I have
attached? For some reason, I received only part
of your last several emails.
I want to make sure that there are no problems
with either of our accounts.
This email is being sent as attachment because
it was previously blocked by your email
filters.
Please view the attachment and respond.
Thanks
Ejemplo 9:
I resent this email as attachment because
it was previously blocked by your email
filters.
Please read the attachment and respond.
Thanks
Ejemplo 10:
I apologize, but I need you to verify
that I have the correct contact info for you.
My system crashed last weekend and
I lost most of my friends and work contacts.
Please check the attached (.pdf) and
please let me know if your info is current.
Ejemplo 11:
My last email to you was returned.
The reason is that I am not currently
added to your "allowed" contact list.
Please add my updated contact info
provided in the attached (.pdf) file
so I can send you emails in the future.
Sincerely
Ejemplo 12:
I have updated my email address
See the (.pdf) file attached and
please respond if you have any questions.
Ejemplo 13:
We have made recent updates to our database.
Please verify your mailing address on file is
correct. We have attached a (.pdf) sheet for
you to use for your response.
Ejemplo 14:
Hello
Our contact information has changed.
See the attached (.pdf) sheet for details.
Sincerely,
Ejemplo 15:
***URGENT: SERVICE SHUTDOWN NOTICE***
Due to your failure to comply with our email
Rules and Regulations, your email account has
been temporarily suspended for 24 hours unless
we are contacted regarding this situation.
You must read the attached document for further
instructions. Failure to comply will result in
termination of your account.
Regards,
Net Operator
***URGENT: SERVICE SHUTDOWN NOTICE***
Ejemplo 16:
***ATTENTION: YOUR EMAIL IS NOT BEING
DELIVERED!***
You are currently unable to send emails.
This may be a billing issue.
Please call the billing center.
The # for the billing office is located in the
attached
contact list for your convenience.
***ATTENTION: YOUR EMAIL IS NOT BEING
DELIVERED!***
Ejemplo 17:
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
Hello,
The previous email you sent has been recognized
as spam. This means your email was not
delivered to your friend or client.
You must open the attached file to receive more
information.
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
Ejemplo 18:
Hello,
What version of windows you are using?
This last document I received from you came out
weird.
Please see the attached word file and resend
the file to me.
Many thanks,
User
Ejemplo 19:
Your email was sent in an INVALID format. To verify
this email was sent from you, simply open the attached
email (.eml) file and click yes in the sender options
box.
Thank You, User
Ejemplo 20:
Hello,
My PC crashed while I was sending that last
email.
I have re-attached the document of yours that I
discovered.
Please read attached document and respond ASAP.
Sincerely,
User
Ejemplo 21:
Hello,
Your email was received.
YOUR REPLY IS URGENT!
Please view the attached text file for
instructions.
Regards,
User
Ejemplo 22:
Hello,
I was in a hurry and I forgot to attach an
important document. Please see attached.
Best Regards,
User
Ejemplo 23:
Hello,
I resent this email as attachment because
it was previously blocked by your email
filters.
Please read the attachment and respond.
Thanks,User
Ejemplo 24:
Hello,
Sorry, I forgot to attach the new contact
information.
Please view the attached (.pdf) contact sheet.
Sincerely,
User
Datos adjuntos: [uno de los siguientes]
about.doc [espacios] .exe
about.zip
admin.doc [espacios] .exe
admin.zip
archivator.doc [espacios] .exe
archivator.zip
archives.doc [espacios] .exe
archives.zip
ataches.doc [espacios] .exe
ataches.zip
backup.doc [espacios] .exe
backup.zip
docs.doc [espacios] .exe
docs.zip
documentation.doc [espacios] .exe
documentation.zip
help.doc [espacios] .exe
help.zip
inbox.doc [espacios] .exe
inbox.zip
manual.doc [espacios] .exe
manual.zip
outbox.doc [espacios] .exe
outbox.zip
payment.doc [espacios] .exe
payment.zip
photos.doc [espacios] .exe
photos.zip
rar.doc [espacios] .exe
rar.zip
readme.doc [espacios] .exe
readme.zip
save.doc [espacios] .exe
save.zip
zip.doc [espacios] .exedoc.zip
zip.zip
Los archivos ZIP contienen una copia del gusano con el mismo nombre del adjunto y dos extensiones separadas por espacios (.DOC y .EXE).
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\system32\rpc32.exe
c:\windows\system32\run32.exe
c:\windows\system32\sysboot.doc [espacios] .exe
También crea los siguientes archivos que solo contendrán datos almacenados por el gusano:
c:\windows\system32\ipdb.dll
c:\windows\system32\jobdb.dll
c:\windows\system32\wdate.dll
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
El gusano crea un servicio llamado "RUN32" para ejecutarse en cada reinicio del sistema. El servicio muestra el nombre "Network Explorer", y la descripción "Starts and configures accessibility tools from one window".
Puede deshabilitar el cortafuegos de Windows XP, e instalar su propio driver de redes para eludir el cortafuegos de la red local.
También puede descargar y ejecutar otros archivos desde los siguientes dominios:
ug66.biz
warfed.biz
Busca direcciones electrónicas a las que luego se envía en mensajes como los descriptos antes, en archivos del equipo infectado con las siguientes extensiones:
.dbx
.htm
.tbb
.tbi
.txt
El gusano evita enviarse a direcciones con las siguientes cadenas en sus nombres:
@avp
@foo
@iana
@messagelab
@microsoft
abuse
admin
administrator@
all@
anyone@
bsd
bugs@
cafee
certific
certs@
contact@
contract@
feste
free-av
f-secur
gold-
gold-certs@
google
help@
hostmaster@
icrosoft
info@
kasp
linux
listserv
local
netadmin@
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
support@
unix
update
webmaster@
winrar
winzip
También modifica el archivo HOSTS de Windows, para impedir que el usuario infectado pueda acceder a los siguientes sitios de Internet:
ad .doubleclick .net
ad .fastclick .net
ads .fastclick .net
ar .atwola .com
atdmt .com
avp .com
avp .ch
avp .ru
awaps .net
banner .fastclick .net
banners .fastclick .net
ca .com
click .atdmt .com
clicks .atdmt .com
dispatch .mcafee .com
download .mcafee .com
download .microsoft .com
downloads .microsoft .com
engine .awaps .net
fastclick .net
f-secure .com
ftp .f-secure .com
ftp .sophos .com
go .microsoft .com
liveupdate .symantec .com
mast .mcafee .com
mcafee .com
media .fastclick .net
msdn .microsoft .com
my-etrust .com
nai .com
networkassociates .com
office .microsoft .com
phx .corporate-ir .net
secure .nai .com
securityresponse .symantec .com
service1 .symantec .com
sophos .com
spd .atdmt .com
support .microsoft .com
symantec .com
update .symantec .com
updates .symantec .com
us .mcafee .com
vil .nai .com
viruslist .ru
windowsupdate .microsoft .com
www .avp .com
www .avp .ch
www .avp .ru
www .awaps .net
www .ca .com
www .fastclick .net
www .f-secure .com
www .kaspersky .ru
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .ru
www3 .ca .com
Más información:
http://www.vsantivirus.com/bagz-e.htmhttp://www.vsantivirus.com/bagz-f.htmW32/Liber.I. Se propaga en un mensaje sobre terrorismoNombre: W32/Liber.I
Nombre Nod32: Win32/Liber.I
Tipo: Gusano de Internet
Alias: Liber.I, Win32/Liber.I, W32/Famus.C.worm, W32/RED.J
Plataforma: Windows 32-bit
Tamaño: 155,647 bytes
Este gusano, escrito en Visual Basic y de origen cubano, fue detectado el 27 de octubre de 2004.
El gusano utiliza la librería MSVBVM60.DLL de Windows (Visual Basic Virtual Machine), de modo que puede fallar en aquellos sistemas que no la tengan. La misma es instalada por otras aplicaciones como Office por ejemplo.
Cuando el gusano está activo en memoria, el rendimiento general de la computadora infectada puede caer sensiblemente.
(ver
http://www.daboweb.com/phpBB2/viewtopic.php?t=8368)
Más información:
http://www.vsantivirus.com/liber-i.htm
