Microsoft advierte posible vulnerabilidad en ASP.NETMicrosoft ha publicado un módulo HTTP de ASP.NET, para prevenir la posible explotación de un problema de seguridad detectado en todas las versiones de este entorno.
ASP.NET es una colección de tecnologías que ayudan a los desarrolladores a construir aplicaciones basadas en la Web. Estas aplicaciones confían en el protocolo HTTP para proveer la conectividad necesaria.
Aunque la información oficial no aclara más detalles, ni afirma que se trate realmente de una vulnerabilidad, los datos divulgados por el propio Microsoft indicarían que este asunto podría llegar a ser manejado maliciosamente por piratas informáticos, para llegar a obtener acceso al contenido protegido de sitios Web. Esto podría ser muy grave si se confirma además que para lograr esto, no sería necesaria ninguna forma de autenticación.
La posible vulnerabilidad afectaría a todas las versiones de ASP.NET, sin importar la versión del servidor IIS (Internet Information Server) instalado, ni del sistema operativo (Windows 2000, XP, 2003 Server).
Existen otras medidas preventivas publicadas por la compañía, para disminuir los riesgos de cualquier clase de acceso ilegal, las que se pueden encontrar en el enlace que se da al final.
El módulo HTTP publicado, también ayudaría a los administradores de sitios que pudieran verse comprometidos, a proteger sus aplicaciones ASP.NET del problema.
Más información:
What You Should Know About a Reported Vulnerability in Microsoft ASP.NET
http://www.microsoft.com/security/incident/aspnet.mspxPublicado en:
http://www.vsantivirus.com/10-10-04.htmTroj/NetCat32.10.Server. Herramienta de control remotoNombre: Troj/NetCat32.10.Server
Nombre Nod32: Win32/NetCat32.10.Server
Tipo: Caballo de Troya
Alias: BackDoor.NetCat.10, Backdoor.NetCat32.1.0, Backdoor.NetCat32.10, BackDoor.Netcat32.A, Backdoor.OneTime, Backdoor.Trojan, Backdoor:Win32/NetCat32.1_0, BackDoor-ADL, BDS/NetCat32.10, Troj/Bdoor-ADL, TROJ_NETSPY.S, Trojan.Netcat32.10, W32/Calcat.1_0, Win32.LameRemote.10, Win32/NetCat32.10.Server, Win32:Trojan-gen. {Other}
Plataforma: Windows 32-bit
Tamaño: 16,384 bytes
Se trata de una utilidad utilizada para tareas de administración de redes, que consta de un servidor y un cliente. Cuando el servidor es instalado en un equipo, un usuario remoto, utilizando el cliente, puede acceder a dicho equipo vía TCP y UDP, siendo capaz de controlar el hardware del mismo vía Internet.
La herramienta permite realizar modificaciones en la configuración del equipo, y otras acciones como abrir y cerrar la bandeja del CD, apagar Windows, acceder y manipular archivos y directorios.
El usuario remoto puede también espiar la computadora con el servidor instalado, obtener el caché de contraseñas y utilizar TELNET para las conexiones.
Cuando el servidor está activo en memoria, permanece invisible al usuario, y el único cambio notorio puede ser una disminución de los recursos y de la memoria disponible.
El programa no modifica el registro ni se autoejecuta por si mismo en el reinicio de Windows, pero suele ser instalado por usuarios maliciosos a través de otros troyanos o gusanos, o mediante engaños.
Aunque no siempre, el ejecutable puede llamarse SERVER.EXE.
Puede ser quitado de memoria desde el administrador de tareas (CTRL+ALT+SUPR), seleccionando el proceso "Server" o "Server.exe" (o el nombre que se le haya asignado).
Más información:
http://www.vsantivirus.com/troj-netcat32-10-server.htmTroj/NetCat32.10.Client. Herramienta de control remotoNombre: Troj/NetCat32.10.Client
Nombre Nod32: Win32/NetCat32.10.Client
Tipo: Caballo de Troya
Alias: NetCat32, Backdoor.NetCat32.1.0, Backdoor.NetCat32.10, Backdoor.NetCat32.10, BackDoor.Netcat32.B, Backdoor.Trojan, Backdoor:Win32/NetCat32.1_0, BKDR_NETCAT32.10, Troj/NetCat32, Trojan.Netcat32.10, W32/Calcat.1_0, Win32/NetCat32.10.Client, Win32:Trojan-gen. {Other}
Plataforma: Windows 32-bit
Tamaño: variable
Se trata de la parte cliente de una utilidad utilizada para tareas de administración de redes. Con este componente un usuario remoto puede acceder a otro equipo que tenga el servidor de esta utilidad instalado, siendo capaz de controlar el hardware de aquél, vía Internet.
La herramienta permite realizar modificaciones en la configuración del equipo remoto, y otras acciones como abrir y cerrar la bandeja del CD, apagar Windows, acceder y manipular archivos y directorios.
El usuario puede también espiar la computadora remota con el servidor instalado, obtener el caché de contraseñas y utilizar TELNET para las conexiones.
Más información:
Troj/NetCat32.10.Server. Herramienta de control remoto
http://www.vsantivirus.com/troj-netcat32-10-server.htmTroj/Comet.A. Modifica el cursor y descarga archivosNombre: Troj/Comet.A
Nombre Nod32: Win32/TrojanDownloader.Comet.A
Tipo: Caballo de Troya (Adware, Spyware)
Alias: Adware/Comet, application Adware-Cometsys, application Cometsystems, Downloader.Comet.A, Downloader.Comet.B, Downloader.Comet.C, Downloader.Comet.D, Flooder:MacOS/CometShower, not-a-virus:AdvWare.Comet, Trojan.Trojandownloader.Comet, TrojanDownloader.Comet.A, TrojanDownloader:Win32/Comet.A, W32/Comet.A, Win32/TrojanDownloader.Comet.A, Win32:Trojan-gen. {VC}, SPYW_COMET.A, COMET, COMETSYS
Plataforma: Windows 32-bit
Tamaño: variable
Se trata de una aplicación descargada gratuitamente de Internet, que modifica las características del cursor del mouse, con diferentes diseños e imágenes.
Se identifica en el registro con algunas de las siguientes clases ID:
{1678f7e1-c422-11d0-ad7d-00400515caaa}
{16bc6464-196a-4bab-a14b-f69f8a0a60f7}
{197ab1d7-a7dd-4c86-a938-1fcc0db21b85}
{32ba13af-001c-456e-8825-8d53077460ac}
{844c39ec-7ea4-4f11-bce6-28404fd768e3}
{8fcd3b3f-6f3e-4bb2-9c37-b03b27f71857}
{f59c663d-e891-492c-86e3-0758c71885c2}
Este parásito, puede descargar algunos archivos de Internet.
Crea las siguientes carpetas:
c:\Archivos de programa\comet
c:\Archivos de programa\comet systems
Y genera las siguientes entradas en el registro:
HKEY_CLASSES_ROOT\cssecurity.htmlsecurity
HKEY_CLASSES_ROOT\cssecurity.htmlsecurity.1
HKEY_CLASSES_ROOT\dmproxy.dmproxyctl
HKEY_CLASSES_ROOT\dmproxy.dmproxyctl.1
HKEY_CLASSES_ROOT\dmserver.dmnotify
HKEY_CLASSES_ROOT\dmserver.dmnotify.1
Más información:
http://www.vsantivirus.com/troj-comet-a.htm