Por un internet mas seguro



0 comments

TrojanDownloader.Zlob.MJ. Descarga otros archivos

http://www.vsantivirus.com/trojandownloader-zlob-mj.htm

Nombre: TrojanDownloader.Zlob.MJ
Nombre NOD32: Win32/TrojanDownloader.Zlob.MJ
Tipo: Caballo de Troya
Alias: Zlob.MJ, TrojanDownloader.Zlob.MJ, Downloader.Zlob.mj, TR/Dldr.Zlob.MJ.1, Troj/Zlob-MJ, Trojan.Downloader.Zlob.MJ, Trojan.Popuper, TrojanDownloader.Win32.Zlob, Trojan-Downloader.Win32.Zlob.mj, W32/Malware, W32/Zlob.MJ!tr.dldr, Win32/TrojanDownloader.Zlob.MJ
Fecha: 21/abr/06
Actualizado: 29/abr/06
Plataforma: Windows 32-bit
Tamaño: 16,156 bytes

Caballo de Troya que se vale de conocidas vulnerabilidades para ejecutarse, y cambiar la configuración del Internet Explorer, modificando las siguientes claves del registro, según la información obtenida de un archivo que descarga de un sitio remoto vía Internet:

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\SearchURL
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant

También agrega nuevos valores a las siguientes entradas del registro:

HKCU\Software\Microsoft\Internet Explorer\TypedURLs

Intenta agregar enlaces a determinados sitios web, en la carpeta de favoritos de Internet, la cuál localiza examinando la siguiente entrada del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders\Favorites

Cuando se ejecuta, crea los siguientes archivos:

[carpeta de usuario]\Application Data\Microsoft\Crypto\rsa
\[SID]\1c96f5e3071d2fe1fd8725ea7dbf2576_d94f23d0-c3c6-
4280-a7c4-148368e4a6d9

[carpeta de usuario]\Application Data\Microsoft\Protect
\[SID]\425aa19b-9b80-40f8-abf7-c19903e19f7e

[carpeta de usuario]\Application Data\Microsoft\Protect
\[SID]\Preferred

[carpeta de usuario]\Application Data\Microsoft\Protect
\credhist

c:\windows\system32\hp[caracteres al azar].tmp

c:\windows\system32\msvol.tlb

c:\windows\system32\ncompat.tlb

c:\windows\system32\mssearchnet.exe

Donde [SID] es un identificador de seguridad, un valor único que identifica a cada usuario, grupo, cuenta e inicio de sesión en una red, y [carpeta de usuario] es una de las siguientes:

* Windows XP, 2000 (español e inglés)

c:\documents and settings\all users
c:\documents and settings\[nombre usuario]
* Windows 95, 98, Me (español e inglés)

c:\windows\all users
c:\windows
c:\windows\profiles\[nombre usuario]
Las siguientes entradas en el registro son creadas o modificadas:

HKCR\CLSID\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22}

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page

HKCU\Software\Microsoft\Internet Explorer\Search
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\Browser Helper Objects
\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\policies\explorer\run
kernel32.dll = mssearchnet.exe


Reparación manual

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.


Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Deshabilitar cualquier conexión a Internet o una red

Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.


Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.

4. Borre todos los archivos detectados como infectados.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\CLSID
\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22}

9. Haga clic en la carpeta "{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22}" y bórrela.

10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Browser Helper Objects
\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}

11. Haga clic en la carpeta "{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22}" y bórrela.

12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\policies
\explorer
\run

13. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

14. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.


Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Haga clic en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Haga clic en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

7. Haga clic en "Aceptar".


Cambiar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".


Cambiar las páginas de búsqueda del Internet Explorer

1. Inicie el Internet Explorer.

2. Haga clic en el botón "Búsqueda" de la barra de herramientas.

3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".

4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).

5. Haga clic en el botón "Reiniciar" (Reset).

6. Haga clic en el botón "Configuración de Autosearch" (Autosearch Settings).

7. Elija un proveedor de búsquedas en el menú (Search Provider).

8. Seleccione "Aceptar" hasta salir de todas las opciones.

9. Reinicie su computadora.


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm

Fuente:VSAntiVirus.


0 comments

Vulnerabilidad en Firefox
Una vulnerabilidad del tipo "Zero day" (día cero), o sea hecha publica antes de que el problema haya sido solucionado, afecta al navegador Firefox, incluyendo su última versión 1.5.0.2 publicada hace apenas unos días.


Por Angela Ruiz
angela@videosoft.net.uy



En principio, el problema puede ocasionar el fallo del programa, aunque también podría ser utilizado para la introducción de código malicioso en el sistema afectado.

El agujero fue reportado en Bugzilla la pasada semana (18/04/06), y puede ser utilizado para provocar el fallo del programa mediante el envío de código JavaScript modificado maliciosamente.

La vulnerabilidad estaría provocada por un desbordamiento de búfer que afecta los componentes JS320.DLL y XPCOM_CORE.DLL.

Una prueba de concepto ha sido publicada recientemente en Internet (24/04/06).


Software afectado:

- Mozilla Firefox 1.5.0.2 (todas las plataformas)

Posiblemente versiones anteriores también sean afectadas.


Soluciones:

No se conocen soluciones oficiales al momento de esta alerta. Se recomienda deshabilitar JavaScript.


Sugerencias:

Cómo medida de precaución, el lector noSign nos sugiere la instalacion del plugin o extension NoScript en Firefox:

Extension NoScript:
https://addons.mozilla.org/extensions/moreinfo.php?id=722


Referencias:

Mozilla Firefox Denial of Service PoC
http://www.milw0rm.com/exploits/1716
http://www.securident.com/vuln/ff.txt


Créditos:

Splices
Spiffomatic64
Securident Technologies


FUENTE : http://www.vsantivirus.com/vul-firefox-240406.htm


0 comments

Vulnerabilidad en IE
La vulnerabilidad ha sido descubierta por Hai Nam Luke y está causada por un fallo de "condición de desincronización" (Race condition) cuando se carga una web que contenga archivos en formato Macromedia Flash (.swf).

Este fallo hace que la dirección que muestra la "barra de direcciones" del Internet Explorer pueda no correspoder con el contenido real que estamos viendo en la ventana del navegador.

Este tipo de vulnerabilidades pueden ser utilizadas en ataques phising para dar mayor veracidad a la falsa web o mail.

La vulnerabilidad ha sido confirmada en sistemas con Internet Explorer 6.0 y 7 Beta 2 Preview sobre Windows XP SP1/SP2

La gente de Secunia ha creado una demostración para comprobar el fallo:
http://secunia.com/Internet_Explorer_Address_Bar_Spoofing_Vulnerability_Test/


0 comments

P2P legal o ilegal

La operación denominada “Descargas en la Red”, que se saldó el pasado sábado con la detención de 15 personas y el bloqueo de 17 páginas web, ha avivado la polémica en torno a las redes P2P y la legalidad de su utilización.

Buena parte de las páginas investigadas ya han sido bloqueadas. Al entrar en algunas de ellas pueden leerse mensajes como "cerrada indefinidamente debido a una denuncia realizada por las entidades de gestión de derechos de autor".
La denuncia se basa en que las páginas cerradas ofrecían estas descargas con ánimo de lucro

En concreto, no se trata de detenciones a usuarios de Internet por utilizar las redes P2P, ni siquiera por incluir enlaces a programas de intercambio de archivos. La denuncia se basa en que las páginas cerradas ofrecían estas descargas con ánimo de lucro. Según la información del Ministerio del Interior recibían 615 millones de visitas y unos beneficios anuales de 900.000 euros en publicidad.

Cómo afecta a los usuarios
Pese a que se trata de la operación más importante llevada a cabo en Europa en este sentido, no tiene porqué afectar directamente a los usuarios de redes P2P.

"El artículo 270 del Código Penal sanciona, como modalidad del delito relativo a la propiedad intelectual, a quien, con ánimo de lucro y en perjuicio de tercero, reproduzca, plagie, distribuya o comunique públicamente, en todo o en parte, una obra literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte".

La cuestión para los usuarios reside en si el ánimo de lucro incluye el lucro cesante, es decir, el ahorro que supone no pagar para disfrutar del contenido protegido.

Por el momento, los tribunales no han aceptado que descargar música para uso privado incluya ánimo de lucro cesante, lo que deja a los usuarios de redes P2P fuera de la aplicación del artículo 270 del Código Penal.
Esta operación no tiene porqué afectar directamente a los usuarios de redes P2P

Si bien la ACAM (Asociación de Compositores y Autores de Música) se ha apresurado a anunciar en su página web que con estas detenciones queda demostrado que el intercambio de archivos P2P sí es delito en España, David Bravo puntualiza en su blog, varias cuestiones que pueden ser de utilidad para el usuario.

Copias "ilegales"
Según datos de la Dirección General de la Policía, la copia de productos musicales destruyó 1.200 empleos directos y provocó una caída en las ventas en el año 2003 que rondaba el 30% respecto a 2001. Un total de 85 pequeñas y medianas empresas relacionadas con la producción y distribución de música tuvieron que echar el cierre durante ese año.

Según sus cifras, el mercado legal de las redes de intercambio de descargas de música ha alcanzado la cifra de tres millones de transacciones, aunque también se menciona la cantidad de 350.000.000 de descargas no de pago en nuestro país a través de Internet.


0 comments

Troyanos Personalizados
El autor ofrecía a ciberdelincuentes la posibilidad de adquirir troyanos personalizados, indetectables para las soluciones antivirus tradicionales, y que tenían como objetivo el robo de datos personales y confidenciales.

DIARIO Ti: TruPrevent de Panda Software detectó un nuevo troyano, Briz.A, que, tras un minucioso análisis por parte de los expertos de PandaLabs, reveló la existencia de un complejo sistema de creación y venta de malware “a la carta” diseñado para robar datos personales y confidenciales, así como para pasar desapercibidos para las soluciones antivirus tradicionales. Tras ello, y gracias a la colaboración entre RSA Security y Panda Software, se desmantelaron varios sitios web que albergaban el mencionado sistema de creación y venta de troyanos.

La información robada por el troyano ocupa 2.033 ficheros que suman un espacio de 70,6 MB. De ellos, 62 MB son archivos de texto, lo que equivale a 62.000 páginas impresas. Los archivos están incluso organizados en diversas carpetas, en función de la nacionalidad de cada víctima.

“Hemos quedado sorprendidos por la ingente cantidad de datos que uno solo de estos troyanos de encargo ha sido capaz de robar. Lo más preocupante es que no sabemos cuantos fueron generados y vendidos hasta que el sistema fue desmantelado, por lo que el número de empresas cuyos datos están ahora mismo en grave riesgo podría ser muy elevado”, afirma Luis Corrons, director de PandaLabs.
fuente:
http://www.diarioti.com/gate/n.php?id=11015


About me

Last posts

Archives

Links

  • php y mas
  • Blogger Templates
  • hispamp3
  • invasion
  • olallo
  • foton
  • linea listo
  • coches
  • programacion
  • foros de la web
  • juegos online
  • tienes comentarios,dudas algo en que te pueda ayudar todo en alanovich[at]gmail[p]com Creative Commons License
    This work is licensed under a Creative Commons Attribution-ShareAlike 2.5 License.
Imagen hospedada por Subir-Imagenes.com