Importante Para Los Navegantes De La Red Y Dise

VSantivirus No. 659 - Año 6 - Sábado 27 de abril de 2002

Código HTML puede colgar al Internet Explorer
<a href='ir.asp?http://www.vsantivirus.com/vul-ie-img-scr.htm' target='_blank'>http://www.vsantivirus.com/vul-ie-img-sc...</a>

AVISO DE SEGURIDAD:

Código HTML puede colgar al Internet Explorer

Nombre original: Microsoft Internet Explorer Browser Can Be Crashed By Remote HTML Containing Malicious Image Tags That Cause Infinite Processing Loops
Fecha original: 25/abr/02
Autor/descubridor: Berend-Jan Wever &lt;[email protected]&gt;
Aplicación vulnerable: Internet Explorer 6.0 y anteriores
Severidad: Una página HTML común y corriente puede provocar el cuelgue del IE con la consiguiente inestabilidad de todo el sistema.
Riesgo: Ataque de denegación de servicio a través de una red (Internet)

Un usuario remoto puede crear un simple código HTML que causa el cuelgue del Internet Explorer, y por consiguiente la inestabilidad de todo el sistema.

Una simple etiqueta maliciosamente empleada, provoca un desbordamiento de búfer (una memoria intermedia asignada para guardar ciertos datos, recibe una cantidad mayor al espacio asignado, sin tener ningún control para evitarlo), lo que causa un agotamiento de los recursos del sistema, y su cuelgue.

La etiqueta puede ser algo tan simple como esto:
&lt;IMG src=&quot;::&quot; onError=&quot;this.src='::';&quot;&gt;

Esta etiqueta causa que el IE intente mostrar como error la misma imagen que provoca el error, ocasionando un bucle infinito que genera el desbordamiento de búfer mencionado antes.

Aunque los reportes indican diferentes comportamientos ante esta condición, de acuerdo a la versión del IE y del sistema operativo, la mayoría de las combinaciones posibles (sobre todo en plataformas 9x y Me), causa el cuelgue del sistema.

La falla es similar a la reportada en VSA 657 (ver Referencias).

No hay soluciones de parte de Microsoft al momento de este informe que ya se ha hecho público en Internet, aunque el impacto puede ser disminuido si se desactivan los &quot;Controles y complementos de ActiveX&quot;, en todas las zonas de seguridad (Opciones de Internet, Seguridad, todas las zonas bajo &quot;Personalizada&quot; marcar &quot;Desactivar&quot; para todas las entradas bajo &quot;Controles y complementos de ActiveX&quot;).

También puede implementarse un filtro en la utilidad Proxomitron sugerida en nuestro sitio, para evitar daños provocados por el uso malintencionado de esta etiqueta.

Para instalar y configurar esta utilidad, siga este enlace:

VSantivirus No. 646 - 14/abr/02
Proxomitron. Una protección imprescindible para navegar
<a href='ir.asp?http://www.vsantivirus.com/proxomitron.htm' target='_blank'>http://www.vsantivirus.com/proxomitron.h...</a>


Referencias:

VSantivirus No. 657 - 25/abr/02
Cuelgue remoto del Internet Explorer (ataque D.o.S.)
<a href='ir.asp?http://www.vsantivirus.com/vul-ie-object-data.htm' target='_blank'>http://www.vsantivirus.com/vul-ie-object...</a>



(c) Video Soft - <a href='ir.asp?http://www.videosoft.net.uy' target='_blank'>http://www.videosoft.net.uy...</a>
(c) VSAntivirus -<a href='ir.asp?http://www.vsantivirus.com' target='_blank'>http://www.vsantivirus.com...</a>

VSantivirus No. 652 - Año 6 - Sábado 20 de abril de 2002


Klez.H hace públicos nuestros secretos más íntimos



Por Jose Luis Lopez
[email protected]

Klez.H es posiblemente, la primer gran plaga hablando de virus de computadoras, que hemos visto en años. En apenas unas pocas horas desde su descubrimiento, el tráfico de mensajes en los servidores de casi todo el mundo aumentó a proporciones alarmantes.

La empresa británica MessageLabs, contabilizaba un total de casi 41,000 mensajes infectados por este virus, en las primeras 48 horas. Reportado por primera vez en China, en la mañana del 15 de abril, actualmente ha sido visto en 131 países, siendo los tres más activos en reportes, Hong Kong (4321), Gran Bretaña (3900), y Estados Unidos (3524).

En nuestros países, España, Argentina, México, Perú, Brasil y Uruguay, reportan un alto número de incidencias.

Nuestro propio sistema de monitoreo detectó a la fecha (y a menos de dos días del primer reporte), un total de 104 incidencias, un récord nunca antes alcanzado por ningún virus, en tan poco tiempo.

La mayoría de los casos en que hemos participado, tienen como común denominador tres puntos fundamentales, y por supuesto preocupantes.

Uno , la infección ocurrió por no tener al día sus antivirus.

Dos , por no haber actualizado el software (Internet Explorer, Outlook Express), con los parches necesarios para que el virus no se autoejecute.

Y finalmente , como punto número tres, es culpable de un gran número de incidencias la clásica curiosidad de abrir adjuntos no solicitados, aún con los parches que impiden la ejecución automática del virus (con estos parches, una ventana solicitando la descarga o ejecución del adjunto es mostrada, y en estos casos, a pesar de ello, la advertencia igual fue ignorada).

Una vez ejecutado, el gusano examina la libreta de direcciones de Windows, la base de datos del ICQ y una gran cantidad de tipos de archivos locales, para recolectar direcciones a las cuáles autoenviarse en mensajes por supuesto infectados.

El gusano contiene su propio servidor SMTP para enviarse. Y como broche de oro para su retorcido toque de malignidad, es capaz de seleccionar cualquier dirección como remitente, haciendo que en algún momento, cualquiera pueda ser culpado de enviar mensajes infectados, aún sin estarlo él mismo.

Además de todo ello, el Klez.H, al igual que sus predecesores, libera otro virus, el Elkern.C (o Elkern.D para algunos antivirus), capaz de deshabilitar el software antivirus de su computadora.

Y como si todo esto no fuera poco, el Klez.H posee otra maliciosa costumbre, la de enviar nuestra información confidencial (guardada en documentos de Office, páginas HTML, imágenes, etc. ) a todo el mundo al que el gusano envía su mensaje infectado.

El gusano examina los discos locales y mapeados en red de un sistema infectado, y bajo ciertas condiciones, agrega un archivo sano a cada mensaje infectado. Este archivo suele ser cualquier de nuestros documentos, aún los confidenciales, seleccionados por las siguientes extensiones:

.txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3 .pdf

El resultado de todo esto, es una peligrosa fuga de información confidencial, y de acuerdo a la propagación del gusano, a un nivel mayor que el logrado por el Sircam el pasado año, dejando al alcance de cualquiera, en cualquier parte del mundo, nuestros más íntimos secretos.

Por otra parte, según comenta Eugene Kaspersky de Kaspersky Antivirus, al contrario de lo que ocurría en las versiones anteriores del Klez, el mismo no destruye los archivos guardados en los discos de sus víctimas.

Esta posibilidad de enviar estos archivos confidenciales, a cientos o miles de personas, sin dudas se convierte en un acto criminal de impredecibles consecuencias, mucho más grave que el borrado de los mismos.

Imagínese una oficina gubernamental infectada, revelando información crítica a cualquier persona que quiera leerla (hay casos de este tipo ocurridos por culpa del Sircam). O información confidencial de su empresa revelada a la competencia.

Para disminuir este riesgo, mantenga al día (estrictamente al día) sus antivirus, instale los parches necesarios para evitar que gusanos de este tipo se ejecuten sin su intervención directa, quite el panel de vista previa del Outlook, y no caiga en la tentación de intentar abrir a pesar de ello, archivos que usted no solicitó, aún cuando vengan de conocidos.


Referencias:

VSantivirus No. 654 - Año 6 - Lunes 22 de abril de 2002
Guía rápida para limpiar un sistema infectado con el Klez.H
<a href='ir.asp?http://www.vsantivirus.com/faq-klez.htm' target='_blank'>http://www.vsantivirus.com/faq-klez.htm...</a>

VSantivirus No. 650 - Año 6 - Jueves 18 de abril de 2002
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte &quot;supuestas&quot; curas!
<a href='ir.asp?http://www.vsantivirus.com/klez-h.htm' target='_blank'>http://www.vsantivirus.com/klez-h.htm...</a>

VSantivirus No. 548 - Año 6 - Lunes 7 de enero de 2002
Guía de supervivencia: Consejos para una computación segura
<a href='ir.asp?http://www.vsantivirus.com/guia-de-supervivencia.htm' target='_blank'>http://www.vsantivirus.com/guia-de-super...</a>

VSantivirus No. 626 - Año 6 - Lunes 25 de marzo de 2002
El virus que destruyó nuestra credibilidad
<a href='ir.asp?http://www.vsantivirus.com/klez-credibilidad.htm' target='_blank'>http://www.vsantivirus.com/klez-credibil...</a>




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

VSantivirus No. 659 - Año 6 - Sábado 27 de abril de 2002

Ejecución de virus al editar correo electrónico con Word


Por Redacción VSAntivirus
[email protected]

Una falla de seguridad reportada hace un tiempo, permite que cuando se utilicen Word 2000 o 2002 (XP) como editor del correo electrónico en el Outlook, creando y revisando el mismo con formatos enriquecidos o en HTML, y se responda o envía un mensaje a un atacante, puede llegar a ejecutarse código peligroso, el cuál bien podría ser un virus.

Normalmente, cuando Outlook muestra un mensaje con formato HTML, se aplica la seguridad de una zona que impide la ejecución de código maligno.

Sin embargo, si el usuario contesta o reenvía un mensaje de correo usando el Word como editor, el Outlook abre el correo pero no se bloquean los scripts ni ningún código malicioso.

Un atacante podría aprovecharse de esta vulnerabilidad enviando un mensaje en HTML que contenga un script, el que sería ejecutado por cualquiera que usara Word 2000 o XP como editor, ejecutando fácilmente un virus o cualquier otro código malicioso.

La vulnerabilidad solo afecta a los usuarios de Outlook que utilizan el Word 2000 o XP como editor, y que no han actualizado su producto con los parches respectivos.

Más información, así como los parches necesarios están disponibles en esta dirección:
<a href='ir.asp?http://www.microsoft.com/technet/security/bulletin/ms02-021.asp' target='_blank'>http://www.microsoft.com/technet/securit...</a>



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com