Oxygen3 24h-365d panda

Oxygen3 24h-365d panda
[ Principal ] [ Arriba ]

carcellersoft, PANDA BUSINESS PARTNER

bienvenidos a este link de Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware

toda una referencia en el mundo de los antivirus

Enviar links a jose miguel Academia Carceller donde la formación hace historia Carceller Academy, Where Formation Makes History

Si no visualiza este correo como página web, por favor pulse aquí

<http://www.pandasecurity.com/spain/emailhtml/oxygen/201208_ESP.HTM> .         Publicidad

 Panda Security<http://www.pandasecurity.com/spain/emailhtml/oxygen/img/cabecera.gif>

 OXYGEN 3, Boletín electrónico sobre seguridad

informática<http://www.pandasecurity.com/spain/emailhtml/oxygen/img/CABECERA_oxygen.jpg>

"Yo lo traté, pero Dios lo salvó"

Ambroise Paré (1509 -1590) cirujano francés, considerado el padre de la cirugía

moderna (El 20 de diciembre de 1590 muere Ambroise Paré)

Sinowal.VXR, el troyano que se interesa por los gustos de los usuarios

PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, ha

detectado una nueva variante de la familia de troyanos Sinowal, Sinowal,VXR. Este

código malicioso está diseñado, como la mayoría de los de esta familia, para robar

contraseñas bancarias y enviarlas a sus creadores, de tal modo que estos puedan

hacerse con el dinero del usuario.

Lo que diferencia a este ejemplar es que, además, intenta hacerse con datos como

cuál es el restaurante favorito del usuario, su lugar preferido, o su película o

libro favorito, entre otros.

"Aunque a primera vista esos datos puedan parecer triviales, los ciberdelincuentes

no se preocupan por obtenerlos por puro capricho. Su interés radica en que esa

información puede ser utilizada posteriormente para responder a algunas de las

preguntas que suelen aparecer como mecanismos de seguridad en servicios tales como

el correo electrónico, redes sociales, etc., e incluso, en el propio sistema de

banca online", explica Luis Corrons, director técnico de PandaLabs.

»Más información

<http://www.pandasecurity.com/spain/emailhtml/oxygen/201208_ESP_interior.htm>

www.pandasecurity.com

Asunto: Oxygen3 24h-365d [Resumen semanal - 7/07/07] De: Oxygen3 24h-365d

<oxygen@PANDASOFTWARE.COM> Para: OXYGEN3ES@OXYGEN3.PANDASOFTWARE.COM Fecha:

Vie, 6 de Julio de 2007, 10:46 am "Sí, hay dos caminos por los que puedes pasar,

pero en el largo, todavía hay tiempo para cambiar de carretera" Extracto de

"Stairway to heaven", de Led Zeppelin, 1971 (El 7 de julio de 1980, Led Zeppelin

ofreció su último concierto) - Resumen semanal - Oxygen3 24h-365d, por Panda

Software (http://www.pandasoftware.es) Madrid, 7 de julio de 2007 - Esta semana,

la noticia más destacada de entre las publicadas por Oxygen3 24h-365d fue la

del 6 de julio: (http://www.pandasoftware.es/about/suscripciones/Oxygen3/20070706.htm)

: Más de 20.000 personas ya se han registrado para probar las nuevas betas de la

gama de consumo 2008 de Panda Software. Esta gama está compuesta por Panda Antivirus

 2008, Panda Antivirus+Firewall 2008 y Panda Internet Security 2008. Todas las

soluciones de la gama de consumo 2008 son compatibles con Windows Vista y cuentan

con novedades como una mayor capacidad de detección de malware, una nueva tecnología

de localización de rootkits a bajo nivel y un sistema de bloqueo de web maliciosas,

que aumenta la protección contra el spyware y el phishing. Además, Panda Internet

Security 2008 incluye funcionalidades Tuneup que ayudan a mejorar el rendimiento

del sistema y también cuenta con backup local. Aquellos usuarios que se descarguen

la versión beta de Panda Antivirus + Firewall 2008 o de Panda Internet Security 2008

 y, tras registrarse, comuniquen alguna incidencia sobre su funcionamiento entrarán

en el sorteo de 2 PSP (Play Station Portable). Puede obtener más información en:

 http://www.pandasoftware.es/promociones/betatesters_consolaPSP/ Otras noticias

fueron: - La amenaza de los ordenadores parlantes (2/07/07,

http://www.pandasoftware.es/about/suscripciones/Oxygen3/20070702.htm)

Si su ordenador comienza a hablar, diciéndole que está infectado y que

 archivos han sido borrados es posible que no se trate de ninguna broma,

sino que esté infectado con el troyano BotVoice.A. Este nuevo código malicioso

detectado por PandaLabs cuando se instala en un ordenador, utiliza el lector de

textos de Windows para reproducir una grabación. - Problemas en OpenOffice (03/07/07,

 http://www.pandasoftware.es/about/suscripciones/Oxygen3/20070703.htm)

Según se informa en www.gentoo.org, se han detectado múltiples vulnerabilidades en

 Open Office, que pueden permitir la ejecución de código arbitrario. -

Actualizaciones de Novell (04/07/07,

http://www.pandasoftware.es/about/suscripciones/Oxygen3/20070704.htm) Sun

ha reconocido algunas vulnerabilidades en Mozilla 1.7 para Solaris, q

ue podrían ser explotadas por usuarios maliciosos para comprometer un sistema. -

Auge de los códigos maliciosos creados por interés económico (5/07/07,

http://www.pandasoftware.es/about/suscripciones/Oxygen3/20070705.htm)

PandaLabs advierte de la aparición de varios códigos maliciosos que está

utilizando páginas de la red social MySpace para propagarse. En algunos casos

, no se trata de páginas creadas específicamente para propagar malware, sino que

son  páginas legales que han sido modificadas para ese fin sin el conocimiento de sus

usuarios legítimos, tal vez,

utilizando algún tipo de vulnerabilidad o error de diseño aún no conocido.

"Hacer felices a otros hombres: no hay nada mejor ni más bello".

     Ludwig van Beethoven (1770-1827); músico y compositor alemán.

      - Informe Semanal de Panda Software de virus e intrusos -

  Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

MADRID, 19 de junio de 2005 - El Informe Semanal de Panda Software abarca esta

semana información sobre tres especies de malware, el troyano Downloader.DCM, el

backdoor Dumador.BC, y la herramienta de hacking Looxee. Además, se incluyen seis

nuevas vulnerabilidades del sistema operativo Microsoft Windows, calificadas como

críticas.

Downloader.DCM es un troyano que es el encargado de llevar a cabo la descarga de

Dumador.BC, y su posterior ejecución. Como la mayoría de los troyanos, debe ser

enviado manualmente para su distribución. Una vez instalado en el ordenador, utiliza

una sofisticada técnica para ocultar su presencia a posibles cortafuegos instalados

en el equipo: crea un hilo de ejecución remoto, asociado al proceso explorer.exe, de

modo que el cortafuegos considere que es el propio Explorer el que está accediendo a

Internet, cuando en realidad quien lo está haciendo es Downloader.DCM. Una vez ha

conseguido acceder a Internet, este hilo borra el archivo del downloader, y descarga

y ejecuta otro archivo (el backdoor) de un sitio web predeterminado, simulando ser

un fichero temporal.

Dumador.BC, el archivo descargado por el downloader, es un backdoor sin capacidad de

propagación propia, cuya función es la de permitir el control del ordenador afectado

por medio de la apertura de puertos TCP del equipo, recibiendo peticiones remotas

para la ejecución de comandos. Igualmente, registra información diversa del usuario,

y modifica el archivo hosts del sistema para evitar que se pueda acceder a páginas

web de compañías antivirus.

Looxee es una herramienta de hacking, que monitoriza y registra diversas actividades

del usuario llevadas a cabo en el ordenador afectado, como mensajes de correo

enviados y recibidos, conversaciones por mensajería instantánea, páginas web

visitadas e incluso capturas de pantalla, entre otras cosas. Curiosamente, posee una

característica de alerta al usuario, en caso de que éste introduzca una determinada

palabra clave. Esta herramienta no supone un riesgo en sí mismo, pero puede ser

usado con fines maliciosos.

Además, se ha informado sobre una serie de vulnerabilidades, detalladas por

Microsoft en sus boletines MS05-025, MS05-026, MS05-027, MS05-028, MS05-029 y

MS05-030. Estas vulnerabilidades, que afectan a diversos programas de Microsoft, han

sido calificadas como críticas, por lo que es recomendable llevar a cabo la

actualización para mantener su equipo protegido de malware que aproveche estas vías

para acceder a él. Las aplicaciones afectadas son, respectivamente, Explorer,

Windows, SMB (Service Message Block), Web Client Service, Outlook Web Access para

Exchange Server 5.5, y Outlook Express.

Para evitar la entrada de este malware o de cualquier otro código malicioso, Panda

Software recomienda mantener actualizado el software antivirus. Los clientes de

Panda Software ya tienen a su disposición las correspondientes actualizaciones para

la detección y desinfección de estas especies de malware.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de

Panda Software.

"Hay grandes hombres que hacen a todos los demás sentirse pequeños.

      Pero la verdadera grandeza consiste en hacer que todos se sientan grandes."

                  Charles Dickens, (1812-1870), novelista inglés.

                 - Informe semanal sobre virus e intrusos -

          Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

MADRID, 1 de mayo de 2005 - El informe sobre virus e intrusos de la presente semana

se ocupará de los gusanos Kedebe.B y Nopir.A, así como del troyano Bancos.NL.

Kedebe.A es un gusano de correo electrónico cuya mayor peligrosidad radica en que

puede dejar al sistema indefenso frente a los ataques de otros malware. Este código

malicioso se propaga en forma de archivos adjuntos a mensajes de correo de

características muy variables, ya que tanto el asunto como el cuerpo de texto del

mismo, son escogidos a partir de una lista de opciones predeterminada.

En caso de que el usuario ejecute el fichero que contiene a Kedebe.A, éste genera

dos archivos en el sistema. Uno de ellos contiene una copia de sí mismo, mientras

que el otro es un fichero de texto en el que puede leerse: "Properly infected. Kill

those fools, Mydoom-er and Bagle-r!! They're DEAD!! EthioLove.X!!".

Kedebe.A finaliza procesos en memoria correspondientes a aplicaciones antivirus y de

seguridad. Asimismo, modifica el archivo HOSTS, de forma que impide el acceso a

varias páginas web relacionadas con seguridad informática. También introduce una

entrada en el registro de Windows de forma que asegura su ejecución en cada reinicio

del sistema.

Nopir.A está diseñado para propagarse a través de redes P2P, borrando los archivos

con extensiones COM y MP3 que encuentra en los ordenadores en los que se instala.

Esto ha motivado que algunos medios de comunicación lo califiquen como un gusano

"anti-piratas", pero lo cierto es que se trata de un peligroso ejemplar de malware

que puede causar importantes daños en los sistemas. Así, impide que los equipos que

funcionen bajo Windows 2003/XP/2000/NT puedan arrancar, ya que borra el fichero

NTDETECT.COM.

En caso de que el usuario ejecute un archivo conteniendo a Nopir.A, se mostrará en

pantalla una imagen conteniendo un texto en contra de la piratería informática. Al

mismo tiempo, desactiva el editor del registro de Windows, el administrador de

tareas y el panel de control de dicho sistema operativo. Para propagarse, Nopir.A

emplea el programa de intercambio de archivos punto a punto (P2P) eMule. A este fin

genera, en el directorio de dicha aplicación, el fichero denominado ANYDVD 5.1.0.1

CRACK+KEYGEN BY RAZOR.EXE, que otros usuarios pueden descargar en sus equipos sin

saber que, en realidad, contiene una copia de Nopir.A.

Finalmente, el troyano Bancos.NL está diseñado para interceptar datos confidenciales

de clientes de más de 2.500 portales de entidades bancarias. Este troyano no puede

propagarse por sus propios medios, por lo que requiere ser distribuido manualmente

por terceros. De este modo, Bancos.NL puede propagarse por medio de soportes físicos

tradicionales (disquete, cd-rom), o mensajes de correo electrónico, descargas de

Internet, transferencias por FTP, redes P2P, etc.

Una vez que el usuario ejecuta el archivo que contiene el troyano, éste se instala

en el sistema como MSCVC.EXE, y comienza a controlar la actividad en Internet del

usuario, esperando a que éste se conecte a alguna de las 2.500 direcciones de

Internet que tiene registradas en su código. En el momento en que esto ocurre,

registra toda la información introducida por el usuario relativa a números de

cuenta, de tarjetas de crédito, contraseñas, o cualquier otro dato que el usuario

utiliza para operar en su banco. Dicha información es enviada a un servidor, donde

puede ser recogida por delincuentes cibernéticos.

    "Mientras se gana algo no se pierde nada."

         Miguel de Cervantes Saavedra (1547-1616). Escritor español.

               - Actualización de seguridad para Apple Mac OS X -

         Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 20 de abril de 2005 - Apple ha publicado una actualización que corrige

diversas vulnerabilidades detectadas en el kernel del sistema Mac OS X 10.3.9.

Concretamente, la actualización corrige de siete problemas en el kernel y uno más

que afecta al navegador Safari:

- Denegación de servicio en el tratamiento de determinados archivos ejecutables.

- Vulnerabilidad en la llamada nfs_mount(), que puede permitir la realización de

ataques de denegación de servicio.

- Consumo de todos los recursos por un fallo en el tratamiento de los valores

pasados a setsockopt().

- Desbordamiento de entero en la función searchfs(), permite a usuarios locales

elevar sus privilegios.

- El soporte setuid/setgid permite a usuarios locales elevar sus permisos en el

sistema.

- Desbordamiento de bufer en semop(),que puede permitir la elevación de privilegios

de forma local.

- Denegación de servicio local por desbordamiento de bufer en la emulación syscall.

El último de los problemas corregidos afecta al navegador Safari y permitiría a

sitios remotos la ejecución de código html y javascript en el dominio local.

La actualización puede descargarse desde http://www.apple.com/support/downloads/

Más información puede obtenerse en la web de Apple, en

http://docs.info.apple.com/article.html?artnum=301327

NOTA: Debido al cliente de correo la dirección puede aparecer cortada y, por lo

tanto, impedir el acceso. Si esto sucede, unificar la URL en una línea (mediante las

opciones "cortar" y "pegar").

------------------------------------------------------------

5 virus más detectados por Panda ActiveScan, antivirus online gratuito de Panda

Software:

1)Netsky.P; 2)Mhtredir.gen; 3)Qhost.AF; 4)Bagle.CA; 5)Shinwow.E.

------------------------------------------------------------

"No hay mayor placer que el de encontrar un viejo amigo,

                    salvo el de hacer uno nuevo.

              Rudyard Kipling (1865-1936), novelista británico.

               - Descubiertas dos vulnerabilidades en Firefox -

         Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 9 de mayo de 2005 - Según informa Secunia, en su aviso SA15292 de fecha 8 de

mayo de 2005, se han detectado dos vulnerabilidades, calificadas como críticas, en

el navegador de Internet "Firefox".

Estas dos vulnerabilidades pueden ser explotadas para comprometer un sistema

llevando a cabo un "cross site scripting". Para ello, el evento onload() podrá

explotarse mediante un marco o frame dentro de una página javascript para acceder a

elementos restringidos, como el historial. En la práctica, puede ser utilizado para

ejecutar código HTML y scripts arbitrarios en la sesión del navegador del usuario.

La segunda vulnerabilidad se debe a una incorrecta verificación del parámetro

"IconURL" en la función "InstallTrigger.install()". Puede ser utilizado para

ejecutar código JavaScript arbitrario y llevar a cabo una escalada de privilegios en

el sistema afectado.

Estas vulnerabilidades se han confirmado en la versión 1.0.3, aunque otras

versiones, aún sin confirmar, podrían estar afectadas. Más información en la página

web de Secunia donde se ha publicado el aviso, en

http://secunia.com/advisories/15292/.

NOTA: Debido al cliente de correo la dirección puede aparecer cortada y, por lo

tanto, impedir el acceso. Si esto sucede, unificar la URL en una línea (mediante las

opciones "cortar" y "pegar").

------------------------------------------------------------

5 virus más detectados por Panda ActiveScan, antivirus online gratuito de Panda

Software:

1)Sober.V; 2)Mhtredir.gen; 3)Netsky.P; 4)Shinwow.E; 5)Downloader.BSU.

"Dime y lo olvido, enséñame y lo recuerdo, involúcrame y lo aprendo".
                Confucio (551-479 a. C.); filósofo chino.

               - Desbordamiento de buffer en Ethereal -
   Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 9 de marzo de 2005 - SecurityTracker ha informado de la existencia
de un desbordamiento de buffer en Ethereal(*), que puede ser empleado por
atacantes remotos para ejecutar código arbitrario en el sistema.

El problema tiene su origen en el diseccionador 3G-A11 de Ethereal, que se
ocupa de los paquetes de autenticación CDMA2000 A11 RADIUS. En concreto, la
función dissect_a11_radius() en "packet-3g-a11.c" copia en un buffer de 16
bytes hasta 256 bytes de datos, que el usuario facilita con un tamaño
específico. En la práctica, un usuario remoto podrá enviar un paquete
especialmente creado para explotar el desbordamiento y lograr la ejecución
de código en el sistema.

Se ha facilitado un exploit que demuestra la vulnerabilidad, mientras que la
corrección está disponible a través de SVN en
http://ethereal.com/development.html.

(*) Ethereal es un analizador de protocolos de red, con versiones para
Windows y Unix, muy empleado en entornos administrativos por sus capacidades
de análisis.

"La mucha luz es como la mucha sombra: no deja ver".
                Octavio Paz (1914); escritor mexicano.

             - Informe semanal sobre virus e intrusos -
    Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 13 de marzo de 2005 - Cuatro gusanos -la variante B y C de Kelvir,
Fatso.A y Sober.O-, y dos troyanos -Ruzes.A y Downloader.BBN- centran la
atención del informe sobre virus e intrusos de esta semana.

Los tres primeros gusanos -Kelvir.B, Kelvir.C y Fatso.A- a los que nos
referimos hoy están diseñados para distribuirse rápidamente a través de la
aplicación MSN Messenger. En concreto, llegan al ordenador en mensajes que
incluyen un link a una dirección de Internet. Si el usuario accede a la
referida dirección, se descargan e instalan en el PC archivos que contienen
el código de estos gusanos.

En los equipos a los que afectan, Kelvir.B y Kelvir.C llevan a cabo varias
acciones, entre las que destacan las siguientes:

- Envían nuevos mensajes a las entradas que figuran en la lista de contactos
de MSN Messenger.

- Descargan en el sistema -desde una dirección web- variantes de los
troyanos Gaobot o Sdbot que, a través de canales de chat IRC, permiten a un
atacante hacerse con el control remoto del sistema afectado.

Fatso.A, por su parte, además de propagarse a través del programa de
mensajería instantánea MSN Messenger también se difunde mediante programas
de intercambio de archivos punto a punto (P2P). A su vez, en los equipos a
los que afecta finaliza procesos pertenecientes a diversas herramientas de
seguridad como, por ejemplo, programas antivirus y cortafuegos, dejando así
al ordenador vulnerable frente al ataque de otro malware. Asimismo, Fatso.A
modifica la configuración del ordenador, para que sea copiado
automáticamente a todos los CD-ROMs que se graban en el equipo.

Un dato interesante de Fatso.A es que continúa la ciberguerra entre autores
de virus que se inició con la aparición del gusano Assiral.A, y que mostraba
un texto en el que atacaba a los gusanos Bropia. En contestación a ello,
Fatso.A crea en los sistemas a los que afecta un archivo llamado "Message to
n00b LARISSA.txt", y que contiene un mensaje poco amistoso hacía el autor de
Assiral, firmado por alguien que se hace llamar Skydevil.

El cuarto gusano que analizamos en el presente informe es Sober.O, que se
propaga a través del correo electrónico, en un mensaje que puede estar
escrito en alemán -si la extensión del dominio de correo es una de las
siguientes: de (Alemania), ch (Suiza), at (Austria) o li (Liechtenstein)-, o
en inglés.

En el equipo al que afecta, Sober.O busca -en archivos que tengan
determinadas extensiones- direcciones de correo electrónico. Posteriormente,
a las que no contengan unas cadenas de texto específicas, Sober.O se envía,
empleando para ello su propio motor SMTP. Además, tras ser ejecutado,
Sober.O abre el Bloc de Notas y muestra en pantalla un texto.

Tras los citado gusanos, informamos de un troyano denominado Ruzes.A, que
recoge del equipo al que afecta -concretamente de los ficheros con
determinadas extensiones-, direcciones de correo electrónico que
posteriormente envía a una dirección de internet.

Ruzes.A está siendo descargado por Downloader.BBN, otro troyano de nueva
aparición que es muy similar a otras variantes de la familia a la que
pertenece.

   "La confidencia descubre quién era o no digno de ella".
    André Maurois (1885-1967); biógrafo, novelista y ensayista francés.

               - Actualización de seguridad para Squid -
  Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 7 de marzo de 2005 - Se ha publicado una actualización que resuelve
una vulnerabilidad en la versión 2.5 -STABLE 7 a 9- de Squid(*), que puede
ser empleada por usuarios maliciosos para descubrir información
confidencial.

El mencionado problema de seguridad está provocado por una condición de
carrera (race condition), que puede provocar que las cabeceras Set-Cookie se
filtren a otros usuarios. Esta situación se produce cuando el servidor
solicitado se basa en la especificación Netscape Set-Cookie (que es obsoleta
desde 1997).

Información adicional sobre la citada vulnerabilidad en Squid y sobre la
actualización proporcionada en:
http://www.squid-cache.org/Versions/v2/2.5/bugs/#squid-2.5.STABLE9-setcookie

(*) Squid: servidor proxy de código abierto, muy extendido en entornos Unix
y disponible para múltiples plataformas (desde Linux, hasta Mac OS/X o
Windows).

   "Es más fácil ser genial que tener sentido común".
        Jacinto Benavente (1866-1954); dramaturgo español.

            - Informe semanal sobre virus e intrusos -
    Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 6 de marzo de 2005 - Dos gusanos -Bagle.BN y Mytob.A- y dos troyanos
-Mitglieder.BO, y Tofger.AT- protagonizan el presente informe.

Para propagarse al mayor número de equipos posible, Bagle.BN y Mitglieder.BO
colaboran estrechamente. Así, Mitglieder.BO llega a los equipos en un
mensaje de correo electrónico, en forma de un fichero adjunto que puede
tener nombres como price.zip o price2.zip, entre otros. Si el usuario
ejecuta el archivo, el troyano se activará y tratará de conectarse a una
dirección de Internet, desde la que descargar al gusano Bagle.BN en el
sistema. Una vez que Bagle.BN se instala en el ordenador, se encarga de
enviar a Mitglieder.BO a las direcciones que se encuentran en un fichero
llamado EML.EXE, que también es descargado desde Internet. Para ello, el
gusano utiliza su propio motor SMTP.

Mitglieder.BO finaliza los procesos pertenecientes a diversos programas
antivirus y de seguridad, y sobrescribe el fichero de "hosts" de Windows,
para impedir que los usuarios puedan conectarse a determinadas páginas web.

Bagle.BN, por su parte, abre el puerto TCP 80 y permanece a la escucha, a la
espera de que se realice una conexión remota. A través de ella, permite el
acceso remoto al ordenador afectado, para realizar en él acciones que
comprometen la confidencialidad de los datos del usuario, o dificultan su
trabajo.

El segundo gusano que mencionamos es Mytob.A, que se propaga a través del
correo electrónico, en un mensaje de características variables y escrito en
inglés, así como a través de Internet. En este caso, atacará direcciones IP
aleatorias, en las que tratará de explotar la vulnerabilidad LSASS.

Mytob se conecta a un servidor IRC y espera órdenes de control remoto, que
llevar a cabo en el ordenador afectado. Además, elimina algunas de las
variantes de otros gusanos como, por ejemplo, Netsky, Sobig, Bagle y
Blaster.

El siguiente código malicioso que analizamos es el troyano Tofger.AT, que es
descargado en el PC al acceder a determinadas páginas web, que utilizan
diversos exploits -como LoadImage, ByteVerify y MhtRedir.gen-, para
descargar malware en los equipos. Este troyano se instala como Browser
Helper Object (BHO), de forma que es ejecutado cada vez que se abre el
navegador Internet Explorer.

Tofger.AT hace un seguimiento de las acciones que llevan a cabo los usuarios
y de las contraseñas utilizadas en las páginas con conexiones seguras https,
que suelen ser las que se emplean para validarse en sistemas seguros como
entidades bancarias. Además, siempre que detecte determinados nombres en la
url también intentará capturar las passwords de los siguientes bancos:
cajamadrid, bpinet, millenniumbcp, hsbc, barclays, lloydstsb, halifax,
autorize, bankofamerica; bancodevalencia, cajamar, portal.ccm, bancaja,
caixagalicia, caixapenedes, ebankinter, caixasabadell, bes, banif,
millenniumbcp, totta, bancomais, montepiogeral, bpinet, patagon, lacaixa,
citibank, bbvanet, banesto, e-trade y unicaja. Tras recoger la información,
Tofger.AT la envía a un servidor.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/

"El tiempo saca a la luz todo lo que está oculto y encubre
      y esconde lo que ahora brilla con el más grande esplendor".
           Quinto Horacio Flaco (65 AC-8 AC); poeta latino.

          - Costes "ocultos" de los problemas de seguridad -
     Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 3 de marzo de 2005 - Un estudio realizado por Forrester Research, y
del que se ha hecho eco CNET News.com, revela que los consumidores están
perdiendo la confianza en la seguridad de las transacciones online. Las
empresas, por su parte, no son conscientes de todas las consecuencias que
esta situación puede tener.

El informe pone de manifiesto que algunos problemas de seguridad, como el
phishing, están variando el comportamiento de los usuarios online. En
concreto, el 92% de las familias estadounidenses entrevistadas el año pasado
por Forrester afirmaron que eran reacias a compartir online información
personal porque, en su opinión, los riesgos no compensan a las ventajas. El
61% de los encuestados frenó su intención de utilizar de forma online la
información de su tarjeta de crédito, y un 50% dijo que desconfiaba de las
instituciones bancarias, por temor a que emplearan mal su información
personal. Por contra, sólo un 36% declaró que estaba disminuyendo el número
de compras realizadas a través de Internet.

Según Jonathan Penn, analista de seguridad de Forrester, las empresas no son
conscientes de que hay aspectos (los problemas de seguridad en sus sitios
web, la información confidencial de los usuarios que queda al descubierto, o
el robo de la identidad), que puede dar lugar a costes secundarios, como
llamadas a los centros de soporte e inversiones adicionales de marketing
para reparar la reputación dañada. El analista de Forrester también
considera que los ataques de intrusos, el robo de identidad y otros
problemas de seguridad afectan a la confianza de los consumidores,
independientemente del tiempo que llevan conectados a Internet, un año o
cinco.

------------------------------------------------------------
Es un hecho que el hombre tiene que controlar la ciencia
         y chequear ocasionalmente el avance de la tecnología".
          Thomas Henry Huxley (1825-1895); zoólogo inglés.

              - Ordenadores convertidos en "zombis" -
  Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 22 de febrero de 2005 - Hoy, en Oxygen3 24h-365d vamos a referirnos
a los ordenadores convertidos en "zombis" al servicio de usuarios
maliciosos.

En el argot informático se denomina "zombi" a aquel ordenador que, tras
haber sido manipulado, puede ser controlado remotamente por un usuario
malicioso. De esta manera, el sistema llevará a cabo de forma precisa las
acciones que el atacante le ordene. Las consecuencias de dicha manipulación
pueden ser, entre otras, el robo de datos confidenciales; la realización de
ataques a otras máquinas -enmascarando así la identidad del verdadero
autor-; o la propagación de virus informáticos.

Quienes han encontrado un filón en las máquinas zombis son los spammers, es
decir, usuarios que envían masivamente correos que, por lo general, tienen
contenidos publicitarios. El envío de spam es una actividad que en muchos
países es castigada con fuertes multas e incluso con la cárcel, y quienes
hacen uso de tan reprobable práctica procuran que su identidad quede oculta,
evitando así ser localizados.

Básicamente, para convertir un ordenador en un zombi que envíe spam es
necesario encontrar una máquina con puertos de comunicaciones desprotegidos,
o que presente alguna vulnerabilidad que permita la creación de una puerta
trasera en el ordenador. Cuando se consigue esto último, el paso siguiente
es instalar un servidor de correo que pueda ser controlado de forma remota.
Dicho servidor queda a la espera de recibir el mensaje que ha de enviar, así
como las direcciones a las cuales mandarlo. Hay que tener en cuenta que
existen algunos troyanos y gusanos/troyanos diseñados para llevar a cabo
todas estas operaciones de forma automática. Así, cuando un código malicioso
de este tipo se instala en un ordenador, lleva a cabo todas las acciones
mencionadas, enviando un mensaje al atacante informándole de que una máquina
está lista para poder ser manipulada de forma remota.

Con este método, en caso de que el spam recibido sea analizado, la única
dirección IP que puede verse es la de la máquina zombi que lo ha enviado,
pero no la del ordenador del spammer. Por supuesto, ello puede provocar
grandes problemas a usuarios que, sin saberlo, están enviando spam, ya que
serán el primer objetivo a investigar, si las autoridades toman cartas en el
asunto.

En ocasiones, los ordenadores zombis también han servido para propagar virus
informáticos de forma masiva en muy poco tiempo. Es el caso del gusano
Sober.I, o de Sobig.F, que está considerado el código malicioso que más
ampliamente se ha propagado en menos tiempo en toda la historia de la
informática.

Para evitar que un ordenador pueda ser convertido en zombi deben cerrarse
los caminos que posibilitan los ataques al sistema, es decir, evitar la
entrada de virus que creen puertas traseras, o los ataques directos a través
de puertos.

Como ya se ha comentado, algunos códigos maliciosos se encargan de preparar
el terreno que permite posteriores manipulaciones de la máquina. Contra
ello, lo más adecuado es contar con un buen antivirus instalado en el
equipo, de reconocido prestigio y actualizado diariamente.

El ataque a través de puertos desprotegidos puede evitarse mediante el
empleo de firewalls, ya sean hardware o software, que se encarguen tanto de
controlar el tráfico de datos que entran o salen del ordenador, como de
cerrar aquellos puertos que no estén en uso. De esta manera, cualquier
intento de entrada no autorizado será detectado y bloqueado.

Otra posibilidad es que el ordenador sea ya un zombie. Para resolver este
problema, las medidas a tomar son similares a las ya comentadas. Así, debe
analizarse el ordenador con un antivirus actualizado y proceder a la
eliminación de cualquier código malicioso que pueda encontrarse en el
sistema. Además, es necesario instalar un firewall y observar atentamente
que programas están realizando transferencias de información desde o hacia
Internet. En caso de que alguno de esos procesos sea desconocido, o tenga
algún nombre sospechoso, debería cerrarse el puerto a través del cual se
esta produciendo la conexión.

       "La sorpresa es el móvil de cada descubrimiento".
          Cesare Pavese (1908-1950); poeta y novelista italiano.

                 - El spam amenaza la tecnología VoIP -
  Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 21 de febrero de 2005 - La tecnología VoIP, basada en la telefonía
por Internet, podría ser el nuevo objetivo del envío masivo e indiscriminado
de spam, según ha quedado de manifiesto en RSA Conference y ha publicado The
Register.

VoIP aprovecha la infraestructura de Internet -basada en el protocolo
TCP/IP-, para transmitir la voz, sin necesidad de utilizar las líneas
convencionales para establecer las llamadas, logrando precios muy inferiores
a los de la telefonía clásica. Frente a sus ventajas, Bruce Schneier,
reconocido investigador de seguridad informática, ha llamado la atención
sobre la posibilidad de que la telefonía por Internet se convierta en el
nuevo objetivo de los spammers. En su opinión, la historia demuestra que
hasta ahora los spammers han aprovechado cualquier medio de difusión para
conseguir sus fines.

Aunque se trata de una amenaza potencial, ya están estudiándose posibles
soluciones -como listas blancas o filtros basados en patrones- para que la
tecnología VoIP pueda hacer frente al spam, de forma similar a como está
combatiéndose, en la actualidad, en el correo electrónico.

_________________________

5 virus más detectados por Panda ActiveScan, antivirus online gratuito de
Panda Software: 1)Mhtredir.gen; 2)Downloader.GK;  3)Shinwow.E; 4)Sdbot.ftp;
5)Netsky.P.

             "Si te parece que sabes mucho y entiendes muy bien,
              ten por cierto que es mucho más lo que ignoras".
               Tomás de Kempis (1375-1471); escritor alemán.

                - Informe semanal sobre virus e intrusos -
    Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 28 de noviembre de 2004 - El presente informe va a centrar su
atención en cuatro gusanos -Tasin.A, Tasin.B, Tasin.C y Yanz.B-, y en un
troyano denominado Skulls.A.

Las variantes A, B y C de Tasin se envían por correo electrónico, utilizando
su propio motor SMTP y con conexión a su propio servidor SMTP local, en un
mensaje escrito en castellano y de características variables. Además, las
tres contienen código que intenta borrar los archivos que tengan como
extensión alguna de las siguientes: ASM, ASP, BDSPROJ, BMP, CPP, CS, CSPROJ,
CSS, DOC, DPR, FRM, GIF, HTM, HTML, JPEG, JPG, MDB, MP3, NFM, NRG, PAS, PCX,
PDF, PHP, PPT, RC, RC2, REG, RESX, RPT, SLN, TXT, VB, VBP, VBPROJ, WAV y
XLS.

Tasin.B y Tasin.C intentan descargar de Internet una DLL (Librería de Enlace
Dinámico). También crean, en el directorio de sistema de Windows, el fichero
"SS.EXE", joke que Panda Software detecta como Joke/Beeper.

A las características que comparten Tasin.A, Tasin.B y Tasin.C se suman
diferencias notables, entre las que destacan las que se mencionan a
continuación.

- Tasin.A establece una conexión HTTP con un determinado sitio web. Además,
tras ser ejecutado, aparecen en pantalla varios mensajes que simulan un
juego y cuyo objetivo es distraer al usuario, para que así no advierta que
Tasin.A está enviándose rápidamente por correo electrónico.

- Tasin.B: muestra un mensaje de error.

- Una vez que ha afectado a un PC, Tasin.C abre Internet Explorer y muestra
en pantalla una fotografía erótica de un conocido personaje en España.

El cuarto gusano al que nos referimos hoy es Yanz.B, que se difunde a través
del correo electrónico, en un mensaje escrito en inglés y de características
variables, y a través de programas de intercambio de archivos punto a punto
(P2P). Los mensajes de correo y los archivos compartidos hacen referencia a
la cantante Sun Yan Zi.

En el equipo al que afecta, Yanz.B crea tres archivos JPG, uno de los cuales
contiene el exploit MS04-028.gen, que intenta aprovechar la vulnerabilidad
Desbordamiento de buffer en procesamiento JPEG. Si el citado fichero es
abierto utilizando una aplicación vulnerable, se descargará de Internet un
archivo -que puede ser de cualquier naturaleza, incluyendo malware-, que se
ejecutará.

Terminamos el informe de hoy con Skulls.A, troyano que ha sido distribuido a
través de foros especializados en telefonía móvil. Afecta a teléfonos
móviles basados en el sistema operativo Symbian. Aunque inicialmente su
objetivo eran los teléfonos Nokia 7610, otros dispositivos basados en el
citado sistema operativo pueden verse afectados por Skulls.A.

Para instalarse en el teléfono móvil, Skulls.A necesita la intervención del
usuario. Para atraer su atención, este troyano simula ser un instalador de
un programa que proporciona fondos de pantalla, iconos, etc. Sin embargo,
una vez instalado, cambia los iconos de todas las aplicaciones del teléfono
por calaveras.

La soledad es muy hermosa...
         cuando se tiene alguien a quien decírselo".
      Gustavo Adolfo Bécquer (1836-1870); escritor español.

            - Informe semanal sobre virus e intrusos -
  Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 14 de noviembre - En la presente semana, el informe semanal sobre
virus e intrusos se ocupa del exploit IFRAME.BoF, así como de los gusanos
Mydoom.AE, Mydoom.AF y Gavir.A.

IFRAME.BoF es un exploit diseñado para aprovechar un problema de seguridad
de tipo desbordamiento de búfer que afecta a la versión 6.0 del navegador
Microsoft Internet Explorer, y que permite a un atacante ejecutar código
arbitrario de forma remota en los sistemas afectados. Esta vulnerabilidad ha
sido calificada como extremadamente crítica.

El exploit puede ser insertado en páginas web maliciosas o en mensajes de
correo electrónico en formato HTML, a los que se añade código ejecutable.
Éste se ejecutará automáticamente en el momento que se produzca el
desbordamiento de búfer. El código ejecutable puede ser de cualquier
naturaleza, lo que posibilita la realización de todo tipo de acciones
maliciosas en los ordenadores afectados por este problema de seguridad.

Dado que aún no ha sido publicado ningún parche de seguridad para corregir
el mencionado problema, lo más conveniente es mantener actualizado el
software antivirus. Además, es muy aconsejable desactivar la ejecución de
"Active Scripting" del navegador, así como cambiar la configuración del
cliente de correo electrónico, de manera que los mensajes sean visualizados
en formato de texto plano.

Precisamente, las nuevas variantes AE y AF del conocido gusano Mydoom ya
utilizan el exploit  IFRAME.BoF. Ambos gusanos -muy similares- se propagan a
través de correo electrónico en mensajes que ellos mismos componen. A este
fin, crean un servidor HTTP en el puerto de comunicaciones 1639.

Los mensajes que Mydoom.AE y Mydoom.AF envían, incluyen un link a archivos
que contienen el exploit IFRAME.BoF y que se encuentran en otros ordenadores
afectados. En caso de que el usuario que recibe el e-mail pulse sobre dicho
enlace y su ordenador sea vulnerable, los gusanos se descargan y ejecutan
automáticamente en el sistema.

Además de lo anterior, Mydoom.AE y Mydoom.AF tratan de establecer conexiones
con un gran número de servidores de IRC a través del puerto de
comunicaciones 6667.

Por último, Gavir.A es un gusano cuyo único objetivo es descargar una
variante de la extensa familia de troyanos Legmir, en los ordenadores a los
que afecta. Gavir.A se propaga a través de recursos compartidos de red,
creando copias de sí mismo en los recursos IPC$ y ADMIN$ a los que consigue
acceso.

Como dato a destacar, Gavir.A también genera un script en un directorio
temporal, cuya función es borrarse a sí mismo una vez que ha terminado su
ejecución.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

- Exploit: es una técnica o un programa que aprovecha un fallo o hueco de
seguridad -una vunerabilidad- existente en un determinado protocolo de
comunicaciones, sistema operativo, o herramienta informática.

- Script: el término script hace referencia a todos aquellos ficheros o
secciones de código escritas en algún lenguaje de programación, como Visual
Basic Script (VBScript), JavaScript, etc.

Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx

"La vida es una extraña mezcla de azar, destino y carácter".
             Wilhelm Dilthey (1833-1911); filósofo alemán.

                        - Resumen semanal -
   Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 6 de noviembre de 2004 - En la primera semana de octubre, Oxygen3
24h-365d ha ofrecido las informaciones que brevemente se mencionan a
continuación, y a las que puede accederse en:
http://www.pandasoftware.es/about/prensa/oxygen3/oxygen.asp

- Actualización para QuickTime (01/11/04).
Apple ha proporcionado la versión 6.5.2 del reproductor multimedia
QuickTime, que corrige dos importantes vulnerabilidades que posibilitan a un
atacante ejecutar código arbitrario de forma remota. Uno de los citados
problemas de seguridad podría permitir introducir código en una imagen BMP,
mientras que otro tiene su origen en un desbordamiento de entero que puede
ser aprovechado desde un documento HTML.

- Desbordamiento de buffer en Sun Java System Web Proxy Server (02/11/04).
Sun ha informado de la existencia de un desbordamiento de buffer en Sun Java
System Web Proxy Server 3.6, al tiempo que ha publicado un Service Pack que
lo resuelve. El problema puede considerarse grave, ya que permite a un
usuario remoto provocar la caída del Web Proxy Server o de su servidor de
administración e, incluso, lograr la ejecución de código en el sistema
afectado. Están afectados Sun Java System Web Proxy Server 3.6 Service Pack
4 y las versiones anteriores.

- Vulnerabilidad en Cisco Secure Access Server (03/11/04).
Cisco ha publicado un boletín de seguridad en el que informa de que se ha
detectado un problema de seguridad en la versión 3.3.1 de Cisco Secure ACS
para Windows y Cisco Secure ACS Solution Engine, que permite a usuarios no
autorizados acceder a las redes afectadas. Además, la compañía ha anunciado
la disponibilidad de las actualizaciones que corrigen la vulnerabilidad.

- Desbordamiento de buffer en Internet Explorer (04/11/04).
SecurityTracker ha anunciado la existencia de una vulnerabilidad de
desbordamiento de buffer en Microsoft Internet Explorer (IE), que posibilita
la ejecución de código en los sistemas afectados. El citado problema de
seguridad radica en que Internet Explorer no valida de forma adecuada
determinados atributos de las etiquetas IFRAME. Según ha publicado
SecurityTracker, los sistemas actualizados con Windows XP SP2 no se ven
afectados por el mencionado problema en Internet Explorer.

- Top Ten de los virus más frecuentemente detectados por Panda ActiveScan en
octubre (05/11/04).
En octubre, y por quinto mes consecutivo, Downloader.GK ha sido el código
malicioso que más daños ha causado en los equipos de los usuarios, según los
datos recogidos por Panda ActiveScan. Concretamente, en el pasado mes,
Downloader.GK ha protagonizado más del 23% de los ataques, seguido por
Mhtredir.gen (5,77%) y por Mabutu.A (5,62%). Tras ellos se encuentran
Netsky.P (5,33%), Gaobot.gen (4,67%), y Sasser.ftp (4,56%). En la séptima
posición del Top Ten de los virus más frecuentemente detectados por Panda
ActiveScan en octubre aparece StartPage.FH (3,51%), y en las tres últimas
Qhost.gen (2,48%), Downloader.OU (2,19%) y Sdbot.gen (2,08%).

             "El asunto es el problema; la forma, la solución".
  Christian Friedrich Hebbel (1813-1863); poeta y autor dramático alemán.

- Problemas de seguridad en firewall 3Com OfficeConnect ADSL Wireless -
     Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 19 de octubre de 2004 - Según ha informado SecurityTracker, se han
detectado múltiples vulnerabilidades en 3Com OfficeConnect ADSL Wireless 11g
Firewall, que han sido corregidas en una reciente actualización
proporcionada por 3Com(*).

Los mencionados problemas de seguridad, que posibilitan la realización de
ataques, son:

- El dispositivo no filtra el código HTML de las peticiones DHCP, antes de
mostrar la información en el interfaz de administración. Debido a ello, un
atacante podrá enviar una petición especialmente construida para que se
ejecuten scripts arbitrarios con los permisos del administrador, cuando éste
visualice los logs.

- Vulnerabilidad que permite conectar con el interfaz de administración para
determinar la dirección IP de cualquier administrador, que tenga una sesión
activa en ese momento. Tras ello, un agresor podrá falsificar la dirección
IP y la conexión.

- Problema de seguridad por el que cualquier usuario remoto autenticado
-independientemente de su nivel de acceso-, o un atacante que falsifique la
sesión administrativa (como se ha descrito anteriormente) puede acceder al
archivo binario que almacena la configuración, y obtener la contraseña de
administración y la clave WEP.

(*) La actualización publicada por 3com se encuentra disponible en:
http://www.3com.com/products/en_US/result.jsp?selected=6&sort=effdt&sku=3CRW
E754G72-A&order=desc

NOTA: Debido al cliente de correo la dirección puede aparecer cortada y, por
lo tanto, impedir el acceso. Si esto sucede, unificar la URL en una línea
(mediante las opciones "cortar" y "pegar").

------------------------------------------------------------

5 virus más detectados por Panda ActiveScan, antivirus online gratuito de
Panda Software: 1)Downloader.GK; 2)Netsky.P; 3)Mabutu.A; 4)Mhtredir.gen;
5)Gaobot.gen.

"Procuremos más ser padres de nuestro porvenir que hijos de nuestro pasado".
          Miguel de Unamuno (1864-1936); filósofo y escritor español.

                         - Resumen semanal -
   Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 23 de octubre de 2004 - En los cinco últimos días, Oxygen3 24h-365d
ha informado de las noticias que, brevemente, se mencionan a continuación, y
a las que puede accederse en:
http://www.pandasoftware.es/about/prensa/oxygen3/oxygen.asp

- Importante problema de seguridad en VERITAS Cluster Server para Unix
(18/10/04).
Veritas Software ha publicado un aviso en el que informa de la existencia de
una vulnerabilidad crítica en todas las versiones de VERITAS Cluster Server
para plataformas Unix, al tiempo que ha anunciado la disponibilidad del
parche que la corrige. Aunque la compañía no ofrece detalles sobre el
mencionado problema de seguridad, advierte que un atacante podría
aprovecharla para, de forma remota, controlar el sistema afectado con
máximos privilegios.

- Problemas de seguridad en firewall 3Com OfficeConnect ADSL Wireless
(19/10/04).
Según ha informado SecurityTracker, se han detectado múltiples
vulnerabilidades en 3Com OfficeConnect ADSL Wireless 11g Firewall, que han
sido corregidas en una reciente actualización proporcionada por 3Com. Los
mencionados problemas de seguridad posibilitan la realización de ataques,
como que se ejecuten scripts arbitrarios con los permisos del administrador,
cuando éste visualice los logs.

- Escalada de privilegios en Sun Solaris (20/10/04).
Sun ha proporcionado actualizaciones de seguridad que corrigen una
vulnerabilidad que afecta a determinados sistemas Solaris cuando se utiliza
Lightweight Directory Access Protocol (LDAP), junto a Role Based Access
Control (RBAC). Debido al mencionado problema de seguridad, un usuario local
podría ejecutar comandos con máximos privilegios en los sistemas
vulnerables.

- Denegación de servicio en múltiples navegadores web (21/10/04).
SecurityTracker ha publicado que se han detectado varias vulnerabilidades en
el tratamiento de código html realizado por navegadores ampliamente
conocidos -como Mozilla, Opera, Links y Lynx-, que podrían permitir la
realización de ataques de Denegación de Servicio. Los mencionados problemas
de seguridad residen en el tratamiento de determinadas secuencias de
etiquetas HTML y de formatos, que cuando se cargan en el navegador
provocarán condiciones de denegación de servicio.

- Cómo descargar archivos desde Internet, de forma segura (22/10/04).
El principal riesgo al efectuar una descarga desde Internet es que el
archivo en cuestión contenga ejemplares de malware (como virus, troyanos,
spyware, etc.). La primera norma básica para descargar archivos de forma
segura viene de la mano de la prudencia, evitando descargar ningún contenido
de páginas "underground", o de dudoso origen. También debe prestarse
atención al tamaño de los archivos descargados, sobre todo a través de redes
P2P. Normalmente, los archivos que, en realidad, son virus camuflados,
suelen tener un tamaño muy pequeño, que en absoluto se corresponde con el
del archivo que aparentemente ha sido descargado.

"El sabio no dice todo lo que piensa,
                    pero siempre piensa todo lo que dice".
               Aristóteles (384 AC-322 AC); filósofo griego.

   - Importante problema de seguridad en VERITAS Cluster Server para Unix -
      Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 18 de octubre de 2004 - Veritas Software ha publicado un aviso(*) en
el que informa de la existencia de una vulnerabilidad crítica en todas las
versiones de VERITAS Cluster Server para plataformas Unix, al tiempo que ha
anunciado la disponibilidad del parche que la corrige.

Aunque Veritas Software no ofrece detalles sobre el mencionado problema de
seguridad, advierte de que un atacante podría aprovecharla para, de forma
remota, controlar el sistema afectado con máximos privilegios. Por tal
motivo, la compañía recomienda a todos los usuarios cuyos equipos puedan
verse afectados que instalen el parche que ha proporcionado.

Se encuentran afectadas por la citada vulnerabilidad las versiones de
VERITAS Cluster Server para plataformas Unix -como Solaris, HP-UX, AIX y
Linux-, pero no las versiones para Windows.

(*) El aviso, con más información sobre las versiones afectadas y el
referido parche, se encuentra disponible en:
http://seer.support.veritas.com/docs/271040.htm

NOTA: Debido al cliente de correo la dirección puede aparecer cortada y, por
lo tanto, impedir el acceso. Si esto sucede, unificar la URL en una línea
(mediante las opciones "cortar" y "pegar").

------------------------------------------------------------

5 virus más detectados por Panda ActiveScan, antivirus online gratuito de
Panda Software: 1)Downloader.GK; 2)Netsky.P; 3)Mabutu.A; 4)Mhtredir.gen;
5)Gaobot.gen.

"Inspiración y genio son casi la misma cosa".
                Víctor Hugo (1802-1885); novelista francés.

               - Informe semanal sobre virus e intrusos -
    Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 19 de septiembre de 2004 - Cuatro gusanos centran la atención del
informe de hoy: Evaman.D, Mydoom.AB, Mydoom.Z y Mydoom.X.

Evaman.D se difunde por e-mail, en un mensaje escrito en inglés de
características variables. En concreto, busca en el equipo al que afecta -en
los ficheros que tengan alguna de las siguientes extensiones: adb, asp, dbx,
eml, htmb, html, msg, php, pl, sht, tbb, txt y wab-, direcciones de correo
electrónico a las que se envía, utilizando para ello su propio motor SMTP.

Cada cinco segundos Evaman.D comprueba si en memoria están activos procesos
-con nombres que contienen determinadas cadenas de texto- y, si los hay,
procede a finalizarlos. Algunos de los referidos procesos pertenecen a
programas antivirus, por lo que la acción de Evaman.D dejaría al equipo
afectado vulnerable al ataque de otros ejemplares de malware.

Para asegurarse de que no haya más de una copia suya ejecutándose al mismo
tiempo, Evaman.D crea el mutex BigUptoMDauthor_thx4sharing.

Los siguientes gusanos a los que nos referimos son las variantes AB, Z y la
X de Mydoom, que se propagan por correo electrónico en un mensaje escrito en
inglés y de características variables. Las tres se conectan a varios sitios
web, de los que intentan descargar un archivo perteneciente a un backdoor,
que después instalan en el PC.

Mydoom.AB y Mydoom.Z se diferencian de Mydoom.X en varios aspectos, entre
los que destacan los que se mencionan a continuación.

- Se difunden mediante el programa de intercambio de archivos punto a punto
(P2P) Kazaa.

- Finalizan procesos pertenecientes a programas de seguridad, entre los que
se hallan antivirus y firewalls, dejando así al ordenador desprotegido ante
otros ejemplares de malware.

- Impiden el acceso a determinadas páginas de programas antivirus, evitando
así que puedan actualizarse y detectar las nuevas amenazas aparecidas.

Mydoom.X, por su parte, también crea el mutex LLLf54fxrDLLL, para asegurarse
de que no haya más de una copia suya ejecutándose.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/.

Información adicional

- Firewall: barrera o protección que permite a un sistema salvaguardar la
información al acceder a otras redes como, por ejemplo, Internet.

- Mutex: técnica utilizada por algunos virus para controlar el acceso a
recursos (programas u otros virus), y evitar que más de un proceso utilice
el mismo recurso al mismo tiempo.

Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx

"La duda es uno de los nombres de la inteligencia".
Jorge Luis Borges (1899-1986); escritor argentino.

- Desbordamiento de buffer en Check Point VPN-1/FW-1 -
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 29 de julio de 2004 - Check Point ha confirmado, en
http://www.checkpoint.com/techsupport/alerts/asn1.html, la existencia de una
vulnerabilidad en Check Point VPN-1 en el tratamiento de paquetes IKE con
valores codificados ASN.1. Un usuario remoto que lograse explotar esta
vulnerabilidad podría tomar el control de los sistemas afectados.

El aviso de Check Point puntualiza que un usuario remoto puede enviar un
paquete IKE mal construido para provocar un desbordamiento de buffer, y
lograr la ejecución de código arbitrario en el gateway. En algunas
ocasiones, el usuario remoto podrá llegar a comprometer toda la red interna
protegida. Se ven afectados los sistemas que usen VPNs de acceso remoto, o
VPNs gateway-a-gateway.

Si se encuentra implementado el "Aggressive Mode IKE" (Modo Agresivo IKE),
un solo paquete podría explotar el fallo. Check Point desaconseja el uso de
este modo debido a las limitaciones inherentes de seguridad. Por otra parte,
si se emplea IKE sin el modo agresivo, el atacante remoto deberá iniciar una
negociación IKE real para llevar a cabo su ataque. Debido a que el paquete
IKE malicioso que se envía debe ser cifrado como parte de la propia
negociación IKE, se evita que el ataque pueda ser detectado a través de
firmas de detección de intrusiones.

Check Point ha publicado las actualizaciones necesarias para corregir este
problema en todos los sistemas afectados, que se encuentran disponibles en
la dirección de Internet anteriormente citada.

                       - La secuela de MyDoom.N: Zindos.A  -

         Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

27.07.04.- Tras la difusión ayer del virus MyDoom.N, que utilizaba los
motores de búsqueda más importantes de Internet para localizar direcciones
personales de e-mail y que consiguió afectar a los servicios de Google,
Altavista, Lycos y Yahoo!, ha surgido un nuevo gusano, Zindos.A.

Este gusano se aprovecha de las acciones cometidas por MyDoom.N, que
descargaba a través del puerto TCP 1034 un troyano, y así busca en
diferentes direcciones IP si ese puerto se encuentra abierto, y si es así,
se introduce en el ordenador afectado, infectándolo.

Si el ordenador está conectado a Internet, el nuevo gusano Zindos.A está
programado para lanzar un ataque de denegación de servicios (DoS) contra la
web de Microsoft (www.microsoft.com).

Para ejecutarse cada vez que se inicia Windows, este nuevo código malicioso
crea la siguiente clave en el registro para ejecutarse cada vez que se
inicia Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run= "Tray"
"%fichero%.exe

Ante la posibilidad de un encuentro con Zindos.A, Panda Software recomienda
extremar las precauciones y mantener actualizado el software antivirus. Los
clientes de Panda Software ya tienen a su disposición las correspondientes
actualizaciones para la detección y desinfección de este nuevo código
malicioso.

Más información sobre Zindos.A u otras amenazas informáticas en la
Enciclopedia de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/

Para la detección y desinfección gratuita de los ordenadores se puede
utilizar el antivirus on-line Panda ActiveScan, disponible en
http://www.pandasoftware.es

      - Los principales buscadores de Internet, afectados por la acción del
gusano Mydoom.N -
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 27 de julio de 2004 - El nuevo gusano Mydoom.N ha provocado serios
problemas de funcionamiento en los conocidos buscadores Google, Altavista,
Lycos y Yahoo!. Debido a ello, un gran número de usuarios ha obtenido
páginas de error como resultado de sus búsquedas.

La causa del problema reside en que Mydoom.N comprueba cada una de las
direcciones que roba en los equipos afectados en los buscadores Lycos,
Altavista, Yahoo y Google. Estos, inundados por el inusual número de
peticiones que reciben, dejan de funcionar normalmente. Por otra parte, este
hecho está provocando un aumento del tráfico en Internet que, en un caso
extremo, podría afectar al funcionamiento de la globalidad de la Red.

La gran capacidad de Mydoom.N para enviarse rápidamente a través de correo
electrónico, le está permitiendo distribuirse rápidamente por todo el mundo,
por lo que se espera que, en las próximas horas, el número de ordenadores
afectados pueda aumentar en gran medida. Igualmente, es de prever que los
sistemas de correo se vean ralentizados al tener que asumir todo el tráfico
que se puede generar causado por el nuevo gusano.

Mydoom.N instala un fichero que abre un puerto y permanece a la escucha,
actuando como backdoor.  De este modo, permite el acceso remoto al ordenador
afectado, para realizar en el mismo acciones que comprometen la
confidencialidad del usuario o dificultan su trabajo.

Para paliar los posibles efectos, Panda Software ha puesto a disposición de
los usuarios una herramienta gratuita PQRemove diseñada para detectar y
eliminar específicamente a Mydoom.N de cualquier equipo que haya podido
resultar afectado. Dicha herramienta puede ser descargada desde la dirección
http://www.pandasoftware.es/descargas/utilidades/

Por otra parte, las nuevas Tecnologías TruPrevent de Panda Software han
detectado y bloqueado a Mydoom.N antes incluso de conocer al nuevo gusano.
Las nuevas Tecnologías TruPrevent, aún en fase beta, están disponibles para
su descarga en la dirección http://www.pandasoftware.es/beta y se lanzarán
el próximo 29 de Julio. Las Tecnologías TruPrevent son "Las tecnologías más
inteligentes contra virus desconocidos e intrusos" y están diseñadas para
detener los ataques de gusanos como Mydoom.N mediante el análisis de su
comportamiento, y son un complemento a los antivirus tradicionales, ya que
son capaces de bloquear la ejecución de código malicioso incluso siendo
desconocido.

Según afirma Luis Corrons, director de PandaLabs: "Mydoom.N sigue la estela
que, hace varios meses dejó el gusano Mydoom original, que apareció el
pasado 26 de enero e infectó a cientos de miles de equipos en tan sólo unas
horas. Dada la enorme capacidad de propagación de este gusano, así como la
forma en que llega a los equipos simulando ser un mensaje de correo
electrónico devuelto, es muy probable que el número de infecciones pueda
comenzar a dispararse".

Ante la posibilidad, cada vez mayor, de un encuentro con Mydoom.N, Panda
Software recomienda extremar las precauciones y mantener actualizado el
software antivirus. Los clientes de Panda Software ya tienen a su
disposición las correspondientes actualizaciones para la detección y
desinfección de este nuevo código malicioso.

Más información sobre Mydoom.N u otras amenazas informáticas en la
Enciclopedia de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/

Para la detección y desinfección gratuita de los ordenadores pueden utilizar
el antivirus on-line Panda ActiveScan, disponible en
http://www.pandasoftware.es

          "El hombre se complace en enumerar sus pesares,
                  pero no enumera sus alegrías".
       Fiodor M. Dostoiewsky (1821-1881); novelista ruso.

                       - Resumen semanal -
   Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 24 de julio de 2004 - Durante la presente semana, Oxygen3 24h-365d
ha tratado sobre los temas que, brevemente, se resumen a continuación, y de
los que pueden obtenerse más datos en:
http://www.pandasoftware.es/about/prensa/oxygen3/oxygen.asp

- Vulnerabilidad en el administrador de certificados de Mozilla (19/07/04).
Securitytracker informa sobre una vulnerabilidad de denegación de servicio
en Mozilla. Debido a este problema de seguridad, un usuario remoto puede
provocar que se importe -de forma transparente y sin conocimiento del
usuario- un certificado raíz no válido, lo que puede tener como consecuencia
una denegación de servicio en conexiones SSL.

- Suplantación de usuarios en Hotmail (20/07/04).
Una vulnerabilidad de Cross-Site Scripting puede afectar a los usuarios de
Hotmail que utilizan Internet Explorer. El efecto más perjudicial de este
ataque es el robo de las cookies utilizadas en la autenticación del servicio
Hotmail. Esto permite al atacante entrar en el buzón de la víctima y hacerse
pasar por ella, tanto para acceder a sus correos electrónicos como para
enviar mensajes en su nombre.

- Vulnerabilidad en Sun Solaris Volume Manager (21/07/04).
Existe una vulnerabilidad de denegación de servicio en Sun Solaris 9 cuando
se configura con dispositivos Sun Solaris Volume Manager (SVM). Sun ha
confirmado que una petición sonda mal construida puede llevar a una
condición de caída del kernel. Sin embargo, el sistema sólo es vulnerable si
existen dispositivos configurados con Solaris Volume Manager. Sun ya ha
publicado actualizaciones para corregir este problema.

- Vulnerabilidades en la serie Cisco ONS 15000 (22/07/04).
Cisco ha informado sobre varias vulnerabilidades que afectan a Cisco ONS
15327, ONS 15454, ONS 15454 SDH, y ONS 15600. Las implicaciones de este
problema en materia de seguridad van desde la denegación de servicios
(ataques DoS), hasta dificultades en los mecanismos de autenticación.

- Actualización de Samba corrige dos vulnerabilidades (23/07/04).
Se encuentra disponible la nueva versión Samba 3.0.5 que corrige dos
desbordamientos de buffer que afectaban a versiones anteriores. Basándose en
estas vulnerabilidades, un atacante podía ejecutar código arbitrario y
comprometer la integridad de los sistemas.
                "Agua pasada no mueve molinos".
                            Refrán.

                      - Resumen semanal -
   Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 17 de julio de 2004 - En la semana que ahora finaliza, Oxygen3
24h-365d se ha ocupado de las noticias que, de forma resumida, aparecen a
continuación y a las que puede accederse en:
http://www.pandasoftware.es/about/prensa/oxygen3/oxygen.asp.

- (VIII) Evolución de los virus informáticos (12/07/04).
Con el paso del tiempo, la potencia de los intérpretes de script de
Microsoft Office permitió a los autores de virus incluir en sus creaciones
características de gusanos. Un claro ejemplo es Melissa, un virus de macro
con particularidades de gusano que infecta documentos de Word, tanto en su
versión para Office 97 como 2000. Melissa se autoenvía, adjunto a un mensaje
de correo electrónico, a los 50 primeros contactos de la libreta de
direcciones de Outlook del ordenador al que afecta. Esta técnica, que
desgraciadamente hoy es muy habitual, tiene su origen en este virus que en
marzo de 1999, y en apenas unos días, protagonizó uno de los casos de
infección masiva más importantes de la historia de los virus informáticos.

- Impacto de la humedad en los ordenadores (13/07/04).
Las condiciones ambientales de alta humedad pueden ocasionar la corrosión de
los componentes internos del PC y la degradación de algunas de sus
propiedades esenciales, como la resistencia eléctrica o la conductividad
térmica. En casos extremos, la humedad puede ocasionar cortocircuitos,
provocando desde la pérdida de datos hasta el daño físico de algunos
componentes del sistema.

- Actualizaciones de seguridad de Microsoft (14/07/04).
Microsoft ha publicado los boletines de seguridad de julio. En ellos informa
de la existencia de múltiples vulnerabilidades en sistemas Windows, Internet
Explorer, Internet Information Server y Outlook Express, al tiempo que
anuncia la disponibilidad de las correspondientes actualizaciones.

- Próxima publicación del Service Pack 2 para Windows XP (15/07/04).
Según ha publicado Yahoo!News, Microsoft ha anunciado que en agosto estará
disponible el Service Pack 2 (SP2) para Windows XP, que incorpora todas las
actualizaciones de seguridad publicadas hasta ahora, así como nuevas
funcionalidades relacionadas con la seguridad. Entre ellas destaca el
bloqueo de pop-ups, la instalación por defecto de un firewall y un Centro de
Seguridad, destinado a brindar información y protección contra los problemas
más habituales.

- Disponible Remove Hidden Data 1.1, que elimina datos ocultos en Office
2003/XP (16/07/04).
Microsoft ha proporcionado la versión 1.1 de Remove Hidden Data, herramienta
que elimina permanentemente la información -como el registro de las
modificaciones realizadas y comentarios- que, de manera oculta, pueden
incluir documentos de Word, Excel y PowerPoint de las versiones 2003 y XP.

       "El tiempo no es sino la corriente en la que estoy pescando".
       Henry David Thoreau (1817-1862); escritor, poeta y pensador.

                        - Resumen semanal -
   Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 10 de julio de 2004 - En los cinco últimos días, Oxygen3 24h-365d ha
informado a sus suscriptores de los temas que, brevemente, se resumen a
continuación, y de los que se puede obtener más datos en:
http://www.pandasoftware.es/about/prensa/oxygen3/oxygen.asp

- Actualización de Internet Explorer (05/07/04).
US-CERT ha informado de que Microsoft ha publicado una actualización de
seguridad para Internet Explorer (IE), que deshabilita el control ActiveX
ADODB.Stream. Esta actualización reduce el impacto de ataques contra
vulnerabilidades de cruce de dominios en Internet Explorer (IE).

- Limpieza interna del PC (06/07/04).
Uno de los componentes del PC que más puede sufrir por la existencia de
polvo en su interior es el ventilador que suele estar situado junto al
disipador de calor, en contacto con el procesador. El procesador del
ordenador es el componente vital del PC y el que mayores temperaturas puede
alcanzar si no cuenta con un buen sistema de enfriamiento, factor
íntimamente relacionado con su estabilidad, rendimiento y duración. Una
buena medida para alargar la vida del PC es aprovechar la abertura de la
carcasa para retirar el polvo y otras partículas que puedan haberse
concentrado en el interior.

- Dispositivos portátiles de almacenamiento y empresas (07/07/04).
ZDNet se ha hecho eco de las conclusiones de un interesante estudio
realizado por Gartner, sobre los peligros que puede conllevar en las
empresas el uso de dispositivos portátiles de almacenamiento. El citado
informe plantea la posibilidad de que las compañías prohíban que se utilicen
en sus redes dispositivos portátiles de almacenamiento, como el conocido
iPod de Apple, ya que pueden ser empleados para introducir ejemplares de
malware, como troyanos. Asimismo, pueden usarse de forma maliciosa para
robar grandes cantidades de datos de la compañías, ya que la información que
contienen puede descargarse más rápidamente que la guardada en CD.

- (VII) Evolución de los virus informáticos (08/07/04).
Mientras Windows pasaba de ser sólo una aplicación para hacer más sencillo
el manejo de DOS a convertirse en una plataforma de 32 bits y en un
verdadero sistema operativo, los creadores de virus volvieron a adoptar
Ensamblador como el principal lenguaje de programación de virus. Por su
parte, Visual Basic (VB) evolucionaba a las versiones 5 y 6, afianzándose
junto a Borland Delphi (la evolución de Pascal al entorno de Windows) como
una de las herramientas preferidas de los creadores de troyanos y gusanos.
Coincidiendo con la implantación de la plataforma Win32 aparecen los
primeros virus de script: malware dentro de un simple fichero con texto. Se
basan en que no sólo el código ejecutable (los .EXE y los .COM) puede
contener virus. Así, surgen los primeros virus dentro de macros de Microsoft
Office, por lo que Word, Excel, Access y PowerPoint se vuelven vías de
propagación de "armas letales", que destruyen la información de los usuarios
cuando estos abren un simple documento.

- Ordenadores "zombies" a la espera de órdenes(09/07/04).
Hay gusanos -como Gaobot.OD- que, tras instalarse en un equipo, se conectan
a un servidor IRC y esperan órdenes de control para llevar a cabo acciones,
entre las que se encuentran ataques de Denegación de Servicio Distribuida
(DDoS). En la práctica, cuando hay equipos infectados por malware como el
mencionado pueden actuar como "zombies", llevando a cabo todas las acciones
que reciben de un usuario malicioso. Cuando todos los ordenadores se
encuentran conectados, se obtiene una red de sistemas que recibe el nombre
de "botnet". Sus recursos, que pueden ser alquilados por poco más de 100
euros la hora, suelen emplearse para enviar un gran número de mensajes de
todo tipo -como spam o phishing- e, incluso, para realizar acciones de
sabotaje.

   "Nada es permanente a excepción del cambio".
             Heráclito (c.544-480 a. C.); filósofo griego.

                      - Resumen Semanal -
   Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 5 de junio de 2004 - En la semana que ahora finaliza, Oxygen3
24h-365d ha proporcionado a sus suscriptores las noticias que, de forma
resumida, aparecen a continuación y a las que puede accederse en:
http://www.pandasoftware.es/about/prensa/oxygen3/oxygen.asp

- Gusanos y proveedores de Internet europeos (31/05/04).
Un informe realizado por Sandvine, y del que se ha hecho eco Net4nowt, ha
revelado que en 2004 el coste de los ataques de gusanos en el sector de los
proveedores de Internet superará los 123 millones de euros, mientras que en
2005 se situará en 159 millones de euros. El estudio también ofrece otros
datos importantes, como que entre un 2 y un 12% de todo el tráfico de
Internet europeo es malicioso, incluso en los mejores y más importantes ISP
con departamentos de seguridad dedicados. La media del tráfico malicioso
constituye un 5% del total.

- Dispositivos inalámbricos y seguridad (01/06/04).
Según ha publicado News-Journal Online, un técnico equipado con un ordenador
portátil y una antena en el techo de su coche ha estudiado todas las redes
inalámbricas existentes entre Los Angeles y San Francisco. En el recorrido
-de 1.300 kilómetros-, Mike Outmesguine detectó 3.600 redes inalámbricas,
frente a las 100 que contabilizó cuando realizó la misma ruta en el año
2000, dato que pone de manifiesto el auge de dichos sistemas. Sólo un tercio
-de las redes que contabilizó en su última ruta- utilizaba cifrado básico,
que es una medida de seguridad clave.

- (IV) Evolución de los virus informáticos (02/06/04).
La aparición de los servicios asociados a Internet -como la banca
electrónica, o las compras online- conllevó un importante cambio en la
mentalidad de los creadores de virus. En concreto, algunos autores empezaron
a desarrollarlos no con el ánimo de infectar muchos equipos, sino para robar
los datos confidenciales asociados a dichos servicios y obtener un beneficio
económico personal. Para alcanzar dicho objetivo necesitaban poder generar
virus que infectasen muchos equipos de forma silenciosa. La respuesta a cómo
podían conseguir alcanzar su meta la obtuvieron en 1986, de la mano del que
se denominó genéricamente "caballo de troya", o más comúnmente "troyano".

- Problema en dominios Windows 2000 con ocho caracteres (03/06/04).
Microsoft ha anunciado que los dominios Windows 2000 pueden permitir el
acceso a usuarios con contraseñas caducadas. El problema se produce si el
Nombre de Dominio Totalmente Cualificado (Fully Qualified Domain Name
-FQDN-) tiene ocho caracteres.

- Vulnerabilidad en varios productos de IBM (04/06/04).
IBM ha informado de que algunos de sus productos son vulnerables a un ataque
tipo "hijack", basado en la captura de la sesión de usuarios legítimos. El
problema ha sido detectado a raíz de la publicación en Internet de un
documento que analiza y detalla cómo afecta el ataque a los productos de
IBM, lo que aumenta la posibilidad de incidentes basados en dicha técnica.
IBM ha recomendado, a todos los usuarios de las aplicaciones afectadas, que
instalen los parches que solucionan el referido problema.

"En lo pasado está la historia del futuro".
           Juan Donoso Cortés (1809-1853); ensayista español.

                       - Resumen Semanal -
   Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 29 de mayo de 2004 - En la última semana del mes que ahora finaliza,
Oxygen3 24h-365d ha ofrecido las informaciones que, brevemente, se mencionan
a continuación, y a las que puede accederse en:
http://www.pandasoftware.es/about/prensa/oxygen3/oxygen.asp

- Service Pack 2 para Microsoft ISA Server 2000 (24/05/04).
Microsoft ha proporcionado el nuevo Service Pack 2 para Internet Security
and Acceleration (ISA) Server 2000, que puede instalarse en la edición
Standard y en la edición Enterprise de ISA Server 2000, de manera
independiente a los Service Pack o hot fixes instalados con anterioridad. El
citado Service Pack incluye las actualizaciones de seguridad y todos los
parches críticos desde que ISA Server fue publicado y otros más, entre los
que se hallan aquellos que resuelven problemas comunes reportados por los
usuarios.

- Vulnerabilidades de software: vía de propagación de virus en plena
expansión (25/05/04).
Los virus que aprovechan problemas de seguridad existentes en los programas
más utilizados tienen la ventaja -desde el punto de vista de su autor- de
propagarse rápidamente, debido a que realizan acciones poco habituales. Por
ejemplo, Sasser se aprovecha de una vulnerabilidad de desbordamiento de
buffer denominada LSASS que permite ejecutar código malicioso. Otros virus
-como Blaster- no necesitan usar las vías habituales de propagación, ya que
pueden entrar directamente en un ordenador a través de un puerto de
comunicaciones. Las posibilidades son muy diversas, ya que depende del tipo
de vulnerabilidad de la que se trate.

- Ataques por Internet a empresas y redes gubernamentales (26/05/04).
WashingtonPost.com se ha hecho eco de los interesantes resultados de una
encuesta sobre seguridad informática realizada por la revista Chief Security
Officer (CSO), en colaboración con el servicio secreto estadounidense y
CERT/CC. Según el sondeo, el costo estimado de los ataques por Internet a
empresas y redes gubernamentales ascendió, en 2003, a 536 millones de euros.
A su vez, más del 40% de los 500 ejecutivos entrevistados dijeron que los
hackers se han convertido en el mayor riesgo de seguridad informática para
las compañías e instituciones estatales, frente a un 28% que declaró que el
mayor peligro procedía de empleados descontentos o recientemente despedidos.

- Aumentan los ataques basados en técnicas de "phishing" (27/05/04).
En los últimos meses, los ataques por "phishing" -cuyo objetivo es conseguir
datos confidenciales de los usuarios (números de tarjetas de créditos,
contraseñas, etc.) a través de e-mails y sitios web fraudulentos-, han
experimentado un fuerte crecimiento, según un estudio elaborado por
Anti-Phising Working Group. El citado informe revela que en abril de 2004
fueron detectados 1.125 ataques distintos que utilizaban técnicas de
"phishing", lo que arroja una media de 37,5 por día. El principal sector
afectado es el financiero, con Citibank a la cabeza, entidad que ha sido
objeto de 475 ataques en el citado mes, lo que supone una media de 16
ataques al día.

- Denegación de servicio en routers ADSL 3Com OfficeConnect 812 (28/05/04).
SecurityTracker ha anunciado la existencia de una vulnerabilidad de
desbordamiento de buffer en los routers 3Com OfficeConnect Remote 812 ADSL.
El mencionado problema de seguridad tiene su origen en que es posible
enviar, al puerto que se esté usando para telnet, un paquete especialmente
construido que contenga secuencias de escape empleadas por telnet, lo que
puede provocar la caída o reinicio del router. En la práctica, esta
vulnerabilidad puede ser empleada por un atacante para bloquear el
dispositivo, con la consiguiente denegación de servicio en la conexión a
Internet de los sistemas que lo utilicen.

  "El conocimiento teórico es un tesoro cuya clave es la práctica".
         Thomas Fuller (1609-1661); clérigo y escritor inglés.

         - Denegación de servicio en dispositivos wireless -
  Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 17 de mayo de 2004 - Según ha informado Austalian Computer Emergency
Response Team (AusCERT) -en http://www.auscert.org.au/render.html?it=4091 -,
existe una vulnerabilidad en el protocolo WLAN 802.11 que permite
interrumpir el tráfico de red mediante el uso de un equipo WiFi de baja
potencia.

El mencionado problema de seguridad, que existe en todas las
implementaciones hardware del protocolo de redes inalámbricas IEEE802.11,
posibilita el ataque contra la disponibilidad de los elementos de redes
wireless de área local. Para llevarlo a cabo, un agresor sólo necesitará un
dispositivo portátil de baja potencia -como una agenda PDA y una tarjeta de
red wireless- para dejar inaccesible todo el tráfico inalámbrico dentro de
un rango, resultando difícil la identificación y localización del ataque.

La vulnerabilidad está relacionada con la función Medium Access Control
(MAC) del protocolo IEEE 802.11. Los dispositivos WLAN ejecutan Carrier
Sense Multiple Access con Collision Avoidance(CSMA/CA), lo que minimiza la
probabilidad de que dos dispositivos transmitan de forma simultánea. Para el
funcionamiento de CSMA/CA es fundamental el procedimiento Clear Channel
Assessment (CCA), empleado en todo el hardware compatible con el estándar y
ejecutado por una capa física Direct Sequence Spread Spectrum (DSSS).

Un ataque que aproveche la citada vulnerabilidad explota la función CCA en
la capa física y provoca que todos los nodos WLAN dentro de un rango, tanto
clientes como puntos de acceso, aplacen la transmisión de datos mientras se
produce el ataque.

En estos momentos no existe ninguna actualización de software o firmware
disponible para mejorar los dispositivos actuales, y tampoco hay
contramedida posible.

"Oír o leer sin reflexionar es una ocupación inútil".
               Confucio (551-479 a. C.); filósofo chino.

         - Desbordamiento de buffer en Microsoft Visual Basic -
     Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 18 de mayo de 2004 - SecurityTracker ha anunciado - en
http://www.securitytracker.com/alerts/2004/May/1010175.html - la existencia
de una vulnerabilidad de desbordamiento de buffer en Microsoft Visual Basic,
que podría permitir a un atacante la creación de aplicaciones con las que
elevar sus privilegios.

El desbordamiento de buffer se produce en el proceso Command1_Click(),
cuando se utiliza para imprimir una caja de texto de unos 170.000
caracteres. En la práctica, uno de los efectos habituales de la explotación
del desbordamiento es una denegación de servicio que, aunque no ha llegado a
confirmarse, es posible que también pueda emplearse para lograr la ejecución
de código arbitrario. También cabe la posibilidad de que un usuario remoto
pueda crear una aplicación en Visual Basic capaz de explotar el
desbordamiento de buffer.

El mencionado problema de seguridad en Microsoft Visual Basic puede tener
efectos colaterales y afectar a otros programas, como Microsoft Office o
Internet Explorer.

------------------------------------------------------------

5 virus más detectados por Panda ActiveScan, antivirus online gratuito de
Panda Software: 1)Sasser.ftp; 2)Netsky.P; 3Briss.A); 4)Downloader.EQ;
5)Qhost.gen.

  "El hombre es la suma de sus fantasías".
           Henry James (1843-1916); escritor estadounidense.

            - Informe semanal sobre virus e intrusos -
   Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 16 de mayo de 2004 - Cinco gusanos -Sasser.F, Cycle.A, Bagle.AC,
Sober.G y Wallon.A-, y Qhost.gen centran la atención del informe sobre virus
e intrusos de esta semana.

Sasser.F se difunde a través de Internet, aprovechándose para ello de la
vulnerabilidad LSASS. En el equipo al que afecta provoca un desbordamiento
de buffer en el programa LSASS.EXE, el reinicio del ordenador y la aparición
en pantalla de un mensaje. Como las otras variantes de Sasser aparecidas con
anterioridad, la F se propaga de manera automática en ordenadores con
Windows XP/2000. También funciona en el resto de sistemas operativos
Windows, si el archivo que lo contiene es ejecutado por un usuario
malicioso.

Como el código malicioso citado anteriormente, Cycle.A también se propaga a
través de Internet, explotando la vulnerabilidad LSASS y provocando el
reinicio del ordenador afectado. A su vez, finaliza los procesos
correspondientes a los gusanos Blaster, Sasser.A, Sasser.B, Sasser.C y
Sasser.D, y realiza ataques de Denegación de Servicio (DoS) contra varios
sitios web, cuando la fecha del sistema no se encuentra entre el 1 y el 18
de mayo, ambos inclusive.

El tercer gusano al que nos referimos hoy es Bagle.AC, que finaliza procesos
correspondientes a diversas aplicaciones de seguridad, como programas
antivirus y firewalls, así como diferentes gusanos. Además, intenta
conectarse -a través del puerto 14441- a varias páginas web, que albergan un
script PHP, con el objetivo de notificar a su autor que el ordenador ha sido
afectado.

Sober.G, por su parte, es un gusano que se propaga a través del correo
electrónico en un mensaje escrito en inglés o alemán, dependiendo de la
extensión del dominio de la dirección de correo del usuario. En el equipo al
que afecta busca, en ficheros que tienen determinadas extensiones,
direcciones de correo electrónico, a las que se envía empleando su propio
motor SMTP.

El quinto gusano del presente informe es Wallon.A, que se descarga en el
ordenador aprovechándose para ello de la vulnerabilidad Exploit/MIE.CHM. El
proceso que realiza para difundirse es el siguiente: el usuario recibe un
e-mail que contiene un enlace a una determinada página web. Si el usuario
visita la referida página, Wallon.A se descarga en el equipo.

Wallon.A recoge todos los contactos que encuentra en la Libreta de
direcciones de Windows y los envía a una dirección de correo electrónico.
Asimismo, este gusano cambia la página de inicio del navegador Internet
Explorer y, si la Libreta de direcciones de Windows se encuentra vacía,
muestra en pantalla un mensaje de error.

Finalizamos el informe de hoy con Qhost.gen, que es una detección genérica
de ficheros HOSTS modificados por varios ejemplares de malware, entre los
que se encuentran diferentes variantes del Gaobot. El citado fichero
contiene una serie de líneas que son las primeras que Windows utiliza para
la resolución de nombres a direcciones IP (antes que otros servicios tales
como WINS o DNS).

Los ficheros HOSTS son modificados por el citado malware de tal forma que
asocian una lista de direcciones web a la dirección IP 127.0.0.1,
consiguiendo así que las direcciones incluidas en dicha lista sean
inaccesibles. Las referidas páginas web suelen pertenecer a compañías que
comercializan software de seguridad como, por ejemplo, soluciones
antimalware. Por tal motivo, el usuario cuyo equipo haya resultado afectado
por Qhost.gen no podría  acceder a estas páginas y consultar información,
actualizar su solución, etc.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
   "La evolución no es una fuerza, sino un progreso;
                     no una causa, sino una ley".
  Vizconde de Blackburn, John Morley (1838-1923); estadista británico.

               - (III) Evolución de los virus informáticos -
    Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 13 de mayo de 2004 - En la presente entrega de Oxygen3 24h-365d,
relativa a los cambios experimentados por los virus informáticos a lo largo
de su historia, vamos a explicar cómo incidió la llegada de Internet y del
correo electrónico en su forma de propagación.

Internet y el correo electrónico revolucionaron el mundo de las
telecomunicaciones y, rápidamente, los creadores de códigos maliciosos se
dieron cuenta de que en ambos podían tener muchas posibilidades para dar a
conocer y difundir sus "obras". A su vez, esto provocó que cambiaran su
s

Vd. encontrará más información en nuestras websites

www.carcellersoft.net	www.academiacarceller.net/	www.carcellerasesoresconsultores.net

Academia Carceller donde la formación hace historia

Carceller Academy, Where Formation Makes History

grupo carceller asesores y consultores de empresas

inicio

Carceller Academy, Where Formation Makes History

grupo carceller asesores y consultores de empresas