La solución es simple, instalar NO Script, el addon para Firefox que controla la ejecución de scripts.

Más información en Kriptópolis. ]]> http://www.tropiezosenlared.com/vulnerabilidad-muy-critica-en-firefox/feed/ 0 http://www.tropiezosenlared.com/el-gobierno-de-eeuu-llama-a-parchear-urgentemente-windows/ http://www.tropiezosenlared.com/el-gobierno-de-eeuu-llama-a-parchear-urgentemente-windows/#comments Fri, 11 Aug 2006 16:53:46 +0000 dide http://www.tropiezosenlared.com/el-gobierno-de-eeuu-llama-a-parchear-urgentemente-windows/ El Departamento de Seguridad Interior de los Estados Unidos avisó anteayer de que una de las vulnerabilidades recogidas en el último boletín de parches de Microsoft (en concreto, la MS06-040) podría “tener consecuencias sobre los sistemas del gobierno, la industria privada y las infraestructuras críticas, así como sobre usuarios domésticos” y, en un movimiento nada habitual, instó a los usuarios a parchear los sistemas afectados lo antes posible.

Fuente: Kriptópolis.

Una razón más para no enviar esos correos chorras que además ocupan un montón de megas.

Fuente: Blogantivirus.

¿Desea aceptar “dhgt507ih.sis”?

¿dhgt507ih.sis? ¿y eso que es? ¿quien me lo envía? No hay forma de saberlo, Windows es así, o aceptas o no aceptas… bueno, a pesar de que la extensión .sis ya canta mucho, curioso que es uno, acepto el archivo.
Abro ActiveSync, exploro el dispositivo y transfiero el fichero a mi PC de escritorio, el dichoso ocupa 28 KB, que raro, recuerdo tener muchos emails con adjuntos del mismo tamaño…

Lo edito con un Editor de Textos, Scite para ser exactos, y bueno, al ser un archivo de sistema como su propia extensión indica, no veo más que NULLS y símbolos en Klingon por lo menos.
Pero entre NULL y NULL se puede leer el siguiente texto:

CommWarrior v1.0b (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.
OTMOP03KAM HET!

Vaya, por lo visto es un virus para celulares con sistema Symbian OS.

Nombre: SymbOS/Commwarrior.B
Nombre NOD32: SymbOS/CommWarrior.B
Tipo: Gusano
Alias: Commwarrior.B, Symb/Comwar-B, SymbOS.Commwarrior.B, SymbOS/Commwarrior.b, SymbOS/Commwarrior.B, SYMBOS_COMWAR.B
Fecha: 7/mar/05
Plataforma: Symbian OS Series 60
Tamaño: 32,768 bytes
Última modificación: 30/mar/05

Se propaga por Bluetooth, utilizando nombres de archivos al azar. Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles y otros dispositivos.

El gusano afecta a teléfonos móviles que se ejecutan bajo el sistema operativo Symbian OS Series 60, como los siguientes:
Nokia 3650, 3600, Nokia 3660, 3620, Nokia 6600, Nokia 6620, Nokia 7610, Nokia 7650, Nokia N-Gage, Panasonic X700, Sendo X, Siemens SX1

Así que mucho ojo con el Bluetooh, los teléfonos Symbian y los mensajes en Klingon ;)

Actualización: Han pasado sólo dos horas y ya he recibido unos 10 avisos, hay alguien por aquí con un buen gripazo de symbian.

Nombre: Brick.A
Nombre NOD32: PSP/Brick.A
Tipo: Caballo de Troya
Alias: Brick.A, PSP/Brick.A, PSP/Brick.A-tr, PSP/Format.A, psp-brick-a, TR/PSP.Brick.A, Troj/PSPBrick-A, Trojan.PSP.Brick.a, Trojan.Psp.Brick.A, Trojan.PSP.Brick.A, Trojan.PSPBrick, Trojan/PSP.Brick.A
Fecha: 11/oct/05
Plataforma: Sony Playstation Station Portable (PSP)
Tamaño: 3,848 bytes (BIN); 2,254 bytes (RAR)

Caballo de Troya para la Sony Playstation Station Portable (PSP).
Cuando se ejecuta, muestra un mensaje que reclama hackear el firmware de la PSP 2.0.
El troyano elimina cuatro archivos críticos que hacen que el dispositivo quede inutilizable.
Se presenta como un exploit para la PSP, con el siguiente nombre:

EXPLOIT 2.0 PSP Team V1.RAR

El archivo RAR contiene los siguientes archivos:

H.BIN
PSPTEAM.NFO
/PSP/PHOTO/OVERFLOW.TIF

Las instrucciones en PSPTEAM.NFO (un archivo de texto), indican que el archivo H.BIN debe ser colocado en el directorio raíz del dispositivo USB, y el archivo OVERFLOW.TIF en la carpeta /PSP/PHOTO/.
Cuando el exploit se ejecuta, el troyano elimina los siguientes archivos del sistema:

flash6:/vsh/etc/index.dat
flash6:/kd/loadcore.prx
flash6:/kd/loadexec.prx
flash6:/kd/init.prx

Estos archivos son críticos para el reinicio de la Playstation.
Luego de ello, el troyano muestra el siguiente texto:

Your 2.0 is hacked please reboot
Thank you PSP Team the french team
FuCk yoshihiro and SonyxTeam Looser

Cuando el archivo OVERFLOW.TIF utiliza el exploit que provoca la ejecución de H.BIN, se muestra el siguiente mensaje:

PSP TEAM 2.0 Exploit Hack the 2.0 firmware
Thank’s to toc2rta for the 2.0 exploit :)

Como hemos visto un poco más arriba, el Virus encargado de eliminar los archivos críticos de sistema está compilado en el archivo H.BIN, el archivo overflow.tif simplemente se encarga de que sea posible ejecutarlo, al igual que nos sirve para ejecutar el Downgrader, aún así, como el archivo overflow.tif está contenido en el RAR es normal que los antivirus lo cataloguen como tal, siendo evidentemente un aviso falso.
Así tenemos que el overflow.tif permite ejecutar tanto el virus como el Downgrader, hay que tener cuidado a la hora de ejecutar homebrew ya que ‘nos podemos encontrar de todo’ pero el overflow.tif ( http://dide.bitacoras.com/img/overflow.tif ) que ha sido ofrecido en esta Bitácora está y ha estado exento de Virus siempre.

Si vuestro antivirus no os permite descargarlo, simplemente desactivar la protección a tiempo real del mismo y descargad el fichero overflow.tif. Recordad activar la proteccion del antivirus luego ;)

Espero que haya quedado un poco más claro el asunto, igualmente el hilo de comentarios está abierto para responder cualquier tipo de duda o cunsulta.

Tipo: Troyano.
Tamaño infección: 34.304 bytes, 43.008 bytes
Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Detalles técnicos:

1. Se copia a sí mismo como uno de los siguientes ficheros.

* %Archivos de Programa%\svhost32.exe
* %Archivos de Programa%\rundll32.exe
* %Archivos de Programa%\Internat.exe

2. Crea el siguiente fichero:

%System%\msdll.dll (c: \windows\system32\msdll.dll)

3. Añade al registro de Windows el siguiente valor:

“load” = “[Ruta de uno de los ejecutables del punto 1]” en HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\Windows\CurrentVersion\Run

de modo que arranca siempre al inicio del sistema.

4. Inyecta msdll.dll en otros procesos activos incluyendo explorer.exe, de manera que monitoriza las contraseñas introducidas.

5. Initenta iniciar un proceso de registro de teclas hasta encontrar una ventana asociada a “wow.exe”, “Launcher.exe”, “www.wowchina.com” o “signup.worldofwarcraft.com”.

6. Envía por email la contraseña sustraida al autor del Troyano.

7. Intenta deshabilitar procesos o ventanas que contengas los siguientes textos, algunos relacioneados con la seguridad:

* EGHOST.EXE
* MAILMON.EXE
* KAVPFW.EXE
* Ravmon.exe
* Ravmond.exe
* ZoneAlarm

8. Intenta descargar y ejecutar ficheros desde internet.

Fuente: Symantec y wow-esp.

… but we can’t process your request right now. A computer virus or spyware application is sending us automated requests, and it appears that your computer or network has been infected.

Al parecer estan recibiendo un nuevo ataque de algún virus. Estaremos atentos a ver que está pasando.

Y añado que hay algunos programas antivirus que funcionando simultaneamente dan problemas de lo más inesperados, mi consejo es:
Utiliza uno para auditar, examinar todo lo que se mueve, y cuantos más mejor para ir escaneando el disco en busca de virus.

<a href="http://www.mozilla.org/informacion.pdf">
<table><tr><td>
<a href="about:mozilla"> http://www.mozilla.org/informacion.pdf
</a><!-- Cerrar primer enlace -->
</td></tr></table>
</a><!-- Cerrar segundo enlace -->

Fuente: Hispasec.