Tabla de contenido:
Video: Como sacar un nuche de la espalda (Noviembre 2024)
Contenido
- Este gusano solo quiere sanar
- Top Threat W32 / Nachi.B-worm
- Los 10 principales virus de correo electrónico
- Las 5 vulnerabilidades principales
- Consejo de seguridad
- Actualizaciones de seguridad de Windows
- Jargon Buster
- Security Watch Story Feed
Este gusano solo quiere sanar
Primero fuimos testigos de la explosión de MyDoom.A, y el posterior ataque de Denegación de Servicio que llevó al sitio web de la Operación Santa Cruz (sco.com) durante dos semanas. Luego vino MyDoom.B, que agregó Microsoft.com como objetivo de un ataque DoS. Mientras MyDoom.A despegó con venganza, MyDoom.B, como una película de "B", fue un fracaso. De acuerdo con Mark Sunner CTO en MessageLabs, MyDoom.B tenía errores en el código que causaron que solo tuviera éxito en un ataque de SCO el 70% del tiempo y 0% al atacar a Microsoft. También dijo que había "más posibilidades de leer sobre MyDoom.B, que atraparlo".
La semana pasada, hemos visto una explosión de virus en las colas de MyDoom.A, la exitosa adquisición de cientos de miles de máquinas. El primero en llegar a la escena fue Doomjuice.A (también llamado MyDoom.C). Doomjuice.A, no era otro virus de correo electrónico, pero aprovechó una puerta trasera que MyDoom.A abrió en máquinas infectadas. Doomjuice se descargaría en una máquina infectada con MyDoom y, al igual que MyDoom.B, instalaría e intentaría realizar un ataque DoS en Microsoft.com. Según Microsoft, el ataque no los estaba afectando adversamente alrededor de los días 9 y 10, aunque NetCraft registró que el sitio de Microsoft era inalcanzable en un punto.
Los expertos en antivirus creen que Doomjuice fue obra del mismo autor (es) de MyDoom, porque también deja caer una copia de la fuente original de MyDoom en la máquina víctima. Según un comunicado de prensa de F-secure, esta puede ser una forma para que los autores cubran sus huellas. También libera un archivo de código fuente que funciona a otros escritores de virus para usar o modificar. Entonces, MyDoom.A y MyDoom.B, como Microsoft Windows y Office, se han convertido en una plataforma para la propagación de otros virus. En la última semana hemos visto la aparición de W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom, una variante troyana de Proxy-Mitglieter, W32 / Deadhat.A y W32 / Deadhat.B, todos ingresando a la puerta trasera de MyDoom. Vesser.worm / DeadHat.B, también usa la red para compartir archivos SoulSeek P2P.
El 12 de febrero, se descubrió el gusano W32 / Nachi.B. Al igual que su predecesor, W32 / Nachi.A.worm (también conocido como Welchia), Nachi.B se propaga explotando las vulnerabilidades RPC / DCOM y WebDAV. Mientras todavía es un virus / gusano, Nachi.B intenta eliminar MyDoom y cerrar vulnerabilidades. Para el viernes 13 de febrero, Nachi.B había llegado al puesto # 2 en un par de listas de amenazas de proveedores (Trend, McAfee). Debido a que no usa el correo electrónico, no aparecerá en la lista de los diez principales virus de correo electrónico de MessageLabs. La prevención de la infección por Nachi.B es la misma que para Nachi.A, aplique todos los parches de seguridad de Windows actuales para cerrar las vulnerabilidades. Vea nuestra amenaza principal para más información.
El viernes 13 de febrero, vimos otro arpón MyDoom, W32 / DoomHunt.A. Este virus utiliza la puerta trasera MyDoom.A, y cierra los procesos y elimina las claves de registro asociadas con su objetivo. A diferencia de Nachi.B, que funciona silenciosamente en segundo plano, DoomHunt.A aparece un cuadro de diálogo que proclama "MyDoom Removal Worm (DDOS the RIAA)". Se instala en la carpeta del sistema de Windows como un Worm.exe obvio y agrega una clave de registro con el valor "Delete Me" = "worm.exe". La eliminación es igual que cualquier gusano, detiene el proceso de worm.exe, escanea con un antivirus, elimina el archivo Worm.exe y los archivos asociados, y elimina la clave de registro. Por supuesto, asegúrese de actualizar su máquina con los últimos parches de seguridad.
Microsoft anunció tres vulnerabilidades más y lanzó parches esta semana. Dos son importantes para el nivel de prioridad, y uno es el nivel crítico. La principal vulnerabilidad implica una biblioteca de códigos en Windows que es central para asegurar aplicaciones web y locales. Para obtener más información sobre la vulnerabilidad, sus implicaciones y lo que debe hacer, consulte nuestro informe especial. Las otras dos vulnerabilidades involucran el servicio WINS (Windows Internet Naming Service) y la otra está en la versión Mac de Virtual PC. Consulte nuestra sección Actualizaciones de seguridad de Windows para obtener más información.
Si parece un pato, camina como un pato y grazna como un pato, ¿es un pato o un virus? Tal vez, tal vez no, pero AOL advirtió a los usuarios (Figura 1) que no hagan clic en un mensaje que estaba circulando a través de Instant Messenger la semana pasada.
Actualización: La semana pasada le contamos sobre un sitio web falso de No enviar correos electrónicos, prometiendo reducir el correo no deseado, pero en realidad era un recopilador de direcciones de correo electrónico para los spammers. Esta semana, una historia de Reuters informa que la Comisión Federal de Comercio de EE. UU. Advierte: "Los consumidores no deben enviar sus direcciones de correo electrónico a un sitio web que promete reducir el" spam "no deseado porque es fraudulento". El artículo continúa describiendo el sitio y recomienda, como lo hemos hecho, "guardar su información personal para usted mismo, incluida su dirección de correo electrónico, a menos que sepa con quién está tratando".
El jueves 12 de febrero, Microsoft descubrió que parte de su código fuente estaba circulando en la web. Lo rastrearon hasta MainSoft, una compañía que hace una interfaz de Windows a Unix para programadores de aplicaciones Unix. MainSoft ha estado licenciando el código fuente de Windows 2000, específicamente la parte que tiene que ver con la API (interfaz del programa de aplicación) de Windows. Según una historia de eWeek, el código no está completo o no es compilable. Si bien la API de Windows está bien publicada, el código fuente subyacente no lo está. La API es una colección de funciones de código y rutinas que llevan a cabo las tareas de ejecutar Windows, como colocar botones en la pantalla, hacer seguridad o escribir archivos en el disco duro. Muchas de las vulnerabilidades en Windows provienen de buffers y parámetros no verificados para estas funciones. A menudo, las vulnerabilidades implican pasar mensajes o parámetros especialmente diseñados a estas funciones, lo que hace que fallen y abran el sistema a la explotación. Dado que gran parte del código de Windows 2000 también está incorporado en el servidor de Windows XP y Windows 2003, tener el código fuente puede permitir a los creadores de virus y a los usuarios malintencionados encontrar más fácilmente agujeros en rutinas específicas y explotarlos. Si bien las vulnerabilidades suelen ser identificadas por fuentes de Microsoft o de terceros antes de que se hagan públicas, lo que da tiempo para emitir parches, esto puede cambiar ese procedimiento, poniendo a los piratas informáticos en la posición de descubrir y explotar vulnerabilidades antes de que Microsoft las encuentre y las repare.
