Este sera un boletin largo, pero tambien muy variado pues hablare problemas de seguridad, gatos bonsai, y linux. . Un virus bastante peligroso a atacado varios servidores linux de internet (incluyendo el nuestro), por nuestro sitio y los de nuestro clientes estuvieron fuera durante un tiempo.

Tambien se esta reproduciendo un virus extremadamente complejo y dañino, llamado Magistr. Este virus toma palabras de documentos de la computadora para crear el nombre del mensaje de correo y busca direcciones de correos, no solo en la libreta de direcciones, sino tambien dentro de los correos recibidos.

Tambien hablare de un elaborado engaño realizado por estudiantes del MIT, sobre gatos bonsai criados en botellas, que a generado inumerables respuestas de los protectores de los animales.

• . i. Ataques de seguridad desde explorer.
• . ii. Lion Worm , para linux.
• . iii.TROJ_NAKEDWIFE, tras los bajos instintos
• . iv. W32.Magistr.24876@mm un virus dañino.
• . v. Bonsai Kitten, el gran engaño.

---

El experto de seguridad (hacker) Juan Carlos Cuartango, descubrio un nuevo "agujero" de seguridad en Windows.

Cuartango es famoso en el medio pues ya ha descubierto varias fallas serias dentro del sistema operativo Windows.

http://www.kriptopolis.com/cua/20010330.html

La falla en este caso involucra a Windows e Internet Explorer 5 y 5.5. Un atacante puede enviar un correo que contenga codigo HTML. Esto es gracias a un error dentro de explorer, al reconocer este un archivo .EML.

Este archivo .EML puede contener varias partes, incluyendo un progama ejecutable, si dentro de la parte html, se incluye una etiqueta (iframe) y es ejecutado automaticamente.

Este codigo puede ser un pequeño progama de control remoto y permite que se tenga control y acceso total a la maquina del usuario.

Ademas este codigo puede incorporarse dentro de una pagina de internet de manera que se ejecute al visitar la pagina. A diferencia de los virus y gusanos que introducen puertas traseras dentro del sistema, el usuario no necesita picar ningun archivo o ejecutar nada, Explorer ejecuta el progama en cuanto la pagina o el correo es presentado en pantalla.

EL uso mas probable es que un atacante enie uncorreo a su victima y solo necesita esperar a que esta lea su correo. Una ves hecho esto, el atacante desde una coputadora remota, puede hacer cualquier que el usuario pudiera hacer desde su propia maquina.

Microsoft ha liberado ya el parche de seguridad, sin embargo el parche tiene un problema,pues le dice al usuario "que no requiere ese parche" a pesar de eso, hay que insistir en que si lo instale.

Microsoft advierte en su sitio de internet a todos los usuarios de Internet Explorer que bajen e instalen el parche inmediatamente, pues es una falla critica.

Cuartango aviso a Microsoft de la falla el 14 de febrero de este año, pero esperó a que Microsoft tuviera listo el parche antes de hablar con la prensa.

http://www.microsoft.com/technet/security/bulletin/ms01-020.asp
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp

Sin embargo Cuarango advierte que este parche aun presenta problemas, pero que Microsoft no piensa corregir, ya que permite colocar comandos en un archivo que parece ser texto, y es ejecutado al bajar de internet. Microsoft no piensa corregir esto, pues opina que no es peligroso y es una conveniencia para el usuario.

Por otra parte esta actualizacion critica, no aparece en al seccion de Windows Update, sino en la pagina de seguridad.

Muchos usuarios han reportado problemas para instalar el parche, en la pagina de Cuartango hay recomendaciones paso a paso para usuarios de habla hispana.

Otra opcion es, aunque paresca extraño, consiste en instalar el "Windows Media player 7" o el reproductor de Real Audio, pues estos parchas algunas partes del sistema

 
  Nombre Linux.lion
sistema Linux (no infecta windows)
tipo gusano.
   

Linux Lion es un peligroso gusano que aprovecha una falla de seguridad presente en algunos sistemas linux.

Este gusano puede introducirse directamente en los servidores Linux, sin que se tenga que activar por algun usuario. A pesar de que no causa ningun daño, este gusano altera varios archivos del sistema introduce varias puertas traseras, y exporta los passwords sistema al autor del gusano..

Debido a que existen muy pocos virus, es muy rato que los sitemas Linux tengan un antivirs, especialmente los servidores de redes.

La mejor prevencion es actualizar el sistema con los ultimos parches del sistema.

 
  RedHat 7.0 Security Advisories:
   

http://www.redhat.com/support/errata/rh7-errata-security.html

 
  RedHat 6.2 Security Advisories:
   

http://www.redhat.com/support/errata/rh62-errata-security.html

En caso contrario, en algunas redes algunos webmaster han optado por desconectar la red y borrar el contenido de los servidores.

 
  nombre: TROJ_NAKEDWIFE
Tipo : Cabayo de troya
Carga: Borra archivos dll.ini.exe y .bmp
Archivo adjunto: NakedWife.exe
   

Este virus tiene algo en comun con el reciente virus Ana Kournicova y el gusano Hybris en que usa el sexo para que la gente pique el archivo adjunto.

El virus llega en un correo que se lleva le titulo

 
  FW: Naked Wife
   

Y el cuerpo del mensaje dice:

 
   My wife never look like that :)
   

EL virus viene como un archivo adjunto que tiene el nombe:

 
   NakedWife.exe
   

Al ser activado envia una copia a cada una de las direcciones de la libreta de direcciones de Outlook. Despues activa su carga destructiva y trata de borrar los archivos.

Este es un virus muy sencillo, y normalmente no deberia causar mucho revuelo, pero tal ves por el tema, se ha propagado bastante.

 
  mombre :   W32.Magistr.24876@mm
Tipo  :    virus/gusano
sistemas : Windows95, windows98, windows 2000 y win nt.
carga:     borra archivos, corrompe el bios.
   

Este es un peligroso y sofisticado virus que se esta esparciendo con relativa rapidez.

Su carga es muy destructiva lo que lo hace bastante peligroso.

Este virus tiene capacidad de gusano de email. Tambien se puede esparcir por la red. Puede infectar los archivos PE (Portables ejecutables) con la excepcion de los archivos .DLL.

La carga destructiva consiste en borrar la memoria CMOS, la memoria Flash BIOS, corrompe uno de cada 25 archivos y borra todos los demas.

EL virus generalmente llega en un correo con un nombre que genera al azar, y que puede tener hasta 60 caracteres de largo.

Envia varios archivos, un archivo ejecutable adjunto, con un nombre generado al azar y varios archivos de texto, o documentos que toma del sistema.

Una ves que el usuario activa el archivo adjunto, busca un espacio en la memoria de Explorer.exe e inserta una rutina de 110 bytes ahi y en la rutina TranslateMessage.

Una ves que el codigo del virus a tomado el control espera 3 miutos antes de activarse.

Busca el nombre de la computadora, lo convierte y lo utiliza para crear un archivo dentro del directorio de windows. Ahi lleva un registro delo correo del usuario y la informacion de donde conseguir direcciones de correo.

El virus busca las direcciones de correo que se encuentre en los correos que existan en el sistema, ya sea Outlook, Exchange, Internet Mail, News y Netscape Mail.

Si el virus detecta que existe una coneccion a la red (internet), entonces busca hasta 5 archivos .doc o punto txt y escoge un numero aleatorio de palabras de esos archivos. Estas palabas son usadas para contruir el nombre del correo y el cuerpo.

Despues busca lagun programa que mida amenos de 128 kb, y lo infecta para utilizarlo para enviarlo en el correo.

Despues realiza una serie de acciones que sno al azar.

Si el virus a enviado mas de 100 correos y a pasado mas de un mes de la infeccion, entonces el virus busca en el sistema y si encuentra al menos 3 ocurrencias de la siguiente lista:

 
     sentences you
    sentences him to
    sentence you to
    ordered to prison
    convict
    , judge
    circuit judge
    trial judge
    found guilty
    find him guilty
    affirmed
    judgment of conviction
    verdict
    guilty plea
    trial court
    trial chamber
    sufficiency of proof
    sufficiency of the evidence
    proceedings
    against the accused
    habeas corpus
    jugement
    condamn
    trouvons coupable
    a rembourse
    sous astreinte
    aux entiers depens
    aux depens
    ayant delibere
    le present arret
    vu l'arret
    conformement a la loi
    execution provisoire
    rdonn
    audience publique
    a fait constater
    cadre de la procedure
    magistrad
    apelante
    recurso de apelaci
    pena de arresto
    y condeno
    mando y firmo
    calidad de denunciante
    costas procesales
    diligencias previas
    antecedentes de hecho
    hechos probados
    sentencia
    comparecer
    juzgando
    dictando la presente
    los autos
    en autos
    denuncia presentada
   

Si esto ocurre, el virus ejecuta su carga principal

• . Borra el archivo infectado.
• . Borra el CMOS (Win9x) (es la configuracion de arranque del sistema)
• . Borra el Flash BIOS (esto impide que la computadora vuelva a arrancar hasta que sea reemplazada o reescrita.

Corrompe uno de cada 25 archivos escibiendoles la frase

 
  YOARESHITE
   

Borra todos los demas archivos Despliega un mensaje Sobrescribe un sector del disco duro, con lo que puede corromperlo.

Si lo anterior no ocurrio y la infecció lleva mas de 2 meses, ejecuta una rutina que reposiciona los iconos del sistema, de manera que parece que estos "huyen" del puntero del raton.

Si la infeccion lleva mas de 3 meses se borra el archivo infectado.

Este es como se ve, un virus muy complejo, ademas usa tecnicas polimorficas para tratar de esconderse de los progamas antivirus.

Debido a la gran cantidad de correos que he recibido denunciando este sitio, decidi incluirlo en la lista de engaños.

Un grupo de estudiantes del MIT crearon una elaborada broma, con un sitio de internet donde hablan de como criar gatos "bonsai" dentro de botellas para que adquieran una apariencia "rectilinear".

Originalmente el sitio se encontraba alojado en una computadora en uno de los dormitorios de estudiantes, pero la fuerte reaccion que provoco entre las sociedades protectoras de animales, los estimulo a llevar el sitio a un servidor comercial en www.rotten.com y a darle su propia direccion URL:

http://www.bonsakitten.com

( advertencia, el sitio Rotten, contiene imagenes bastante fuertes, que ni siquiera los periodicos de nota roja publican y en eso basa su contenido. )

Movidos por las protestas, el FBI realizo una investigacion y comprobo que solo es una elaborada broma, por lo que los amantes de los animales pueden descansar tranquilos.

Los creadores del sitio distrutan del "correo de odio" que reciben ,por lo que la mejor opciones ignorarlos. Si reciben un correo cadena pidiendo denunciar el sitio, pueden responder a quien lo envio, que solo es una broma, y no continuen la cadena pues esto solo atrae mas publicidad al sitio.