paralax multimedia

menu principal


¿deseas enviar esta pagina a un amigo?


boletin antivirus paralax multimedia  

Boletín Paralax 48b

Miercoles, 19 de Septiembre de 2001

E D I T O R I A L

Actualizacion del boletin 48
W32.Nimda.A@mm

Las compañias antivirus ya publicaron un analisis mas completo del nuevo gusano. Entre las caracteristicas importantes es que utiliza una falla en Outlook que permite que el gusano se ejecute con solo leer el correo en Outlook.

Algunos virus como Bubble Boy ya habian sido capaces de hacer eesto, a traves de del Windows Scripting Host, pero Nimda utiliza una nueva falla en los que se conoce como MIME para hacer esto, por lo que es mas eficiente.

Para corregir esta falla hay que parchar Outlook lo mas pronto que pueda, para esto hay que buscar el parche en:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

o Aplicar el Service pack 2 de explorer:

http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp

El problema es una falla dentro de explorer 5.0 en adelante, pero Outlook utiliza Explorer para poder ver los correos HTML.

Ademas recomiendo tomar las siguiente precauciones.

  1. Actualicen sus definiciones de antivirus. Pidan a su antivirus que se conecte a Internet y se actualice. (hay que hacerlo hoy y mañana, pues el analisis del virus aun no esta completo, y es posible que cambie algun detalle)

  2. Desinstale el Windows Scripting Host. Esta es una "mejora" que se le hizo a Windows 98, pero que hasta ahora solo los autores de virus han usado. Sin no sabe que es, lo mejor es desinstalarlo. Vaya a "Panel de Control ", pique el icono de "instalar y desinstalar programas". Al abrir la ventana del programa, seleccione la pestaña de "instalación de Windows". Ahora en la ventana, busque "accesorios", que probablemente tenga una palomita, selecciónelo y abajo pique donde el botón que dice "detalles". Ahora con la barra de desplazamiento busque donde dice "Windows Scripting Host" y quite la palomita que tiene. Pique ahora el botón de aceptar, y luego el botón de aplicar. Windows procederá a desinstalarlo. Cuando termine oprima el botón de aceptar. Esto lo protegerá ve muchos de los virus actuales.

  3. En lo que logra actualizar su antivirus, no pique ningún archivo adjunto que no conozca, y trate cualquier correo no solicitado como sospechoso. Además si una pagina de Internet le solicita bajar un archivo que usted no ha solicitado, cancele la acción.

  4. Si su maquina esta en red, y tiene compartido el disco C:/ debe protegerlo con password. Esto es muy importante pues todas las maquina en una red pueden infectarse.

Javier Delgado

CONTENIDO

  1. W32.Nimda.A@mm

i. W32.Nimda.A@mm
Descripción: 
        W32.Nimda.A@mm
        nombre: W32.Nimda.A@mm
        descubierto : Septiembre 18, 2001
        Tipo: Gusano
        Tamaño : 57344
        Nombre del archivo: readme.exe 
       (nota: este archivo no es visible desde el correo)
        daño: degrada el funcionamiento de la computadora,
  es un riesgo de seguridad, pues deja expuestos las carpetas 
  compartidas de la computadora. Infecta los servidores de internet 
  de microsoft y modifica las paginas. 
  Modifica archivos del sistema, con una copia del gusano.

Prevencion:

Este gusano utiliza dos fallas dentro de los programas de Microsoft, en el caso de Outlook, utiliza una falla en las definicion MIME, que permite que un codigo dentro del correo pueda ser ejecutado con solo leerlo, o verlo en vista previa. El problema es en realidad una falla dentro de explorer 5.0 en adelante, pero Outlook utiliza Explorer para poder ver los correos HTML.

La informacion sobre esta falla y el parche esta en :

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

otra forma de corregirlo, es aplicar el service pack de Explorer 5:

http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp

Si ademas tiene instalado un servidor de paginas WEB IIS, ya sea para internet o intranet, El gusano utiliza lo que se conoce como la falla de "Unicode Web Traversal". Esta falla consiste en que es posible escribir una direccion enel servidor, que permite navegar y entrar de manera arbitraria dentro de los folders locales del servidor y accesarlos. El parche se encuentra en:

http://www.microsoft.com/technet/security/bulletin/ms00-078.asp

nota: el servidor es suceptible si:
No tiene los utlimos parches, utiliza el IIS 4 o 5, y si los archivos html se encuentran en la misma unidad de disco que los archivos de sistema.

Los usuarios que visiten un servidor de paginas web que este infectado, veran que el sistema presenta una solicitud de bajar un archivo de correo .eml (de Outlook express), que contiene el gusano.

Finalmente el gusano abrira las carpetas compartidas, a fin de que cualquiera pueda tener acceso a ellas

Para mayores detalles pueden buscar el sitio de Symantec en:

http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

Eliminación:

EL virus no infecta archivos, sino que los substituye con una copia de si mismo. El proceso de eliminacion consiste en localizar los archivos que se han substituido, borrarlos y restaurarlos. Esto probablemente requiera la reinstalacion de window. Espero poder mas detalles en cuanto se investigue mas al virus.

 

 

registro que genero el gusano.

 

por Javier Delgado, Paralax Multimedia

Menu antivirus| Menu paralax multimedia | Directorio de empresas | Juegos | Interactivos
| Títere virtual | Robot | Servicios de Internet | Estereoscopia| |


Calzada de las Armas#16 , Naucalpan de Juarez, Edo Mex.
tel/fax (5) 373 3620 | (5) 363 4953

D.R. Paralax Multimedia 1999
Visitas desde junio 2001