Seguridad | -=[EdadFutura]=- v.6.0 - [beta]

Category: Seguridad

Como saber si tu ordenador es un ZOMBIE

29 Agosto, 2008 (13:04) | Seguridad | By: viperEF

El conocido laboratorio Kaskersky Lab ha publicado (en ingles) un articulo para saber si nuestros ordenadores pertenecen a la red Zombie de mas de 1.000.000 ordenadores que estan infectados sin saberlo, siguiendo el manual podemos desinfectar nuestro sistema:

Artículo Español

Artículo Ingles

Instrucciones para la localización y eliminación de software malintencionado de Sombra bot.

Instructions prepared by: Vitaly Kamluk, Kaspersky Lab Instrucciones preparado por: Vitaly Kamluk, Kaspersky Lab
Date: 06.08.2008 Fecha: 06.08.2008
MD5 of analyzed sample: 9e2ef49e84bc16c95b8fe21f4c0fe41e MD5 de la muestra analizada: 9e2ef49e84bc16c95b8fe21f4c0fe41e

Locating malware (with security software) Acceso a los programas maliciosos (con software de seguridad)

Kaspersky Anti-Virus has been able to detect malware which supports the Shadow botnet since 30th of January 2008. Kaspersky Anti-Virus ha sido capaz de detectar malware que apoya la Sombra botnet desde el 30 de enero de 2008. Detection names may vary from version to version. Detección de nombres pueden variar de versión a versión. The malware is detected under the following names: El programa malicioso se detecta con los siguientes nombres:

Backdoor.Win32.IRCBot.bit
Backdoor.Win32.IRCBot.biy
Backdoor.Win32.IRCBot.bjd
Backdoor.Win32.IRCBot.bjh
Backdoor.Win32.IRCBot.cja
Backdoor.Win32.IRCBot.cjj
Backdoor.Win32.IRCBot.ckq
Backdoor.Win32.IRCBot.cow
Backdoor.Win32.IRCBot.czt
Backdoor.Win32.IRCBot.ekz
Rootkit.Win32.Agent.aet
Trojan-Downloader.Win32.Injecter.pj
Trojan.Win32.DNSChanger.azo
Trojan.Win32.DNSChanger.bao
Trojan.Win32.DNSChanger.bck
Trojan.Win32.DNSChanger.bfo
Trojan.Win32.DNSChanger.bjh
Trojan.Win32.DNSChanger.bji
Trojan.Win32.DNSChanger.bjj
Trojan.Win32.DNSChanger.bmj
Trojan.Win32.DNSChanger.bnw
Trojan.Win32.DNSChanger.bqk
Trojan.Win32.DNSChanger.bsm
Trojan.Win32.DNSChanger.buu
Trojan.Win32.DNSChanger.bwi
Trojan.Win32.DNSChanger.bxd
Trojan.Win32.DNSChanger.bxe
Trojan.Win32.DNSChanger.bxv
Trojan.Win32.DNSChanger.cap
Trojan.Win32.DNSChanger.ccg
Trojan.Win32.DNSChanger.cei
Trojan.Win32.DNSChanger.cem
Trojan.Win32.DNSChanger.eag
Trojan.Win32.DNSChanger.gvb
Trojan.Win32.Restarter.e
Trojan.Win32.Restarter.f
Trojan.Win32.Restarter.g
Trojan.Win32.Restarter.h

The current sample was detected on 6th August 2008 as Trojan.Win32.DNSChanger.gvb La actual muestra se detectó el 6 de Agosto 2008 como Trojan.Win32.DNSChanger.gvb

Locating malware (manually) Acceso a los programas maliciosos (manualmente)

As the bot doesn’t copy its body to the system, the name of the malicious file can vary. A medida que el robot no copiar su cuerpo al sistema, el nombre del archivo malicioso puede variar. The name of the malicious file depends on the installer used to infect the system with the bot. El nombre del fichero dañino depende de que el instalador utilizado para infectar el sistema con el bot. However, it is possible to detect the presence of the bot by checking the system registry. Sin embargo, es posible detectar la presencia del bot de control el registro del sistema.

Users can check the system registry by running regedit.exe and checking the following registry value: Los usuarios pueden comprobar el registro del sistema ejecutando regedit.exe y comprobar la siguiente valor del registro:

HKEY_CLASSES_ROOT\.htc\Content Type HKEY_CLASSES_ROOT \. HTC \ Tipo de Contenido

System administrators of large networks can do this remotely using the reg.exe command as shown below: Los administradores de sistemas de grandes redes puede hacer esto forma remota utilizando el comando reg.exe como se indica a continuación:

The default system registry value (checked on Windows XP Pro SP2) for HKEY_CLASSES_ROOT\.htc\Content Type is “text/x-component”. El sistema por defecto el valor de registro (comprobado en Windows XP Pro SP2) para HKEY_CLASSES_ROOT \. HTC \ tipo de contenido es “text / x-componente”. If there is a different value such as “{space}” in the registry, this may mean the machine is infected with Shadow bot malware. Si hay un valor diferente, como “espacio ()” en el registro, esto puede significar que la máquina está infectada con malware Shadow bot.

Comparte:

Comments: -

Denegación de servicio en Adobe Flash Player

24 Agosto, 2008 (09:17) | Seguridad | By: viperEF

Se ha encontrado una vulnerabilidad en Adobe Flash Player que podría ser aprovechada por un atacante remoto para causar una denegación de servicio.

Un usuario remoto podría crear un archivo SWF especialmente manipulado, que una vez visto por el usuario hiciera uso de la función ’setClipboard’ para pegar repetidamente texto arbitrario desde el portapapeles, causando así un mal funcionamiento. Además esto podría causar que un usuario visitase por error un sitio web potencialmente peligroso si se intenta copiar y pegar una URL en la barra de direcciones.

Para que el portapapeles vuelva a funcionar de forma correcta es necesario cerrar el navegador. En la actualidad se ha detectado que esta vulnerabilidad se está explotando de forma activa.

Más información:

Adobe Flash Player setClipboard() Function Lets Remote Users Deny Service http://securitytracker.com/alerts/2008/Aug/1020724.html

Laboratorio Hispasec

Comparte:

Comments: -

La versión 4.4.9 de PHP solventa múltiples vulnerabilidades

14 Agosto, 2008 (01:12) | Programación, Seguridad | By: viperEF

Han sido descubiertas varias vulnerabilidades en PHP 4.4.x que podrían permitir a un atacante remoto acceder a información sensible, causar una denegación de servicio o comprometer un sistema vulnerable.

PHP es un lenguaje interpretado de propósito general ampliamente usado, que está diseñado para desarrollo web y puede ser embebido dentro de código HTML. PHP está orientado a la creación de páginas web dinámicas, ejecutándose en un servidor web (server-side scripting), de forma que primero se toma el código en PHP como entrada y se devuelven las páginas web como salida.

A continuación se detallan los problemas de seguridad corregidos en la última versión:

La primera vulnerabilidad consiste en múltiples errores en la librería PCRE (Perl Compatible Regular Expressions) que podrían ser aprovechados para acceder a información sensible, causar una denegación de servicio o comprometer un sistema vulnerable.
La segunda vulnerabilidad está causada por un error no especificado en la función “imageloadfont”. Un atacante remoto podría provocar que el sistema dejase de responder mediante el uso de una fuente no válida.
La tercera vulnerabilidad consiste en un error no especificado en la extensión “curl” relacionado con el manejo de la función “open_basedir”.
La última vulnerabilidad está causada por un fallo de desbordamiento en la función “memnstr” que podría ser aprovechado por un atacante para ejecutar código arbitrario.

Las vulnerabilidades están confirmadas para la versión 4.4.8 y todas las anteriores.

Se recomienda actualizar a la versión 4.4.9 o superior, disponible

desde:

http://www.php.net/downloads.php

Más información

PHP 4 ChangeLog version 4.4.9

http://www.php.net/ChangeLog-4.php#4.4.9

Pablo Molina

Comparte:

Comments: -

Detalles sobre la macroactualización de seguridad para Apple Mac OS X

7 Agosto, 2008 (01:26) | Seguridad, Sistemas Operativos | By: viperEF

Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo OS X que solventa un total de 17 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto para falsificar la resolución de dominios, revelar información sensible, saltarse restricciones de seguridad, causar denegaciones de servicio o ejecutar código arbitrario en un sistema vulnerable.

Dentro del paquete Security Update 2008-005 se incluyen parches para los siguientes componentes: Open Scripting Architecture, CarbonCore, CoreGraphics, Data Detectors Engine, Disk Utility, OpenLDAP, OpenSSL, PHP, QuickLook, Rsync y también para la vulnerabilidad de falsificación de DNS en BIND.

Comparte:

Comments: -

Nuevos contenidos en la Red Temática CriptoRed (julio de 2008)

6 Agosto, 2008 (07:09) | Seguridad | By: viperEF

Breve resumen de las novedades producidas durante el mes de julio de

2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED Y LA CÁTEDRA UPM APPLUS+

* ¿ISO 20000 o ISO 27000? (Alejandro Corletti, artículo pdf, 3 páginas,

España)

http://www.criptored.upm.es/guiateoria/gt_m292o.htm

* Métricas de Seguridad, Indicadores y Cuadro de Mando (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292p.htm

* ISO–27001 ¿y las AA.PP.? (Alejandro Corletti, artículo pdf, 3 páginas,

España)

http://www.criptored.upm.es/guiateoria/gt_m292q.htm

* UNE–ISO/IEC 27001:2005 y LOPD (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292r.htm

* ISO/IEC 27001:2005 y LOPD II (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292s.htm

* Vídeo Seminario CAPSDESI Mayores y Acceso Seguro a la Sociedad de la Información (Cátedra UPM Applus+, 250 minutos, España) http://www.criptored.upm.es/paginas/docencia.htm#catedraSEMASSI

* 321 documentos para su libre descarga http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Junio de 2008

(España)

http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200806.pdf

* Métricas de Inseguridad de la Información (Jeimy Cano, Colombia)

http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450009875&random=9025

* Errores, Fallas y Vulnerabilidades: Reflexiones sobre la Inseguridad en las Aplicaciones (Jeimy Cano, Colombia)

http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450011111&random=9352

Comparte: