La caché de IE no sirve!!

Si has tenido el gusano debes FORMATEAR. Lo siento.

Te dejo, estos comentarios de vsantivirus (por si no te fias de mi), y al final una pagina en donde tengo publicado un articulo sobre el tema.
http://www.vsantivirus.com/lovsan-a.htm

"IMPORTANTE
Si usted utiliza su PC, o pertenece a una organización que por su naturaleza
exige ser totalmente segura, se recomienda borrar todo el contenido del
disco duro, reinstalar de cero el sistema operativo, y recuperar sus
archivos importantes de copias de respaldo anteriores.

También instale los parches mencionados más adelante.

Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que
tenga acceso desde su computadora.

En el caso de una empresa con redes corporativas, contacte con su
administrador para tomar las acciones necesarias a fin de cambiar todas las
claves de acceso, así como reinstalar Windows en todas las computadoras.

Esta es la única manera segura de no comprometer su seguridad ante los
posibles cambios realizados por el gusano


Documentacion mia sobre el tema en:

http://www.multingles.net/docs/rpc.htm


Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.





"Saúl" wrote in message news:08f001c36327$6d12f860$
Cada vez que me conectó a Internet, normalmente todo lo
que contenía una página Web se almacenaba en la Carpeta de
Archivos Temporales de Internet. Ya la configuré en
Propiedades para darle un buen tamaño en Megabytes, pero
lo único que me almacena son sólamente "cookies". Creo que
se desactivó por lo del gusano Blaster. ¿Hay alguna forma
de reactivarla?

Mirá en los mensajes de este grupo, hay como 500 que recomiendan formatear
si tuviste el virus blaster...no hay otro remedio.

Te pego aquí los links para que te informes y la info. cortesia de Jmt.

Suerte

Diego Desrets

VULNERABILIDAD Y EXPLOTACION DEL RPC

HISTORIA

Un agujero de seguridad en el RCP ("Remote Procedure Call", o llamada a
procedimiento remoto), fue detectado y corregido por Microsoft el día 16 de
julio de 2003:

http://www.microsoft.com/security/s...03-026.asp

Están afectados todos los sistemas de núcleo NT (W2000, XP, W2003).
La actualización crítica fue puesta a disposición de los usuarios a través
de Windows Update y del sistema de actualizaciones automáticas.

Pocos días más tarde, apareció publicado en páginas dedicadas al hacking,
como por ejemplo http://cyruxnet.com.ar/rpcxploit2.htm#windows, un exploit
(programa malicioso para usar o explotar una vulnerabilidad) llamado DCOM el
cual era capaz de provocar un desbordamiento de buffer en una máquina remota
al objeto de tomar control de ella.

El método, con el exploit anterior, es de lo más sencillo:

dcom 1 direccion_IP
telnet direccion_ip 4444

Mediante los dos comandos anteriores, cualquier malintencionado tomará
control de nuestra máquina con los privilegios de Local System, es decir con
el máximo nivel de privilegios existente.

A partir de ese momento, podrá hacer en nuestra máquina lo que desee.

Simultáneamente, el día 11 de Agosto aparece un gusano (worm) que explota
también dicha vulnerabilidad. Este gusano, "W32.blaster", en sí, no es
peligroso comparado con la potencialidad del peligro de acceso manual
descrito anteriormente.


PELIGROS REALES


El peligro real, es que cualquiera, en cualquier momento, ha tomado control
de nuestra máquina. Desde ese momento, nuestra máquina deja de ser nuestra:
puede ser usada con cualquier fin que el atacante desee.
Es conocido desde hace años PC's conquistados y que sin que sus propietarios
se aperciban de nada, son reutilizados para redistribución de pornografía,
para envíos de correos másivos (spam), o bien pasan a engrosar las listas de
PC's zombies, las cuales se venden por internet, para realizar
ataques a servidores de la red cuando son despertados por el atacante. Se
usan para ataques de denegación de servicio a servidores de empresas,
corporaciones, organismos o bien con fines terroristas a grandes servidores
de Internet.


SINTOMATOLOGIA

En el momento actual, cualquier máquina que no haya aplicado en su día el
parche de Microsoft ms03-026 o que no haya tenido activado siempre un
cortafuegos, habrá sido atacada: bien manualmente por un atacante malicioso
(cualquier niño es capaz de usar dicha vulnerabilidad con el exploit), o
bien por el gusano w32.blaster -o alguna de sus variantes- los cuales se
reproducen exponencialmente. Su grado de difusión es muy elevado.

Los síntomas son:

1) Windows nos informa de un error en el sistema RPC.
2) A continuación aparece una ventana que nos comunica un error grave del
sistema y que procederá a reiniciarse el sistema a los 50 segundos,
empezando una cuenta de tiempo regresiva hasta 0.

NOTA: Aparece además un error del RPC en rojo en el visor de sucesos de
Windows.

Por cada vez que veamos esos mensajes, o aparezca el error en el visor de
sucesos, nuestra máquina ha sido accedida y conquistada de nuevo con éxito.

Dichos síntomas son debidos a un error del propio exploit, o del propio
gusano. Si no cometiese dicho error, tampoco nos daríamos cuenta de que
hemos sido atacados. Es importante esta nota, ya que probablemente salgan
versiones más refinadas del exploit que sean capaces de operar sin que el
usuario perciba nada.


ANÁLISIS DE LAS SOLUCIONES

A la vista de lo anterior, no existe una solución, ni puede existir si
nuestra máquina ha sido conquistada:

* En el mejor de los casos, únicamente habremos sido atacados por el gusano.
Es trivial deducir, que en este caso, cualquier antivirus actualizado a
fecha posterior al 12 de Agosto del 2003, será capaz de eliminarlo.

* Nadie puede garantizarnos, que si hemos sido atacados con éxito una vez al
menos por el gusano, no hayamos sido atacados en algún otro momento por
alguna persona maliciosa. En este caso hemos perdido ya el control de
nuestro PC.

La única alternativa fiable es el formateo de la máquina previa copia de
seguridad de los datos, y nueva instalación del sistema operativo.

En la actualidad, las páginas de antivirus dan dos alternativas:

* Explican el funcionamiento y la eliminación del gusano.
* Contradictoriamente, informan con el título de IMPORTANTE, que las
empresas y corporaciones deberán formatear las máquinas afectadas.

Este último punto, el cual está de acuerdo con el análisis previo que he
realizado, me parece contradictorio por parte de las casas de antivirus al
diferenciar los PC's de uso doméstico de los PC's empresariales. Entiendo,
que si un PC empresarial debe formatearse, el mismo consejo debe darse a un
PC doméstico, máxime cuando en un PC doméstico podemos tener información de
la cual no tengamos copia de seguridad, e información personal "sensible". A
nivel empresarial, las copias de seguridad existen, y entiendo que el grado
de confidencialidad es tan importante como el grado de confidencialidad de
la información de nuestros PC's domésticos.


MÁQUINAS POTENCIALMENTE AFECTADAS


* Sistemas de núcleo NT, W2000, XP o W2003.

* Todas aquellas que estaban o han estado algún momento sin cortafuegos
activado, inclusive "durante" la instalación del sistema operativo si
teníamos
conectado el cable de red a la conexión a Internet.

* Y que no hayan aplicado el parche MS03-26 de Windows Update o del avisador
de actualizaciones críticas.

El firewall incorporado en XP / W2003 protege correctamente y no son
conocidas vulnerabilidades de él en dos años que lleva XP en el mercado. Del
resto de firewalls de terceros, son conocidas, y existen exploits, decenas
de vulnerabilidades. Hoy mismo han sido publicados en foros de hacking
nuevas vulnerabilidades del Zone Alarm, y durante los últimos meses han sido
publicadas varias del firewall de Sygate.

Igualmente, debemos recordar, que existen informaciones contradictorias de
la posible protección que nos puede ofrecer un router ADSL en multipuesto.
Erróneamente se cree que al estar en multipuesto, y por tanto al existir una
traducción de direcciones en el router, estaremos protegidos ya que actuará
de cortafuegos. Esta creencia es errónea por los siguientes motivos:

1) Un router ADSL no actúa de cortafuegos. Únicamente tiene filtros o bien
traslación de direcciones. No es comparable a la seguridad de un firewall.

2) La mayoría de los routers ADSL tienen definido un "default workstation",
por lo cual, al menos una de las máquinas de nuestra red será totalmente
alcanzable desde internet. Si una lo es, a partir de ella lo serán todas.

3) Existen exploits que son capaces de usar vulnerabilidades del firmware de
los routers ADSL, por lo cual cualquier atacante malintencionado podrá
usar dichos exploits para penetrar en nuestra red local.


CONCLUSIONES


A la vista de lo anterior, podemos sacar las siguientes conclusiones:

* En principio los potencialmente afectados deberían formatear e instalar en
limpio el sistema operativo.

Esto puede tener una sola excepción:
A día de hoy (13 de Agosto de 2003), no se conoce un exploit que no provoque
indirectamente los mensajes de error citados en la parte de SINTOMATOLOGIA.
Probablemente en poco tiempo existirán variantes del exploit que operen
totalmente ocultas al usuario, por lo que no podemos
deducir que si no ha habido un reinicio de nuestra máquina no hayamos sido
conquistados.


CONSEJOS DE INSTALACION

* Instalar siempre con la conexión a Internet desconectada. Es decir, en las
máquinas con acceso directo a Internet (router ADSL, cable, etc). el
cable de red a Internet debe estar desconectado ya que durante la
instalación y posterior primer inicio del sistema, son todavía vulnerables
al no estar activado el cortafuegos.

* Antes de conectar los cables a Internet, o bien en el momento de
configurar la conexión telefónica, comprobar que el cortafuegos de XP /
W2003 esté activo (botón derecho sobre la conexión de red, propiedades,
pestaña de avanzado, y verificar que el casillero de "proteger mi conexión"
esté activado). En el resto de máquinas, instalar previamente un cortafuegos
de terceros (ultimás versiones).

* Inmediatamente, aplicar todos los parches de seguridad o parches críticos
de WindowsUpdate. Si existen SP (Service Packs) a los sistemas operativos,
estos deben ser lo primeros en aplicarse.


NOTA FINAL
-

Independiente de las vulnerabilidades, las cuales, y no sirve como disculpa
a Microsoft o a Linux, son inherentes a cualquier sistema operativo pasado,
presente o futuro debemos fijarnos igualmente en los errores que "nosotros"
como usuarios cometemos.

Vamos a ceñirnos en este caso al sistema de más difusión a nivel doméstico:
Windows XP.

* Windows XP viene configurado por defecto con el cortafuegos activo. En el
momento que usamos cualquier asistente y nos pregunta por la conexión a
Internet, activará el cortafuegos en dicha interface de red o conexión
telefónica (existen salvedades a esto en máquinas 'multihomed' con múltiples
interfaces de red, pero no es el caso de un usuario doméstico).

* Windows XP tiene el mecanismo de actualizaciones automáticas.

Por tanto, repasemos los errores que como usuarios hemos cometido en caso de
ser vulnerables:

1) Desactivar el cortafuegos. Esto es muy corriente en aquellos
inconscientes (no hay otra definición), que debido a que el uso de un
cortafuegos impide ciertas comunicaciones servidoras (lo más normal es el
envio de archivos a través de Messenger, por ejemplo), en vez de configurar
dicho firewall correctamente para permitir el uso de esas aplicaciones
simplemente lo desactivan.

2) No hacer caso a las actualizaciones automáticas.

3) No pasar nunca por las páginas de mantenimiento de Windows Update.


Y recordemos, que la informática es, y cada vez más, igual que la industria
real: si no pasamos una revisión de nuestro automóvil perdemos la garantía.
Si no respetamos las normás de trafico, y sobre todo de "sentido común"
ocurren accidentes.

En informática es similar. No solo debemos dejar activos los mecanismos que
el fabricante del sistema ha ideado para la protección y la seguridad sino
que debemos igualmente ser responsables del mantenimiento de nuestro
sistema.

No sirve para nada tener un antivirus, por ejemplo, -y aunque no venga al
hilo del presente artículo-, si no usamos siempre el "sentido común". Los
virus son nuevos cada día, mucho de ellos son mutaciones de versiones
anteriores. Hasta que un virus no alcanza una propagación fuera del ámbito
local, las casas de antivirus no proceden a preparar una vacuna. Por tanto,
y aunque se use antivirus, siempre estaremos desprotegidos contra los nuevos
virus.

Sólo existe una alternativa: "sentido común".





Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

"Saúl" escribió en el mensaje
news:08f001c36327$6d12f860$
Cada vez que me conectó a Internet, normalmente todo lo
que contenía una página Web se almacenaba en la Carpeta de
Archivos Temporales de Internet. Ya la configuré en
Propiedades para darle un buen tamaño en Megabytes, pero
lo único que me almacena son sólamente "cookies". Creo que
se desactivó por lo del gusano Blaster. ¿Hay alguna forma
de reactivarla?