OT - Importate BUG de seguridad

Por si os sirve de ayuda. Del Centro de Alerta Temprana de virus.

Mapa del Sitio | RSS


Windows.WMF (Peligrosidad: 3 - Media)

Se trata de un exploit activo, que permite la ejecución de código
malicioso por el simple hecho de visualizar un archivo con extensión WMF, y
está siendo utilizado para distribuir troyanos.

Dicho código de explotación aprovecha un problema de
Windows XP y 2003 concretamente, en el componente "Visor de imágenes y fax
de Windows" (shimgvw.dll) a la hora de tratar metaarchivos de Windows (WMF)
para ejecutar código arbitrario.

El mayor peligro es que no hay que hacer clic en ningún
archivo para que se ejecute ya que puede iniciar su ejecución de las
siguientes maneras:

- Desde una carpeta de Windows con vista previa activa.
- Simplemente por visualizar una página web vía Internet.
- Por abrir un correo electrónico que contenga el fichero.

Solución
Aconsejamos precaución extrema a la hora de abrir
adjuntos, páginas de Internet o carpetas compartidas por programas P2P que
contengan archivos .WMF.
Para usuarios con más conocimientos desregistrar
temporalmente el componente "Visor de imágenes y fax de Windows"
(shimgvw.dll). Una vez desregistrado el componente no se inicializara cuando
el usuario haga clic en un enlace o tipo de imagen asociada con el "Visor de
imágenes y fax de Windows".

Procedimiento: Vaya a Inicio-->Ejecutar-->Teclee cmd,
pulse 'Aceptar'. Aparecera una ventana en modo texto (shell de windows)
donde deberá teclear "regsvr32 -u %windir%\system32\shimgvw.dll" (sin las
comillas) y tras ello pulse 'Enter'.

Nota: Donde pone %windir% tendrá que poner la ruta de su
carpeta de windows. Por defecto para windows XP sería C:\WINDOWS.

Un cuadro de dialogo aparecera para confirmar el proceso
se ha realizado correctamente. Pulse 'Aceptar' para cerrarlo.

Para restaurar el cambio una vez solucionada la
vulnerabilidad vuelva a registrar el componente. Para ello siga el
procedimiento que utilizo para desregistralo pero eliminando la cadena de
texto "-u". Es decir, tecleando "regsvr32 %windir%\system32\shimgvw.dll"
(sin las comillas) en el shell de windows.

Si algún código malicioso (virus, troyano...) ha utilizado
el exploit para infectar su sistema siga los siguientes pasos:

1.. Si utiliza Windows Me o XP, y sabe cuándo se produjo
la infección, puede usar la característica de Restauración del Sistema para
eliminar el virus volviendo a un punto de restauración anterior a la
infección. (Tenga en cuenta que se desharán los cambios de configuración de
Windows y se eliminarán todos los archivos ejecutables que haya creado o
descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable
desactivar temporalmente la Restauración del Sistema antes de eliminar el
virus por otros medios, ya que podría haberse creado una copia de seguridad
del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en
Windows Me y desactivar la Restauración del Sistema en Windows XP.


2.. Con un antivirus actualizado, localice todas las
copias del virus en el disco duro de su PC. Si no dispone de antivirus,
visite nuestra página de Antivirus gratuitos. Repare o borre el fichero
infectado.
Si el antivirus no puede reparar la infección o borrar
los ficheros, puede ser debido a que el fichero está en uso por estar el
virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede
reparar un fichero' en el caso de gusanos o troyanos debido a que no hay
nada que reparar, simplemente hay que borrar el fichero.

3.. En el caso de que no se pueda eliminar el fichero
del virus, debe terminar manualmente el proceso en ejecución del virus. Abra
el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows
98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en
la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar
Proceso'. A continuación vuelva a intentar el borrado o reparación del
fichero.

4.. A continuación hay que editar el registro para
deshacer los cambios realizados por el virus. Si necesita información sobre
cómo editar el registro puede ver esta guía de edición del registro o este
vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al
manipular el registro. Si modifica ciertas claves de manera incorrecta puede
dejar el sistema inutilizable.
Elimine las siguientes entradas del registro:

Restaure las siguientes entradas del registro:


5.. Reinicie su ordenador y explore todo el disco duro
con un antivirus para asegurarse de la eliminación del virus. Si desactivó
la restauración del sistema, recuerde volver a activarla.

Datos Técnicos
Peligrosidad: 3 - Media Difusión: Baja Fecha de
Alta:29-12-2005
Última Actualización:29-12-2005
Daño: Alto
[Explicación de los criterios] Dispersibilidad:
Alto

Nombre completo: Exploit.W32/Windows.WMF
Tipo: [Exploit] - Programa o fichero sospechoso que
contiene código para explotar una vulnerabilidad conocida.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que
corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Bloodhound.Exploit.56 (Symantec), Exploit-WMF
(McAfee), Exploit/Metafile (Panda Software)
Detalles
Explicación

Dicho código de explotación aprovecha un problema de
Windows XP y 2003 concretamente, en el componente "Visor de imágenes y fax
de Windows" (shimgvw.dll) a la hora de tratar metaarchivos de Windows (WMF)
para ejecutar código arbitrario.

Si la víctima utiliza Internet Explorer, puede provocarse
la ejecución automática de código arbitrario al visitar la web maliciosa.
Otros navegadores como Firefox preguntarán sobre si se quiere cargar la
imagen en el componente vulnerable antes mencionado, si se acepta también se
provocara la ejecución del código.

Este código malicioso se está utilizando para distribuir
troyanos como los de la siguiente lista


a.. Trojan-Downloader.Win32.Agent.abs
b.. Trojan-Dropper.Win32.Small.zp,
c.. Trojan.Win32.Small.ga
d.. Trojan.Win32.Small.ev.
e.. TROJ_NASCENE.A
f.. TROJ_NASCENE.B
g.. TROJ_NASCENE.C
h.. TROJ_NASCENE.D
Inicialmente la lista de sistemas vulnerables es la
siguiente:


a.. Microsoft Windows XP Tablet PC Edition SP2
b.. Microsoft Windows XP Tablet PC Edition SP1
c.. Microsoft Windows XP Tablet PC Edition
d.. Microsoft Windows XP Professional SP2
e.. Microsoft Windows XP Professional SP1
f.. Microsoft Windows XP Professional
g.. Microsoft Windows XP Media Center Edition SP2
h.. Microsoft Windows XP Media Center Edition SP1
i.. Microsoft Windows XP Media Center Edition
j.. Microsoft Windows XP Home SP2
k.. Microsoft Windows XP Home SP1
l.. Microsoft Windows XP Home
Las pruebas realizadas hasta el momento con un Windows XP
SP2 con todas las actualizaciones al día, incluido el parche MS05-053 que en
teoría solucionaba el problema de ejecución de código mediante imágenes
WMF/EMF (896424), y que fuera publicado por Microsoft en noviembre pasado
dieron como resultado la infección del sistema. Más tarde se comprobó que el
exploit se basa en una vulnerabilidad totalmente nueva.

Actualmente, Microsoft no ha publicado ningún parche de
seguridad para esta vulnerabilidad. Como medida temporal, desregistre el el
"Visor de Imágenes y Fax de Windows" o al menos evite utilizarlo para abrir
imágenes WMF potencialmente maliciosas.

Más información acerca de este virus en:
a.. McAfee
b.. Symantec
c.. Panda Software







begin 666 empty.png
MB5!.1PT*&@H````-24A$4@````$````!`0,```%2W&9<````!W1)344'T@,4
M%!TLW6*FSP````EP2%ES```+$@``"Q(!TMU^_ ````903%1%________57SU
M; ````)T4DY3_P#EMS!*````"DE$051XVF-H````@@"!VD4(.P````!)14Y$
$KD)@@@``
`
end

begin 666 rr.png
MB5!.1PT*&@H````-24A$4@````,````#" ,```!A]D6-```"B%!,5$4````S
M``!F``"9``#,``#_````,P`S,P!F,P"9,P#,,P#_,P``9@`S9@!F9@"99@#,
M9@#_9@``F0`SF0!FF0"9F0#,F0#_F0``S `SS !FS "9S #,S #_S ``_P`S
M_P!F_P"9_P#,_P#__P```#,S`#-F`#.9`#/,`#/_`#,`,S,S,S-F,S.9,S/,
M,S/_,S,`9C,S9C-F9C.99C/,9C/_9C,`F3,SF3-FF3.9F3/,F3/_F3,`S#,S
MS#-FS#.9S#/,S#/_S#,`_S,S_S-F_S.9_S/,_S/__S,``&8S`&9F`&:9`&;,
M`&;_`&8`,V8S,V9F,V:9,V;,,V;_,V8`9F8S9F9F9F:99F;,9F;_9F8`F68S
MF69FF6:9F6;,F6;_F68`S&8SS&9FS&:9S&;,S&;_S&8`_V8S_V9F_V:9_V;,
M_V;__V8``)DS`)EF`)F9`)G,`)G_`)D`,YDS,YEF,YF9,YG,,YG_,YD`9IDS
M9IEF9IF99IG,9IG_9ID`F9DSF9EFF9F9F9G,F9G_F9D`S)DSS)EFS)F9S)G,
MS)G_S)D`_YDS_YEF_YF9_YG,_YG__YD``,PS`,QF`,R9`,S,`,S_`,P`,\PS
M,\QF,\R9,\S,,\S_,\P`9LPS9LQF9LR99LS,9LS_9LP`F<PSF<QFF<R9F<S,
MF<S_F<P`S,PSS,QFS,R9S,S,S,S_S,P`_\PS_\QF_\R9_\S,_\S__\P``/\S
M`/]F`/^9`/_,`/__`/\`,_\S,_]F,_^9,__,,___,_\`9O\S9O]F9O^99O_,
M9O__9O\`F?\SF?]FF?^9F?_,F?__F?\`S/\SS/]FS/^9S/_,S/__S/\`__\S
M__]F__^9___,_______1]/8W`````6)+1T0`B 4=2 ````EP2%ES```+$@``
M"Q(!TMU^_ ````=T24U%!]()"Q43##N'GM8````.241!5'B<8]#3TV. 8@`)
3P &?%[0.U ````!)14Y$KD)@@@``
`
end

begin 666 bajo.png
MB5!.1PT*&@H````-24A$4@```!0````/" ,```#31A]G```"B%!,5$4````S
M``!F``"9``#,``#_````,P`S,P!F,P"9,P#,,P#_,P``9@`S9@!F9@"99@#,
M9@#_9@``F0`SF0!FF0"9F0#,F0#_F0``S `SS !FS "9S #,S #_S ``_P`S
M_P!F_P"9_P#,_P#__P```#,S`#-F`#.9`#/,`#/_`#,`,S,S,S-F,S.9,S/,
M,S/_,S,`9C,S9C-F9C.99C/,9C/_9C,`F3,SF3-FF3.9F3/,F3/_F3,`S#,S
MS#-FS#.9S#/,S#/_S#,`_S,S_S-F_S.9_S/,_S/__S,``&8S`&9F`&:9`&;,
M`&;_`&8`,V8S,V9F,V:9,V;,,V;_,V8`9F8S9F9F9F:99F;,9F;_9F8`F68S
MF69FF6:9F6;,F6;_F68`S&8SS&9FS&:9S&;,S&;_S&8`_V8S_V9F_V:9_V;,
M_V;__V8``)DS`)EF`)F9`)G,`)G_`)D`,YDS,YEF,YF9,YG,,YG_,YD`9IDS
M9IEF9IF99IG,9IG_9ID`F9DSF9EFF9F9F9G,F9G_F9D`S)DSS)EFS)F9S)G,
MS)G_S)D`_YDS_YEF_YF9_YG,_YG__YD``,PS`,QF`,R9`,S,`,S_`,P`,\PS
M,\QF,\R9,\S,,\S_,\P`9LPS9LQF9LR99LS,9LS_9LP`F<PSF<QFF<R9F<S,
MF<S_F<P`S,PSS,QFS,R9S,S,S,S_S,P`_\PS_\QF_\R9_\S,_\S__\P``/\S
M`/]F`/^9`/_,`/__`/\`,_\S,_]F,_^9,__,,___,_\`9O\S9O]F9O^99O_,
M9O__9O\`F?\SF?]FF?^9F?_,F?__F?\`S/\SS/]FS/^9S/_,S/__S/\`__\S
M__]F__^9___,_______1]/8W````<$E$051XG%V.L1' ( S$&(LT=D.V2/7?
MF/T7R)LFÊHA! >\2T$X7#Z*&Q;'DX6*'R#1LYJ+N;NS[-I-/C3FBN3NBAP
M"4,JK]%?;R6;B5C(9#&%-D)J-S,IXJC-L!23CI(,QIFHFFIJ3OQ_MWW&Y MF
3'W!$49M1_@````!)14Y$KD)@@@``
`
end

begin 666 alto.png
MB5!.1PT*&@H````-24A$4@```#P````/" ,```"/S%Q#```"B%!,5$4````S
M``!F``"9``#,``#_````,P`S,P!F,P"9,P#,,P#_,P``9@`S9@!F9@"99@#,
M9@#_9@``F0`SF0!FF0"9F0#,F0#_F0``S `SS !FS "9S #,S #_S ``_P`S
M_P!F_P"9_P#,_P#__P```#,S`#-F`#.9`#/,`#/_`#,`,S,S,S-F,S.9,S/,
M,S/_,S,`9C,S9C-F9C.99C/,9C/_9C,`F3,SF3-FF3.9F3/,F3/_F3,`S#,S
MS#-FS#.9S#/,S#/_S#,`_S,S_S-F_S.9_S/,_S/__S,``&8S`&9F`&:9`&;,
M`&;_`&8`,V8S,V9F,V:9,V;,,V;_,V8`9F8S9F9F9F:99F;,9F;_9F8`F68S
MF69FF6:9F6;,F6;_F68`S&8SS&9FS&:9S&;,S&;_S&8`_V8S_V9F_V:9_V;,
M_V;__V8``)DS`)EF`)F9`)G,`)G_`)D`,YDS,YEF,YF9,YG,,YG_,YD`9IDS
M9IEF9IF99IG,9IG_9ID`F9DSF9EFF9F9F9G,F9G_F9D`S)DSS)EFS)F9S)G,
MS)G_S)D`_YDS_YEF_YF9_YG,_YG__YD``,PS`,QF`,R9`,S,`,S_`,P`,\PS
M,\QF,\R9,\S,,\S_,\P`9LPS9LQF9LR99LS,9LS_9LP`F<PSF<QFF<R9F<S,
MF<S_F<P`S,PSS,QFS,R9S,S,S,S_S,P`_\PS_\QF_\R9_\S,_\S__\P``/\S
M`/]F`/^9`/_,`/__`/\`,_\S,_]F,_^9,__,,___,_\`9O\S9O]F9O^99O_,
M9O__9O\`F?\SF?]FF?^9F?_,F?__F?\`S/\SS/]FS/^9S/_,S/__S/\`__\S
M__]F__^9___,_______1]/8W```!:DE$051XG'63,6[%(!!$?V&*+,7W,>(&
M%VRD0 &-[Y </\+9'9M1?X2-O5HWLZ,'^WRE5Y2337O>0_Z11_8,\_L
M9D>TDB5C)_/_/2[2EEHM&>KO&FK851H]I'YV3%_D:*%ELD-Q:SV)-
J_$K
M>(;U8>RL6%^D[^+42FVY@!K60<A9J9F)9]';:9WLIQV*2V\)W" />G4$>.0G
M'M2PQ5/H:8B-]%J),&M@>/DZ,Z$YPMP?LFL-0;+MYJ$&MU]O)@K$=;7(W
M8&V'V*VV*N" UL0BCIX99Y.H5Q@[<YMV.GL^\WHIMG0%:J;SYIN>NQ1]KN1(
M6\&9/Z"6GK$19T;.1:OJN+<$64D^]J4U`YNUY\DBL66<=I>X*[H*![?F=:CMO*)G)UF/>MXD,&TJ[:H^L;%.QS)M$9N5;A;6RG;TG'_UYO@#:/&6:3-L96/7
L/^,M,-DGI'*R¦#Q/5D':<T;<BL%^<_U>2__5I%D^H`````245.1*Y"8((`
`
end

Pues lo siento, pero prefiero no probarlo. Es que para eso tengo VMware para
hacer las pruebas.

Franco Figún wrote:

Justamente, probalo sin VMWAREpara que la noticia salga en un diario,
y se ejecute en cada "sistema operativo" windows, es algo
serioprobalo, y me contas.
Saludos

"José Gallardo" escribió en el mensaje
news:

XP SP2 todo actualizado. Sin VMware no lo ejectuto... que para eso está
la máquina virtual.

www.fermu.com



"Franco Figún" escribió en el mensaje
news:

Que caracteristicas tenes en el equipo? Xp, 2003, sp1, sp2, etc?
Lo ejecutaste sin VMWARE?

"José Gallardo" escribió en el mensaje
news:

Con IE.

www.fermu.com



"Franco Figún" escribió en el mensaje
news:%

Con que explorador? Alomejor via vmware no ejecuta el bug, pero te
aseguro que en mi windows 2003, y en otros XP que probamos, con SP
instalados, se congelo sin posibilidad de nada.
Saludos

"José Gallardo" escribió en el mensaje
news:%

Pues yo lo he abierto en un XP con VMware y no me ha congelado
nada...

www.fermu.com



"Franco" escribió en el mensaje
news:

Compañeros, me parece importante pasarles este dato, a mi me pasaron
este link, y lo probe en un windows 2003 con todos los parches y
firewall, y otras cosas, y directamente se congelo todo, NO LO
ABRAN:

http://tinyurl.com/926by

Les envio el articulo de un diario Argetnino que habla sobre este
importante BUG:

Otro error crítico en Windows pone en jaque a los usuarios
(http://www.infobae.com/notas/nota.p...IdxSeccion0797)

El prestigioso Instituto SANS y empresas de seguridad emitieron un
alerta por una vulnerabilidad crítica del sistema operativo. Con un
solo click la PC puede dañarse gravemente. Piden estar alerta por la
falta de soluciones al error, calificado como uno de los peores en
los últimos tiempos. Cómo protegerse SANS Internet Storm Center, el
organismo más confiable en cuanto a seguridad informática mundial,
alertó a los usuarios sobre una vulnerabilidad de rango crítico
detectada en Windows Graphics Rendering Engine. Si bien el nombre
del programa puede parecer complicado, la manera en que la amenaza
informática se
instala en las computadoras es demasiado sencilla y peligrosa ya que
aún no existe un "parche" para arreglar el problema: con un solo
click en la web incorrecta la PC puede quedar infectada y más tarde
inutilizable.

En su informe, SANS publica un enlace a un sitio que aprovecha el
agujero de seguridad. El sitio en cuestión incluye un archivo
Windows Meta File (WMF) que incluso en sistemas Windows XP
actualizados y parchados ejecuta un programa que descarga Winhound,
falsa aplicación antivirus y antispyware.
Por su lado, la empresa de seguridad Panda Software informa que la
vulnerabilidad está presente en casi todas las versiones del sistema
operativo Windows, está calificada como crítica y que aún está por
resolver. La falla está siendo utilizada activamente para infectar
los equipos de los usuarios con todo tipo de códigos maliciosos.

PandaLabs ha localizado archivos que hacen uso de esta
vulnerabilidad mediante un exploit (programa que aprovecha un fallo
o hueco de seguridad), en un gran número de páginas web. Desde esas
páginas se están instalando de forma automática troyanos, spyware y
adware en los equipos de los usuarios que las visitan.

Al encontrarse con el archivo WMF, Internet Explorer inicia
automáticamente la descarga del programa Windows Picture and Fax
Viewer, aplicación para visualización de imágenes y faxes.

Por el momento, la única manera de protegerse parece ser la
utilización de otros navegadores, como Firefox. Los que usen este
browser en vez del Explorer, visualizan inicialmente un cuadro del
diálogo en que se les consulta si desean descargar la imagen en el
programa. Si aceptan, el código maligno obviamente será ejecutado en
sus sistemas.

Descripción
La mencionada vulnerabilidad estriba en el manejo que Windows hace
de los archivos WMF (Windows Meta File), por lo que todas aquellas
aplicaciones que puedan procesar este tipo de archivos se encuentran
afectadas.
Entre ellas pueden mencionarse Internet Explorer, Outlook y Windows
Picture and Fax Viewer. Según explica Luis Corrons: "Se trata de una
de las vulnerabilidades más graves detectadas en los últimos
tiempos. El simple hecho de visitar una página web que contenga un
archivo creado para aprovechar este problema de seguridad, consigue
que un ordenador pueda verse infectado por cualquier tipo de código
malicioso, o sea víctima de un ataque hacker. Debe tenerse en cuenta
que -en este momento- prácticamente todos los sistemas que funcionan
bajo Windows son víctimas potenciales".
Entre los distintos códigos maliciosos que, según los datos de
PandaLabs, se están instalado en los sistemas haciendo uso de esta
vulnerabilidad, se encuentra SpyAxe, un adware que muestra un icono
informando de que el ordenador está infectado, al tiempo que muestra
un mensaje ofreciendo e instalando una herramienta para su
desinfección. Al hacer doble clic sobre dicho mensaje, se muestra
una página web para la descarga gratuita de dicha herramienta. Una
vez instalado y efectuado el análisis del sistema, se informa al
usuario del spyware y adware que ha encontrado. Sin embargo, no lo
eliminará si no se accede de
nuevo a la página web para comprar el producto, indica Panda.
"Esta vulnerabilidad puede ser empleada para instalar cualquier tipo
de código malicioso, no solo troyanos y spyware, sino también
gusanos, bots o virus que puedan causar daños irreparables en los
ordenadores. El código necesario para hacer uso de este problema de
seguridad ha sido publicado en ciertas direcciones de Internet, por
lo que cualquier autor de amenazas puede acceder a él e incorporarlo
en sus nuevas creaciones. Por otra parte, hasta que no se publique
una actualización para resolver el problema, la única defensa
posible es el empleo de soluciones de seguridad que sean capaces de
detectar y
bloquear los exploits que intenten aprovechar esta vulnerabilidad",
añade Corrons.

www.fermu.com

De paso te comento que si pones CON/CON en ejecutar en un Windows 98 (legal,
no legal), aparece la "pantalla de los pifutos", asi que el tema no es
nuevo.

Y trata de crear una variable llamada CON en VB 6, o trata de crear una
carpeta o archivo de nombre CON, y fijate que pasa

"José Gallardo" escribió en el mensaje
news:%

Pues lo siento, pero prefiero no probarlo. Es que para eso tengo VMware
para
hacer las pruebas.

Franco Figún wrote:

Justamente, probalo sin VMWAREpara que la noticia salga en un diario,
y se ejecute en cada "sistema operativo" windows, es algo
serioprobalo, y me contas.
Saludos

"José Gallardo" escribió en el mensaje
news:

XP SP2 todo actualizado. Sin VMware no lo ejectuto... que para eso está
la máquina virtual.

www.fermu.com



"Franco Figún" escribió en el mensaje
news:

Que caracteristicas tenes en el equipo? Xp, 2003, sp1, sp2, etc?
Lo ejecutaste sin VMWARE?

"José Gallardo" escribió en el mensaje
news:

Con IE.

www.fermu.com



"Franco Figún" escribió en el mensaje
news:%

Con que explorador? Alomejor via vmware no ejecuta el bug, pero te
aseguro que en mi windows 2003, y en otros XP que probamos, con SP
instalados, se congelo sin posibilidad de nada.
Saludos

"José Gallardo" escribió en el mensaje
news:%

Pues yo lo he abierto en un XP con VMware y no me ha congelado
nada...

www.fermu.com



"Franco" escribió en el mensaje
news:

Compañeros, me parece importante pasarles este dato, a mi me
pasaron
este link, y lo probe en un windows 2003 con todos los parches y
firewall, y otras cosas, y directamente se congelo todo, NO LO
ABRAN:

http://tinyurl.com/926by

Les envio el articulo de un diario Argetnino que habla sobre este
importante BUG:

Otro error crítico en Windows pone en jaque a los usuarios
(http://www.infobae.com/notas/nota.p...IdxSeccion0797)

El prestigioso Instituto SANS y empresas de seguridad emitieron un
alerta por una vulnerabilidad crítica del sistema operativo. Con un
solo click la PC puede dañarse gravemente. Piden estar alerta por
la
falta de soluciones al error, calificado como uno de los peores en
los últimos tiempos. Cómo protegerse SANS Internet Storm Center, el
organismo más confiable en cuanto a seguridad informática mundial,
alertó a los usuarios sobre una vulnerabilidad de rango crítico
detectada en Windows Graphics Rendering Engine. Si bien el nombre
del programa puede parecer complicado, la manera en que la amenaza
informática se
instala en las computadoras es demasiado sencilla y peligrosa ya
que
aún no existe un "parche" para arreglar el problema: con un solo
click en la web incorrecta la PC puede quedar infectada y más tarde
inutilizable.

En su informe, SANS publica un enlace a un sitio que aprovecha el
agujero de seguridad. El sitio en cuestión incluye un archivo
Windows Meta File (WMF) que incluso en sistemas Windows XP
actualizados y parchados ejecuta un programa que descarga Winhound,
falsa aplicación antivirus y antispyware.
Por su lado, la empresa de seguridad Panda Software informa que la
vulnerabilidad está presente en casi todas las versiones del
sistema
operativo Windows, está calificada como crítica y que aún está por
resolver. La falla está siendo utilizada activamente para infectar
los equipos de los usuarios con todo tipo de códigos maliciosos.

PandaLabs ha localizado archivos que hacen uso de esta
vulnerabilidad mediante un exploit (programa que aprovecha un fallo
o hueco de seguridad), en un gran número de páginas web. Desde esas
páginas se están instalando de forma automática troyanos, spyware y
adware en los equipos de los usuarios que las visitan.

Al encontrarse con el archivo WMF, Internet Explorer inicia
automáticamente la descarga del programa Windows Picture and Fax
Viewer, aplicación para visualización de imágenes y faxes.

Por el momento, la única manera de protegerse parece ser la
utilización de otros navegadores, como Firefox. Los que usen este
browser en vez del Explorer, visualizan inicialmente un cuadro del
diálogo en que se les consulta si desean descargar la imagen en el
programa. Si aceptan, el código maligno obviamente será ejecutado
en
sus sistemas.

Descripción
La mencionada vulnerabilidad estriba en el manejo que Windows hace
de los archivos WMF (Windows Meta File), por lo que todas aquellas
aplicaciones que puedan procesar este tipo de archivos se
encuentran
afectadas.
Entre ellas pueden mencionarse Internet Explorer, Outlook y Windows
Picture and Fax Viewer. Según explica Luis Corrons: "Se trata de
una
de las vulnerabilidades más graves detectadas en los últimos
tiempos. El simple hecho de visitar una página web que contenga un
archivo creado para aprovechar este problema de seguridad, consigue
que un ordenador pueda verse infectado por cualquier tipo de código
malicioso, o sea víctima de un ataque hacker. Debe tenerse en
cuenta
que -en este momento- prácticamente todos los sistemas que
funcionan
bajo Windows son víctimas potenciales".
Entre los distintos códigos maliciosos que, según los datos de
PandaLabs, se están instalado en los sistemas haciendo uso de esta
vulnerabilidad, se encuentra SpyAxe, un adware que muestra un icono
informando de que el ordenador está infectado, al tiempo que
muestra
un mensaje ofreciendo e instalando una herramienta para su
desinfección. Al hacer doble clic sobre dicho mensaje, se muestra
una página web para la descarga gratuita de dicha herramienta. Una
vez instalado y efectuado el análisis del sistema, se informa al
usuario del spyware y adware que ha encontrado. Sin embargo, no lo
eliminará si no se accede de
nuevo a la página web para comprar el producto, indica Panda.
"Esta vulnerabilidad puede ser empleada para instalar cualquier
tipo
de código malicioso, no solo troyanos y spyware, sino también
gusanos, bots o virus que puedan causar daños irreparables en los
ordenadores. El código necesario para hacer uso de este problema de
seguridad ha sido publicado en ciertas direcciones de Internet, por
lo que cualquier autor de amenazas puede acceder a él e
incorporarlo
en sus nuevas creaciones. Por otra parte, hasta que no se publique
una actualización para resolver el problema, la única defensa
posible es el empleo de soluciones de seguridad que sean capaces de
detectar y
bloquear los exploits que intenten aprovechar esta vulnerabilidad",
añade Corrons.

www.fermu.com

Pues tambien de paso te comento que me parece que vas de trollero pero sin
clase. :-)

¿ese windows 98 sin parches, verdad?- No se, ¿pero cuanto tiempo llevas en
informatica? ¿dos meses? ¿dos dias? ¿dos horas?¿minutos?


"Franco Figún" escribió en el mensaje
news:

De paso te comento que si pones CON/CON en ejecutar en un Windows 98
(legal, no legal), aparece la "pantalla de los pifutos", asi que el tema
no es nuevo.

Y trata de crear una variable llamada CON en VB 6, o trata de crear una
carpeta o archivo de nombre CON, y fijate que pasa

"José Gallardo" escribió en el mensaje
news:%

Pues lo siento, pero prefiero no probarlo. Es que para eso tengo VMware
para
hacer las pruebas.

Franco Figún wrote:

Justamente, probalo sin VMWAREpara que la noticia salga en un
diario,
y se ejecute en cada "sistema operativo" windows, es algo
serioprobalo, y me contas.
Saludos

"José Gallardo" escribió en el mensaje
news:

XP SP2 todo actualizado. Sin VMware no lo ejectuto... que para eso está
la máquina virtual.

www.fermu.com



"Franco Figún" escribió en el mensaje
news:

Que caracteristicas tenes en el equipo? Xp, 2003, sp1, sp2, etc?
Lo ejecutaste sin VMWARE?

"José Gallardo" escribió en el mensaje
news:

Con IE.

www.fermu.com



"Franco Figún" escribió en el mensaje
news:%

Con que explorador? Alomejor via vmware no ejecuta el bug, pero te
aseguro que en mi windows 2003, y en otros XP que probamos, con SP
instalados, se congelo sin posibilidad de nada.
Saludos

"José Gallardo" escribió en el mensaje
news:%

Pues yo lo he abierto en un XP con VMware y no me ha congelado
nada...

www.fermu.com



"Franco" escribió en el mensaje
news:

Compañeros, me parece importante pasarles este dato, a mi me
pasaron
este link, y lo probe en un windows 2003 con todos los parches y
firewall, y otras cosas, y directamente se congelo todo, NO LO
ABRAN:

http://tinyurl.com/926by

Les envio el articulo de un diario Argetnino que habla sobre este
importante BUG:

Otro error crítico en Windows pone en jaque a los usuarios
(http://www.infobae.com/notas/nota.p...IdxSeccion0797)

El prestigioso Instituto SANS y empresas de seguridad emitieron un
alerta por una vulnerabilidad crítica del sistema operativo. Con
un
solo click la PC puede dañarse gravemente. Piden estar alerta por
la
falta de soluciones al error, calificado como uno de los peores en
los últimos tiempos. Cómo protegerse SANS Internet Storm Center,
el
organismo más confiable en cuanto a seguridad informática mundial,
alertó a los usuarios sobre una vulnerabilidad de rango crítico
detectada en Windows Graphics Rendering Engine. Si bien el nombre
del programa puede parecer complicado, la manera en que la amenaza
informática se
instala en las computadoras es demasiado sencilla y peligrosa ya
que
aún no existe un "parche" para arreglar el problema: con un solo
click en la web incorrecta la PC puede quedar infectada y más
tarde
inutilizable.

En su informe, SANS publica un enlace a un sitio que aprovecha el
agujero de seguridad. El sitio en cuestión incluye un archivo
Windows Meta File (WMF) que incluso en sistemas Windows XP
actualizados y parchados ejecuta un programa que descarga
Winhound,
falsa aplicación antivirus y antispyware.
Por su lado, la empresa de seguridad Panda Software informa que la
vulnerabilidad está presente en casi todas las versiones del
sistema
operativo Windows, está calificada como crítica y que aún está por
resolver. La falla está siendo utilizada activamente para infectar
los equipos de los usuarios con todo tipo de códigos maliciosos.

PandaLabs ha localizado archivos que hacen uso de esta
vulnerabilidad mediante un exploit (programa que aprovecha un
fallo
o hueco de seguridad), en un gran número de páginas web. Desde
esas
páginas se están instalando de forma automática troyanos, spyware
y
adware en los equipos de los usuarios que las visitan.

Al encontrarse con el archivo WMF, Internet Explorer inicia
automáticamente la descarga del programa Windows Picture and Fax
Viewer, aplicación para visualización de imágenes y faxes.

Por el momento, la única manera de protegerse parece ser la
utilización de otros navegadores, como Firefox. Los que usen este
browser en vez del Explorer, visualizan inicialmente un cuadro del
diálogo en que se les consulta si desean descargar la imagen en el
programa. Si aceptan, el código maligno obviamente será ejecutado
en
sus sistemas.

Descripción
La mencionada vulnerabilidad estriba en el manejo que Windows hace
de los archivos WMF (Windows Meta File), por lo que todas aquellas
aplicaciones que puedan procesar este tipo de archivos se
encuentran
afectadas.
Entre ellas pueden mencionarse Internet Explorer, Outlook y
Windows
Picture and Fax Viewer. Según explica Luis Corrons: "Se trata de
una
de las vulnerabilidades más graves detectadas en los últimos
tiempos. El simple hecho de visitar una página web que contenga un
archivo creado para aprovechar este problema de seguridad,
consigue
que un ordenador pueda verse infectado por cualquier tipo de
código
malicioso, o sea víctima de un ataque hacker. Debe tenerse en
cuenta
que -en este momento- prácticamente todos los sistemas que
funcionan
bajo Windows son víctimas potenciales".
Entre los distintos códigos maliciosos que, según los datos de
PandaLabs, se están instalado en los sistemas haciendo uso de esta
vulnerabilidad, se encuentra SpyAxe, un adware que muestra un
icono
informando de que el ordenador está infectado, al tiempo que
muestra
un mensaje ofreciendo e instalando una herramienta para su
desinfección. Al hacer doble clic sobre dicho mensaje, se muestra
una página web para la descarga gratuita de dicha herramienta. Una
vez instalado y efectuado el análisis del sistema, se informa al
usuario del spyware y adware que ha encontrado. Sin embargo, no lo
eliminará si no se accede de
nuevo a la página web para comprar el producto, indica Panda.
"Esta vulnerabilidad puede ser empleada para instalar cualquier
tipo
de código malicioso, no solo troyanos y spyware, sino también
gusanos, bots o virus que puedan causar daños irreparables en los
ordenadores. El código necesario para hacer uso de este problema
de
seguridad ha sido publicado en ciertas direcciones de Internet,
por
lo que cualquier autor de amenazas puede acceder a él e
incorporarlo
en sus nuevas creaciones. Por otra parte, hasta que no se publique
una actualización para resolver el problema, la única defensa
posible es el empleo de soluciones de seguridad que sean capaces
de
detectar y
bloquear los exploits que intenten aprovechar esta
vulnerabilidad",
añade Corrons.

www.fermu.com

Microsoft ya emitió ayer un boletín de seguridad comentando la vulnerabilidad.
Security Advisory (912840)

- Title: Vulnerability in Graphics Rendering Engine Could
Allow Remote Code Execution.

- Web site: http://go.microsoft.com/fwlink/?LinkIdX452