SoloCodigo

Hola chicos de SoloCodigo, tengo una pregunta?

Pues se intalo la versión de LinExCol en un equipo y  todo normal la instalación y todo y lo raro fue que al final no detecto los dispositivos de cdrom y floppy no aparecen los iconos por entorno grafico, ni las carpetas por linea de comandos    

'tonces como hago para montarlos???

Se que con mount se hace, pero según me acuerdo de hace unos cuantos milenios creo (digo creo por que no mi cuerdo) el montaje de dispositivos se hacia a través del CD de instalación. pero entonces como lo hago si este no es detectado?

Gracias Chao.

Datos Técnicos
Peligrosidad: 3 - Media     
Difusión: Baja   Fecha de Alta:03-05-2006
Última Actualización:03-05-2006
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Phishing.Todas/BAN.2493.01    
Tipo: [Phishing] - Mensaje de correo-e o página web que utiliza diversas técnicas para suplantar la identidad de una página o sitio web.
Plataforma: [Todas] - Generico
Detalles

Las características exactas de los mensajes pueden variar, pero todas son similares:

    * Remitente: algun_usuario@cajamadrid.es
    * Asunto: CAJA MADRID: EL MENSAJE IMPORTANTE / EL MENSAJE URGENTE / LA INFORMACION IMPORTANTE /La informacion oficial / Oficina internet / La notificacion oficial... (o similar)
    * Cuerpo del mensaje: Alegando una actualización rutinaria de software para mejorar los servicios de la entidad ofrece a los clientes el enlace a una página desde la que tienen que introducir su nombre de usuario y clave.


La página esta falsificada y los datos en ella introducidos pasan a estar en posesión de los falsificadores.

La siguiente imagen muestra un ejemplo del tipo de mensaje recibido:

La siguiente imagen muestra un ejemplo de la página fraudulenta a la que apunta el enlace del correo:

Con un simple vistazo se ve claramente que no cumple las medidas de seguridad necesarias para ser un entorno seguro, como sería la utilización del protocolo SSL de 128 bits (https) y la utilización de un certificado digital firmado por una autoridad certificadora.

Hola chicos de SoloCodigo, tengo una pregunta pregunta????

Me mandaron a configurar la opción de fax sobre linux, tal como se utiliza el del windoze, alguien sabe como se hace????, que comandos o que paquetes se necesita para instalarlo????

Gracias Chao.

El problema afecta en principio a la versión 10.4.6 del sistema operativo de Apple, aunque no se descarta que otras versiones también estén afectadas.

La consultora Secunia ha informado de la existencia de uno o varios agujeros de seguridad en el sistema operativo Mac OS X y que aún no han sido corregidos por Apple. Secunia, que ha hecho pública esta información en su informe de vulnerabilidades, no da muchos detalles técnicos de los problemas, solamente indicando la función en la cual se encuentran.

Principalmente, los agujeros de seguridad se localizan en el navegador web Safari y el software de compresión de ficheros. El mismo descubridor de los problemas recomienda que, en la medida de lo posible, no se abran ficheros ZIP procedentes de fuentes desconocidas ni se acceda a páginas web de poca confianza mientras no exista un parche para tapar los agujeros, parche que por el momento no ha sido liberado por Apple.

Los anuncios de agujeros de seguridad son algo desacostumbrado para la comunidad de usuarios de Mac OS hasta la entrada en escena de la versión X del sistema que al estar basada en Unix (BSD), supuso un cambio respecto a las anteriores versiones del sistema, un producto cerrado, propietario y muy ofuscado incluso para la comunidad hacker, lo que hizo que no se utilizara asiduamente en técnicas de hacking, bien al contrario que el actual sistema.

Más información:

Secunia - Advisories - Mac OS X Multiple Potential Vulnerabilities
http://secunia.com/advisories/19686/

Peligrosidad: 3 - Media     
Difusión: Baja   Fecha de Alta:26-04-2006
Última Actualización:26-04-2006
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Kidala.B@MM    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 3848
Alias:W32.Kidala.B@mm (Symantec)
Detalles
Cuando Worm-Backdoor.W32/Kidala.B@MM es ejecutado, realiza las siguientes acciones:

   1. Se copia a símismo en el fichero '%System%\DS.EXE'.
      <
      Nota: %System% es variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

   2. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "DS" = "%System%\DS.EXE"

   3. Recopila direcciones de correo electrónico de la libreta de contactos de Windows y de ficheros que tienen alguna de las siguientes extensiones:
          * .adb
          * .asp
          * .dbx
          * .htm
          * .php
          * .pl
          * .sht
          * .tbb
          * .txt
          * .wab

   4. Genera direcciones de correo electrónico utilizando los siguientes nombres de usuario:
          * alice
          * andrew
          * brenda
          * brent
          * brian
          * claudia
          * david
          * debby
          * george
          * helen
          * james
          * jerry
          * jimmy
          * julie
          * kevin
          * linda
          * maria
          * michael
          * peter
          * robert
          * sandra
          * smith
          * steve

      a los que añade los siguientes dominios para completar la dirección electrónica:
          * ayna.com
          * hotmail.com
          * maktoob.com
          * microsoft.com
          * msn.com
          * usa.com
          * usa.net
          * yahoo.com

   5. Evita enviarse a aquellas direcciones electrónicas que contienen alguna de las siguientes cadenas de texto:
          * abuse
          * accoun
          * acketst
          * admin
          * anyone
          * arin.
          * be_loyal:
          * berkeley
          * borlan
          * certific
          * contact
          * example
          * feste
          * gold-certs
          * google
          * hotmail
          * ibm.com
          * icrosof
          * icrosoft
          * inpris
          * isc.o
          * isi.e
          * kernel
          * linux
          * listserv
          * mit.e
          * mozilla
          * mydomai
          * nobody
          * nodomai
          * noone
          * nothing
          * ntivi
          * panda
          * postmaster
          * privacy
          * rating
          * rfc-ed
          * ripe.
          * ruslis
          * samples
          * secur
          * sendmail
          * service
          * somebody
          * someone
          * sopho
          * submit
          * support
          * tanford.e
          * the.bat
          * usenet
          * utgers.ed
          * webmaster

   6. Se envía a sí mismo a las direcciones capturadas o generadas.

      El mensaje enviado tiene las siguientes características:

      Asunto: - alguno de los siguientes -
          * [- en_blanco -]
          * [- aleatorio -]
          * Error
          * hello
          * Mail Delivery System
          * Mail Transaction Failed
          * Server Report
          * Status

      Cuerpo del mensaje: - alguno de los siguientes -
          * [- en_blanco -]
          * [- aleatorio -]
          * Mail transaction failed. Partial message is available.
          * The message contains Unicode characters and has been sent as a binary attachment.
          * The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

      Fichero anexo: - alguno de los siguientes -
          * data
          * doc
          * document
          * file
          * message
          * readme
          * text

      con alguna de las siguientes extensiones:
          * .cmd
          * .scr
          * .bat
          * .exe
          * .pif

   7. Abre una puerta trasera en el equipo afectado conectándose a un servidor de IRC, a un canal llamado '#MicroSystem#' y permaneciendo en escucha de instrucciones.

      Los comandos que recibe normalmente permiten al atacante remoto realizar alguna de las siguientes funciones en el sistema comprometido:
          * Descarga y ejecución de ficheros.
          * Eiminación, detención o actualización del propio gusano.
          * Lanzamiento de ataques de Denegación de Servicios (DoS).

   8. Intenta propagarse a través de IRC enviando un mensaje a todos los usuarios que se unan al canal:

[-alias -] just look at this brother
http://[- dirección IP del remitente -]:2001/Hot.pif

   9. Intentapropagarse a través de la mensajería instantánea de Windows buscando ventanas abiertas de esta aplicación y enviando alguno de los siguientes mensajes:
          * hehe, watch this http://[- dirección IP del remitente -]:2001/[- nombre_de_fichero_aleatorio -]
          * LOL, this shit is funny http://[- dirección IP del remitente -]:2001/[- nombre_de_fichero_aleatorio -]
          * lol, don't forget to watch this video http://[-dirección IP del remitente-]:2001/[-nombre_de_fichero_aleatorio-]|
          * look at this video http://[- dirección IP del remitente -]:2001/[- nombre_de_fichero_aleatorio -]
          * your going to like this http://[- dirección IP del remitente -]:2001/[- nombre_de_fichero_aleatorio -]

      con alguno de los siguientes nombres de fichero:
          * crazy5.scr
          * crazyjump.scr
          * exposed.scr
          * funny2.scr
          * funny3.scr
          * haha.scr
          * lucky.scr
          * mjackson.scr
          * picture1.scr

  10. Se propaga aprovechando las vulnerabilidades indicadas en los siguientes boletines:
          * Boletín de Seguridad MS03-026 ~ (DCOM RPC).
          * Boletín de Seguridad MS04-011.
          * Boletín de Seguridad MS03-007 ~ (ntdll.dll).
          * Boletín de Seguridad MS05-039 ~ (MS Plug & Play).

  11. Intenta propagarse a través de unidades compartidas en red dejando una copia de sí mismo en estas unidades utilizando las siguientes cadenas como nombre de usuario y contraseña:
          * 12345
          * 123456
          * 1234567
          * 12345678
          * 123456789
          * 1234567890
          * 12345678910
          * access
          * accounting
          * accounts
          * Admin
          * Administrador
          * administrat
          * administrateur
          * Administrator
          * Admins
          * backup
          * bitch
          * blank
          * brian
          * changeme
          * chris
          * cisco
          * compaq
          * computer
          * control
          * Database
          * databasepass
          * databasepassword
          * db1234
          * dbpass
          * dbpassword
          * Default
          * domain
          * domainpass
          * domainpassword
          * exchange
          * george
          * guest
          * hello
          * homeuser
          * internet
          * intranet
          * katie
          * linux
          * login
          * loginpass
          * NetWork
          * nokia
          * oeminstall
          * oemuser
          * office
          * oracle
          * orainstall
          * outlook
          * Owner
          * ownerstaff
          * pass1234
          * passwd
          * password
          * password1
          * peter
          * qwerty
          * server
          * siemens
          * sqlpassoainstall
          * Staff
          * Student
          * susan
          * system
          * Teacher
          * technical
          * win2000
          * win2k
          * win98
          * windows
          * winnt
          * winpass
          * winxp
          * wwwadmin

  12. Busca los siguientes directorios:
          * C:\Program Files\eDonkey2000\Incoming
          * C:\Program Files\Files\Kazaa Lite\My Shared Folder
          * C:\program files\kazaa\my shared folder
          * C:\Program Files\LimeWire\Shared
          * C:\Program Files\Morpheus\My Shared Folder

  13. Se copia a sí mismo en los directorios anteriores en caso de que sean encontrados en el sistema.
      Esos directorios se corresponden a directorios de intercambio de ficheros de diferentes aplicaciones P2P, y en función de estos, emplea unos nombres de fichero u otros:

          * Warez P2P:
                o Britney_Spears_sucks_someones_dick.scr
                o Madonna_the_most_sexiest_girl_in_the_world.com
                o Mariah_Carey_showering_in_bathroom.com
                o nice_big_asshole_fuck_Jennifer_Lopez.scr

          * Limewire:
                o Alcohol_120%_patch
                o DarkAngel_Lady_get_fucked_so_hardly
                o LimeWire_speed++
                o Outlook_hotmail+_fix

          * eDonkey:
                o Angilina_Jolie_Sucks_a_Dick
                o BritneySpears_SoSexy
                o DAP7.4.x.x_crack
                o DownloadsLocation
                o JenniferLopez_Film_Sexy_Enough
                o NortonAV2006_Crack

          * iMesh:
                o KAV2006_Crack
                o MSN7.0Loader
                o MSN7.0UniversalPatch
                o YahooMessenger_Loader
                o ZoneAlarmPro6.xx_Crack

          * Morpheus:
                o lcc-wiz_update
                o notepad++
                o Opera8
                o RealPlayer10.xx_crack
                o TaskCatcher

          * KaZaa:
                o activation_crack
                o dcom_patch
                o icq2006-final
                o nuke2006
                o office_crack
                o rootkitXP
                o strip-girl-3.0
                o winamp6

      Todos estos ficheros tendrán alguna de las siguientes extensiones:
          * .bat
          * .exe
          * .pif
          * .scr

  14. Detiene la ejecución de los siguientes procesos, algunos de los cuales son relativos a la seguridad:
          * _AVPCC.EXE
          * _AVPM.EXE
          * _FINDVIRU.EXE
          * ACKWIN32.EXE
          * ALOGSERV.EXE
          * AMON.EXE
          * ANTI-TROJAN.EXE
          * APVXDWIN.EXE
          * ATGUARD.EXE
          * AVE32.EXE
          * AVKSERV.EXE
          * AVNT.EXE
          * AVPCC.EXE
          * AVPM.EXE
          * AVWIN95.EXE
          * BLACKICE.EXE
          * CLAW95CF.EXE
          * CMGRDIAN.EXE
          * ECENGINE.EXE
          * ESAFE.EXE
          * F-PROT95.EXE
          * FINDVIRU.EXE
          * FP-WIN.EXE
          * FPROT.EXE
          * GUARDDOG.EXE
          * IAMAPP.EXE
          * IOMON98.EXE
          * KAVPF.EXE
          * LOOKOUT.EXE
          * NAVAPSVC.EXE
          * NAVAPW32.EXE
          * NAVNT.EXE
          * NAVW32.EXE
          * NAVWNT.EXE
          * NOD32.EXE
          * NSPLUGIN.EXE
          * OGRC.EXE
          * OUTPOST.EXE
          * OUTPOSTINSTALL.EXE
          * OUTPOSTPROINSTALL.EXE
          * RAV7.EXE
          * RULAUNCH.EXE
          * SCAN32.EXE
          * SPIDER.EXE
          * VET95.EXE
          * VETTRAY.EXE
          * VSMAIN.EXE
          * ZAPRO.EXE
          * ZAPSETUP3001.EXE
          * ZATUTOR.EXE
          * ZONALARM.EXE
          * ZONALM2601.EXE
          * ZONEALARM.EXE

Nombres de Ficheros Adjuntos (virus que llegan por correo)

    * text
    * readme
    * message
    * file
    * document
    * doc
    * data

Asunto del mensaje (virus que llegan por correo)

    * Status
    * Server Report
    * Mail Transaction Failed
    * Mail Delivery System
    * hello
    * Error
    * [- aleatorio -]
    * [- en_blanco -]

Hola chicos de SoloCodigo, tengo una pregunta bien grande...
Lo que pasa es que debia administrar la página web de la empresa donde trabajo, pero no se pudo encontrar la página de logueo del admin, la página no ha sido hackeada ni nada por el estilo, y hemos tratado de buscar el archivo login.php o admin.php y nada.

Este es el mensaje que suelta...

Not Found

The requested URL /admin/admin.php 80 was not found on this server.
Apache/2.0.51 (Fedora) Server at www.ciridigital.com Port 80

Peligrosidad: 3 - Media   Difusión:   Baja Fecha de Alta:21-04-2006
  Última Actualización:21-04-2006
Daño:  Alto
[Explicación de los criterios] Dispersibilidad:  Alto
 
Nombre completo: Worm.W32/Mytob.PY    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 218112
Alias:WORM_MYTOB.PY (Trend Micro)
Detalles
Instalación

Tras su ejecución, se copia a sí mismo cmo WINSCCS.EXE en la carpeta del Sistema de Windows.

Crea las siguientes entradas de registro para ejecutarse en cada reinicio del sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
Winsockets = "winsccs.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Winsockets = "winsccs.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Winsockets = "winsccs.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Winsockets = "winsccs.exe"

También crea las siguientes entradas en los registros indicados, como parte de su rutina de instalación:

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
Winsockets = "winsccs.exe"

HKEY_CURRENT_USER\Software\Microsoft\OLE
Winsockets = "winsccs.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
Winsockets = "winsccs.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Winsockets = "winsccs.exe"


Propagación en Red y aprovechamiento de vulnerabilidades


Es capaz de propagarse a traves de recursos compartidos en red. Para ello, genera direcciones IP e intenta conectarse a ellas para descargar copias de sí mismo sobre:


ADMIN$\system32
C$\Windows\system32
C$\WINNT\system32
Si el acceso a los recursos mencionados se encuentra restringido mediante nombre de usuario y clave de acceso, el gusano intentará acceder probando combinaciones de las siguientes palabras:


007
123
1234
12345
123456
1234567
12345678
123456789
1234567890
2000
2001
2002
2004
access
accounting
accounts
adm
administrador
administrat
administrateur
administrator
admins
asd
backup
bill
bitch
blank
bob
brian
changeme
chris
cisco
compaq
computer
control
data
database
databasepass
databasepassword
db1
db1234
db2
dba
dbpass
dbpassword
default
dell
demo
domain
domainpass
domainpassword
eric
exchange
fred
fuck
george
god
guest
hell
hello
home
homeuser
ian
ibm
internet
intranet
jen
joe
john
kate
katie
lan
lee
linux
login
loginpass
luke
mail
main
mary
mike
neil
nokia
none
null
oem
oeminstall
oemuser
office
oracle
orainstall
outlook
owner
pass
pass1234
passwd
password
password1
peter
pwd
qaz
qwe
qwerty
sam
server
sex
siemens
slut
sql
sqlpassoainstall
staff
student
sue
susan
system
teacher
technical
test
unix
user
web
win2000
win2k
win98
windows
winnt
winpass
winxp
www
wwwadmin
zxc
El gusano aprovecha los fallos de seguridad descritos en los siguientes boletines de seguridad:

Buffer Overrun In RPCSS Service Could Allow Code Execution Microsoft Security Bulletin MS03-039.

The Windows LSASS vulnerability, Microsoft Security Bulletin MS04-011.

Rutinas de Puerta Trasera


Utilizará un puerto aleatorio para conectarse con el canal de charla ##RXNT## del servidor IRC monotoor.rottentomatoes.us, donde permanecerá a la espera de conexión del atacante remoto para el envio de comandos como los siguientes:


Descarga/Envio de ficheros
Recopilación de información del sistema
Captura de las pulsaciones del teclado
Lanzar comandos básicos IRC
Lanzar Ataques de Denegación de Servicio(DoS) utilizando los siguietnes métodos:

ICMP
Ping
TCP
UDP

Enviar mensajes de correo

Terminación de Procesos


El gusano es capaz de detener la ejecución de los siguientes procesos, si se encuentran activos en la máquina infectada. La mayoría pertenecen a aplicaciones de seguridad y antivirus:


_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACCWIZZ.EXE
ACCWIZZZ.EXE
ACKWIN32.EXE
ADAWARE.EXE
ADVXDWIN.EXE
AGENTSVR.EXE
AGENTW.EXE
ALERTSVC.EXE
ALEVIR.EXE
ALOGSERV.EXE
AMON9X.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ARR.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
AU.EXE
AUPDATE.EXE
AUTO-PROTECT.NAV80TRY.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCC32.EXE
AVGCTRL.EXE
AVGNT.EXE
AVGSERV.EXE
AVGSERV9.EXE
AVGUARD.EXE
AVGW.EXE
AVKPOP.EXE
AVKSERV.EXE
AVKSERVICE.EXE
AVKWCTl9.EXE
AVLTMAIN.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVSYNMGR.EXE
AVWINNT.EXE
AVWUPD.EXE
AVWUPD32.EXE
AVWUPSRV.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
BACKWEB.EXE
BARGAINS.EXE
BD_PROFESSIONAL.EXE
BEAGLE.EXE
BELT.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
BLACKD.EXE
BLACKICE.EXE
BLSS.EXE
BOOTCONF.EXE
BOOTWARN.EXE
BORG2.EXE
BOTZOR.EXE
BPC.EXE
BRASIL.EXE
BS120.EXE
BUNDLE.EXE
BVT.EXE
CCAPP.EXE
CCEVTMGR.EXE
CCPXYSVC.EXE
CDP.EXE
CFD.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95CF.EXE
CLEAN.EXE
CLEANER.EXE
CLEANER3.EXE
CLEANPC.EXE
CLICK.EXE
CMD32.EXE
CMESYS.EXE
CMGRDIAN.EXE
CMON016.EXE
CONNECTIONMONITOR.EXE
CPD.EXE
CPF9X206.EXE
CPFNT206.EXE
CSM.EXE
CTRL.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
DATEMANAGER.EXE
DCOMX.EXE
DEFALERT.EXE
DEFSCANGUI.EXE
DEFWATCH.EXE
DEPUTY.EXE
DIVX.EXE
DLLCACHE.EXE
DLLREG.EXE
DOORS.EXE
DPF.EXE
DPFSETUP.EXE
DPPS2.EXE
DRWATSON.EXE
DRWEB32.EXE
DRWEBUPW.EXE
DSSAGENT.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EFPEADM.EXE
EMSW.EXE
ENT.EXE
ESAFE.EXE
ESCANHNT.EXE
ESCANV95.EXE
ESPWATCH.EXE
ETHEREAL.EXE
ETRUSTCIPE.EXE
EVIL.EXE
EVPN.EXE
EXANTIVIRUS-CNET.EXE
EXE.AVXW.EXE
EXPERT.EXE
EXPLORE.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FAMEH32.EXE
FAST.EXE
FCH32.EXE
FIH32.EXE
FINDVIRU.EXE
FIREWALL.EXE
FNRB32.EXE
FP-WIN.EXE
FP-WIN_TRIAL.EXE
FPROT.EXE
FRW.EXE
FSAA.EXE
FSAV.EXE
FSAV32.EXE
FSAV530STBYB.EXE
FSAV530WTBYB.EXE
FSAV95.EXE
FSGK32.EXE
FSM32.EXE
FSMA32.EXE
FSMB32.EXE
FUCK.EXE
GATOR.EXE
GBMENU.EXE
GBPOLL.EXE
GENERICS.EXE
GMT.EXE
GUARD.EXE
GUARDDOG.EXE
HACKTRACERSETUP.EXE
HBINST.EXE
HBSRV.EXE
HOTACTIO.EXE
HOTPATCH.EXE
HPSV.EXE
HTLOG.EXE
HTPATCH.EXE
HWPE.EXE
HXDL.EXE
HXIUL.EXE
IAMAPP.EXE
IAMSERV.EXE
IAMSTATS.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IDLE.EXE
IEDLL.EXE
IEDRIVER.EXE
IEXPLORER.EXE
IFACE.EXE
IFW2000.EXE
INETLNFO.EXE
INFUS.EXE
INFWIN.EXE
INIT.EXE
INTDEL.EXE
INTREN.EXE
IOMON98.EXE
ISTSVC.EXE
JAMMER.EXE
JDBGMRG.EXE
JEDI.EXE
KAVLITE40ENG.EXE
KAVPERS40ENG.EXE
KAVPF.EXE
KAZZA.EXE
KEENVALUE.EXE
KERIO-PF-213-EN-WIN.EXE
KERIO-WRL-421-EN-WIN.EXE
KERIO-WRP-421-EN-WIN.EXE
KERNEL32.EXE
KILLPROCESSSETUP161.EXE
LAUNCHER.EXE
LDNETMON.EXE
LDPRO.EXE
LDPROMENU.EXE
LDSCAN.EXE
LNETINFO.EXE
LOADER.EXE
LOCALNET.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LORDPE.EXE
LSETUP.EXE
LUALL.EXE
LUAU.EXE
LUCOMSERVER.EXE
LUINIT.EXE
LUSPT.EXE
MAPISVC32.EXE
MCAGENT.EXE
MCMNHDLR.EXE
MCSHIELD.EXE
MCTOOL.EXE
MCUPDATE.EXE
MCVSRTE.EXE
MCVSSHLD.EXE
MD.EXE
MFIN32.EXE
MFW2EN.EXE
MFWENG3.02D30.EXE
MGAVRTCL.EXE
MGAVRTE.EXE
MGHTML.EXE
MGUI.EXE
MINILOG.EXE
MMOD.EXE
MONITOR.EXE
MOOLIVE.EXE
MOSTAT.EXE
MOUSEBM.EXE
MOUSEMM.EXE
MOUSESYNC.EXE
MPFAGENT.EXE
MPFSERVICE.EXE
MPFTRAY.EXE
MRFLUX.EXE
MSAPP.EXE
MSBB.EXE
MSBLAST.EXE
MSCACHE.EXE
MSCCN32.EXE
MSCMAN.EXE
MSCONFIG.EXE
MSDM.EXE
MSDOS.EXE
MSIEXEC16.EXE
MSINFO32.EXE
MSLAUGH.EXE
MSMGT.EXE
MSMSGRI32.EXE
MSSMMC32.EXE
MSSYS.EXE
MSVXD.EXE
MU0311AD.EXE
MWATCH.EXE
N32SCANW.EXE
NAV.EXE
NAVAP.NAVAPSVC.EXE
NAVAPSVC.EXE
NAVAPW32.EXE
NAVDX.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSTUB.EXE
NAVW32.EXE
NAVWNT.EXE
NC2000.EXE
NCINST4.EXE
NDD32.EXE
NEC.EXE
NEOMONITOR.EXE
NEOWATCHLOG.EXE
NETARMOR.EXE
NETD32.EXE
NETINFO.EXE
NETMON.EXE
NETSCANPRO.EXE
NETSPYHUNTER-1.2.EXE
NETSTAT.EXE
NETUTILS.EXE
NISSERV.EXE
NISUM.EXE
NMAIN.EXE
NOD32.EXE
NORMIST.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
NOTSTART.EXE
NPF40_TW_98_NT_ME_2K.EXE
NPFMESSENGER.EXE
NPROTECT.EXE
NPSCHECK.EXE
NPSSVC.EXE
NSCHED32.EXE
NSSYS32.EXE
NSTASK32.EXE
NSUPDATE.EXE
NT.EXE
NTRTSCAN.EXE
NTVDM.EXE
NTXconfig.EXE
NUI.EXE
NUPGRADE.EXE
NVARCH16.EXE
NVC95.EXE
NVSVC32.EXE
NWINST4.EXE
NWSERVICE.EXE
NWTOOL16.EXE
OLLYDBG.EXE
ONSRVR.EXE
OPTIMIZE.EXE
OSTRONET.EXE
OTFIX.EXE
OUTPOST.EXE
OUTPOSTINSTALL.EXE
OUTPOSTPROINSTALL.EXE
PADMIN.EXE
PANIXK.EXE
PATCH.EXE
PAVCL.EXE
PAVPROXY.EXE
PAVSCHED.EXE
PAVW.EXE
PCFWALLICON.EXE
PCIP10117_0.EXE
PCSCAN.EXE
PDSETUP.EXE
PERISCOPE.EXE
PERSFW.EXE
PERSWF.EXE
PF2.EXE
PFWADMIN.EXE
PGMONITR.EXE
PINGSCAN.EXE
PKGUARD32.EXE
PLATIN.EXE
POP3TRAP.EXE
POPROXY.EXE
POPSCAN.EXE
PORTDETECTIVE.EXE
PORTMONITOR.EXE
POWERSCAN.EXE
PPINUPDT.EXE
PPTBC.EXE
PPVSTOP.EXE
PRIZESURFER.EXE
PRMT.EXE
PRMVR.EXE
PROCDUMP.EXE
PROCESSMONITOR.EXE
PROCEXPLORERV1.0.EXE
PROGRAMAUDITOR.EXE
PROPORT.EXE
PROTECTX.EXE
PSPF.EXE
PURGE.EXE
QCONSOLE.EXE
QSECUE.EXE
QSERVER.EXE
RAPAPP.EXE
RAV7.EXE
RAV7WIN.EXE
RAV8WIN32ENG.EXE
RAY.EXE
RB32.EXE
RCSYNC.EXE
REALMON.EXE
REGED.EXE
REGEDIT.EXE
REGEDT32.EXE
RESCUE.EXE
RESCUE32.EXE
RRGUARD.EXE
RSHELL.EXE
RTVSCAN.EXE
RTVSCN95.EXE
RULAUNCH.EXE
RUN32DLL.EXE
RUNDLL.EXE
RUNDLL16.EXE
RUXDLL32.EXE
SAFEWEB.EXE
SAHAGENT.EXE
SAVE.EXE
SAVENOW.EXE
SBSERV.EXE
SC.EXE
SCAM32.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SETUP_FLOWPROTECTOR_US.EXE
SETUPVAMEEVAL.EXE
SFC.EXE
SGSSFW32.EXE
SH.EXE
SHELLSPYINSTALL.EXE
SHN.EXE
SHOWBEHIND.EXE
SMC.EXE
SMS.EXE
SMSS32.EXE
SOAP.EXE
SOFI.EXE
SPERM.EXE
SPF.EXE
SPHINX.EXE
SPOLER.EXE
SPOOLCV.EXE
SPOOLSV32.EXE
SPYXX.EXE
SREXE.EXE
SRNG.EXE
SS3EDIT.EXE
SSG_4104.EXE
SSGRATE.EXE
SSL.EXE
ST2.EXE
START.EXE
STCLOADER.EXE
STEALTH.DCOM.EXE
STEALTH.DDOS.EXE
STEALTH.EXE
STEALTH.INJECTOR.EXE
STEALTH.STAT.EXE
STEALTH.WM.EXE
SUPFTRL.EXE
SUPPORT.EXE
SUPPORTER5.EXE
SVC.EXE
SVCHOSTC.EXE
SVCHOSTS.EXE
SVSHOST.EXE
SWEEP95.EXE
SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE
SYMPROXYSVC.EXE
SYMTRAY.EXE
SYSEDIT.EXE
SYSTEM.EXE
SYSTEM32.EXE
SYSUPD.EXE
TASKKILL.EXE
TASKLIST.EXE
TASKMG.EXE
TASKMO.EXE
TASKMON.EXE
TASKSYS.EXE
TAUMON.EXE
TBSCAN.EXE
TC.EXE
TCA.EXE
TCM.EXE
TDS-3.EXE
TDS2-NT.EXE
TEEKIDS.EXE
TFAK.EXE
TFAK5.EXE
TGBOB.EXE
TITANIN.EXE
TITANINXP.EXE
TRACERT.EXE
TRICKLER.EXE
TRJSCAN.EXE
TRJSETUP.EXE
TROJANTRAP3.EXE
TSADBOT.EXE
TVMD.EXE
TVTMD.EXE
TWUNK_65.EXE
UNDOBOOT.EXE
UPDAT.EXE
UPDATE.EXE
UPDATE.PIF
UPGRAD.EXE
USERX.EXE
UTPOST.EXE
VBCMSERV.EXE
VBCONS.EXE
VBUST.EXE
VBWIN9X.EXE
VBWINNTW.EXE
VCSETUP.EXE
VET32.EXE
VET95.EXE
VETTRAY.EXE
VFSETUP.EXE
VIR-HELP.EXE
VIRUSMDPERSONALFIREWALL.EXE
VNLAN300.EXE
VNPC3000.EXE
VPC32.EXE
VPC42.EXE
VPFW30S.EXE
VPTRAY.EXE
VSCAN40.EXE
VSCENU6.02D30.EXE
VSCHED.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSISETUP.EXE
VSMAIN.EXE
VSMON.EXE
VSSTAT.EXE
VSWIN9XE.EXE
VSWINNTSE.EXE
VSWINPERSE.EXE
W32DSM89.EXE
W9X.EXE
WATCHDOG.EXE
WEBDAV.EXE
WEBSCANX.EXE
WEBTRAP.EXE
WFINDV32.EXE
WHOSWATCHINGME.EXE
WIMMUN32.EXE
WIN-BUGSFIX.EXE
WIN32.EXE
WIN32US.EXE
WINACTIVE.EXE
WINDLL2.EXE
WINDOW.EXE
WINDOWS.EXE
WINDRG32.EXE
WINHOST.EXE
WININETD.EXE
WININIT.EXE
WININITX.EXE
WINLOGIN.EXE
WINMAIN.EXE
WINNET.EXE
WINPPR32.EXE
WINRECON.EXE
WINSERVN.EXE
WINSSK32.EXE
WINSTART.EXE
WINSTART001.EXE
WINSYS.EXE
WINTBP.EXE
WINTBPX.EXE
WINTNL.EXE
WINTNPX.EXE
WINTSK32.EXE
WINUPDATE.EXE
WKUFIND.EXE
WNAD.EXE
WNT.EXE
WPA.EXE
WRADMIN.EXE
WRCTRL.EXE
WSBGATE.EXE
WUPDATER.EXE
WUPDT.EXE
WUPNP.EXE
WYVERNWORKSFIREWALL.EXE
XPF202EN.EXE
ZAPRO.EXE
ZAPSETUP3001.EXE
ZATUTOR.EXE
ZONALM2601.EXE
ZONEALARM.EXE

Modificaciones en el fichero HOSTS


El gusano es capaz de modificar el fichero HOSTS que contiene los redireccionamientos en las direcciones IP establecidos por el usuario, y que normalmente, se encuentra en alguna de las siguientes carpetas:


%System%\drivers\etc
%Windows%
(Nota: %System% Representa la carpeta del sistema de Windows, Normalmente será C:\Windows\System en Windows 98 y ME, C:\WINNT\System32 en Windows NT y 2000, y C:\Windows\System32 en Windows XP y Server 2003. %Windows% Representa la carpeta Windows, que normalmente es C:\Windows o C:\WINNT.

Las modificaciones realizadas en el fichero Hosts impedirían el acceso del sistema infectado sobre los siguientes sitios de seguridad y antivirus:


avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky-labs.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
microsoft.com
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
virustotal.com
www.avp.com
www.ca.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.virustotal.com
www.zango.com
zango.com

Robo de Información


El gusano es capaz de utilizar un capturador de paquetes de red como Carnivore apra tratar de recuparar datos asociados a las siguientes palabras:


: auth
: id
: login
:!auth
:!hashin
:!id
:!l
:!login
:!secure
:!set
:!syn
:!x
:$auth
:$hashin
:$id
:$l
:$login
:$syn
:$x
:%auth
:%hashin
:%id
:%l
:%login
:%syn
:%x
:&auth
:&id
:&login
:'auth
:'id
:'login
:*auth
:*id
:*login
:+auth
:+id
:+login
:,auth
:,id
:,login
:-auth
:-id
:-login
:.auth
:.hashin
:.id
:.l
:.login
:.secure
:.syn
:.x
:/auth
:/login
:=auth
:=id
:=login
:?auth
:?id
:?login
:@auth
:@id
:@login
:\auth
:\id
:\login
:~auth
:~id
:~login
auth
login
 

RealNetworks ha anunciado la existencia de un total de cuatro
vulnerabilidades en sus productos RealPlayer 10.x, 8.x y RealOne
1.x y 2.x y que podrían provocar que un intruso ejecutara códigos
arbitrarios o malintencionados en un equipo ajeno.

Una vulnerabilidad permitiría a un atacante ejecutar un programa que
previamente ha sido situado en la misma ruta que RealPlayer a través
de otro ataque distinto.

La segunda vulnerabilidad se debe a ficheros swf que podrían provocar
un desbordamiento de memoria en la máquina que lo ejecutase.

El tercero de los problemas está relacionada con el hecho de alojar una
página web especialmente manipulada en un servidor atacante que podría
provocar un desbordamiento de heap en el reproductor incrustado.

Por último, la cuarta vulnerabilidad se debe a un fichero mbc que podría
provocar un desbordamiento de memoria en la víctima.

Algunos o todos los fallos se dan en múltiples plataformas y versiones.
Se recomienda actualizar el producto a través de los canales habituales
o consultar la página de alerta de RealNetworks donde se informa de la
disponibilidad de cada actualización para las diferentes versiones y
plataformas afectadas.

Más Información:

RealNetworks, Inc. lanza una actualización de seguridad para resolver puntos vulnerables
http://www.service.real.com/realplayer/sec...6_player/es-xm/
 

Así se imaginaban en 1954 como iba a ser la computadora dentro de 50 años (o sea en el año 2004)



La nota dice:

"Científicos de la RAND Corporation crearon este modelo ilustrativo de como una computadora hogareña sería en el año 2004. Sin embargo, la tecnología necesaria para contruirla no va a ser económicamente accesible para la casa promedio. Los científicos admiten que todavía no existe la tecnología necesaria para contruirla, pero que en 50 años de progreso científico se espera poder resolver estos problemas."

Por Duff

Hola chicos de SoloCodigo, como estan? hace rato no me paso por que hay mucho camello; tengo una duda:

Estoy trabajando sobre una DB de Access con DAO (no con ADO por que no lo manejo todavia), y al usar el método AddNew, no todas las veces me guarda el registro, por que sera, aqui les muestro el código
Gracias Chao.

Peligrosidad: 3 - Media  
Difusión: Baja Fecha de Alta:14-01-2006
Última Actualización:15-01-2006
Daño: Alto
[Explicación de los criterios]
Dispersibilidad:  Alto
Nombre completo: Worm.W32/Feebs.N@P2P+MM    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico.
Tamaño comprimido (bytes): 55946
Alias:WORM_FEEBS.N (Trend Micro), WORM_FEEBS.T (Trend Micro), W32.Feebs.E@mm (Symantec), W32.Feebs.D@mm (Symantec)
Detalles
Instalación

El gusano llega hasa la máquina infectada al ser descargado desde internet por otro malware.

Cuando se ejecuta, descarga los siguientes ficheros en la carpeta del sistema de Windows:


Ms{2 letras al azar}
ms{2 letras al azar}.exe
Ms{2 letras al azar}32.dll También detectado como Feebs.N
Crea la siguiente entrada en el registro para tratar de ocultar su propio proceso ante el administrador de tareas de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{random CLSID}\InprocServer32
@ = %System%\Ms{two random letters}32.dll

(Nota: %System% representa la carpeta del sistema de Windows. Normalmente será C:\Windows\System en Windows 98 y ME, C:\WINNT\System32 en Windows NT and 2000, o C:\Windows\System32 en Windows XP y Server 2003.)

También crea las siguientes entradas como parte de su rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MS{2 letras al azar}\dat

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MS{2 letras al azar}\sdat


Propagación por correo

Utiliza su propio motor de envío SMTP para enviar correos con un fichero adjunto con extensión .ZIP que contiene una copia del gusano sobre todas las direcciones de correo que el gusano haya localizado en el sistema infectado.

El mensaje tendrá las siguientes características:


Asunto:Será una combinación de palabras de los siguiente grupos:
Grupo 1


Encrypted
Extended
Protected
Secure
Grupo 2


E-mail
Html
Mail
Message
Grupo 3


{Vavío}
From {Nombre de dominio falso} user
Service
Service {Nombre de dominio falso}
System

Remitente Será compuesto en una cadena de texto en la forma:
Id{número aleatorio} {alguno de los siguientes nombres de dominio}


@aol.com
@gmail.com
@hotmail.com
@msn.com
@yahoo.com

Mensaje: Será el siguiente:
Subject: happy new year
ID: {aleatorio}
Password: {aleatorio}
Message is attached.

Best Regards,
{El mismo nombre que el remitente},
{El mismo dominio que el remitente}


Adjunto:Será alguno de los siguientes nombres de fichero

data.zip
mail.zip
message.zip
msg.zip

Propagación por redes P2P

Para conseguir propagarse a través de las redes de compartición de fichero se copiará con alguno de los siguientes nombre en las carpetas compartidas de las aplicaciones P2P:


3dsmax_9_(3D_Studio_Max)_new!_full+crack.zip
ACDSee_9_new!_full+crack.zip
Adobe_Photoshop_10_(CS3)_new!_full+crack.zip
Adobe_Premiere_9_(2.0_pro)_new!_full+crack.zip
Ahead_Nero_8_new!_full+crack.zip
DivX_7.0_new!_full+crack.zip
ICQ_2006_new!_full+crack.zip
Internet_Explorer_7_new!_full+crack.zip
Kazaa_4_new!_full+crack.zip
Longhorn_new!_full+crack.zip
Microsoft_Office_2006_new!_full+crack.zip
winamp_5.2_new!_full+crack.zip  

Información extraida de Alerta AntiVirus
Dicho código de explotación aprovecha un problema de Windows XP y 2003 concretamente, en el componente "Visor de imágenes y fax de Windows" (shimgvw.dll) a la hora de tratar metaarchivos de Windows (WMF) para ejecutar código arbitrario.

Si la víctima utiliza Internet Explorer, puede provocarse la ejecución automática de código arbitrario al visitar la web maliciosa. Otros navegadores como Firefox preguntarán sobre si se quiere cargar la imagen en el componente vulnerable antes mencionado, si se acepta también se provocara la ejecución del código.

Este código malicioso se está utilizando para distribuir troyanos como los de la siguiente lista

Trojan-Downloader.Win32.Agent.abs
Trojan-Dropper.Win32.Small.zp,
Trojan.Win32.Small.ga
Trojan.Win32.Small.ev.
TROJ_NASCENE.A
TROJ_NASCENE.B
TROJ_NASCENE.C
TROJ_NASCENE.D

Inicialmente la lista de sistemas vulnerables es la siguiente:

Microsoft Windows XP Tablet PC Edition SP2
Microsoft Windows XP Tablet PC Edition SP1
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Professional SP2
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
Microsoft Windows XP Media Center Edition SP2
Microsoft Windows XP Media Center Edition SP1
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Home SP2
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Las pruebas realizadas hasta el momento con un Windows XP SP2 con todas las actualizaciones al día, incluido el parche MS05-053 que en teoría solucionaba el problema de ejecución de código mediante imágenes WMF/EMF (896424), y que fuera publicado por Microsoft en noviembre pasado dieron como resultado la infección del sistema. Más tarde se comprobó que el exploit se basa en una vulnerabilidad totalmente nueva.

Actualmente, Microsoft no ha publicado ningún parche de seguridad para esta vulnerabilidad. Como medida temporal, desregistre el el "Visor de Imágenes y Fax de Windows" o al menos evite utilizarlo para abrir imágenes WMF potencialmente maliciosas.

                           SOLUCION[/b]

Aconsejamos precaución extrema a la hora de abrir adjuntos, páginas de Internet o carpetas compartidas por programas P2P que contengan archivos .WMF.
Para usuarios con más conocimientos desregistrar temporalmente el componente "Visor de imágenes y fax de Windows" (shimgvw.dll). Una vez desregistrado el componente no se inicializara cuando el usuario haga clic en un enlace o tipo de imagen asociada con el "Visor de imágenes y fax de Windows".

Procedimiento: Vaya a Inicio-->Ejecutar-->Teclee cmd, pulse 'Aceptar'. Aparecera una ventana en modo texto (shell de windows) donde deberá teclear "regsvr32 -u %windir%\system32\shimgvw.dll" (sin las comillas) y tras ello pulse 'Enter'.

Nota: Donde pone %windir% tendrá que poner la ruta de su carpeta de windows. Por defecto para windows XP sería C:\WINDOWS.

Un cuadro de dialogo aparecera para confirmar el proceso se ha realizado correctamente. Pulse 'Aceptar' para cerrarlo.

Para restaurar el cambio una vez solucionada la vulnerabilidad vuelva a registrar el componente. Para ello siga el procedimiento que utilizo para desregistralo pero eliminando la cadena de texto "-u". Es decir, tecleando "regsvr32 %windir%\system32\shimgvw.dll" (sin las comillas) en el shell de windows.
[/size]

iDefense publica información sobre una vulnerabilidad que afecta a McAfee VirusScan, el antivirus de McAfee.

El problema se produce en McAfee Security Center, y permite a un atacante la creación o sobrescritura arbitraria de archivos de forma remota.

El error que provoca el fallo, se debe a que un control ActiveX usado por el programa, no restringe los dominios que pueden cargarlo y ejecutarlo.

El componente (MCINSCTL.DLL), que se incluye con McAfee Security Center, exporta un objeto para registro llamado MCINSTALL.McLog. McAfee no controla los dominios que pueden utilizar este objeto ActiveX. De ese modo, un atacante puede crear una página web maliciosa que cargue dicho control para crear archivos de forma arbitraria en el equipo afectado.

Este tipo de ataque puede llevar a la ejecución arbitraria de código de forma remota, por ejemplo creando archivos en las carpetas de inicio. Lo único que se requiere, es que la víctima visite el sitio web malicioso.


Software vulnerable:

Los siguientes productos incluyen el componente MCINSCTL.DLL 4.0.0.83, y por lo tanto son vulnerables:

- McAfee VirusScan 9.0
- McAfee VirusScan 8.0
- McAfee VirusScan 7.1
- McAfee VirusScan 7.0
- McAfee VirusScan 6.0
- McAfee VirusScan 5.0
- McAfee VirusScan 4.5.1
- McAfee VirusScan 4.5
- McAfee VirusScan 4.0.3
- McAfee VirusScan 4.0


Solución:

McAfee publicó una actualización automática para el SecurityCenter que resuelve el problema.

Para comprobar la actualización, los usuarios registrados deben hacer clic con el botón derecho en el icono del producto en la bandeja del sistema (al lado del reloj de Windows), seleccionar "Actualizaciones" (Updates), y examinar por nuevas actualizaciones (en el caso de que no se haya actualizado de forma automática).


Referencias:

ADVISORY: 12.20.05
McAfee Security Center
MCINSCTL.DLL ActiveX Control File Overwrite Vulnerability
http://www.idefense.com/intelligence/vulne...play.php?id=358

CVE-2005-3657 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.c...e=CVE-2005-3657

McAfee VirusScan Security Center
ActiveX Control Arbitrary File Overwrite Vulnerability
http://www.securityfocus.com/bid/15986

McAfee Security Center
ActiveX Control File Overwrite Vulnerability
http://www.frsirt.com/english/advisories/2005/3006

McAfee SecurityCenter
"mcinsctl.dll" ActiveX File Overwrite Vulnerability
http://secunia.com/advisories/18169