SoloCodigo

Es la tarde de un  viernes típico y estás manejando hacia tu casa.
Sintonizas la radio. El noticiero cuenta una historia de poca importancia:
En un pueblo lejano hán muerto 3 personas de alguna gripe que nunca antes
se había visto.
No le pones mucha atención a ese acontecimiento...

El lunes cuando despiertas, escuchas que ya no son 3, sino 30,000 personas las que han muerto en las colinas remotas de la India.

Gente del control de enfermedades de los Estados Unidos,  ha ido a investigar.

El martes yá es la noticia más importante de la primera plana  del periódico, porqué yá no solo es la India, sino Pakistán, Irán y Afganistán y pronto la noticia sale en todos los noticieros. Le están llamando

"La Influencia Misteriosa" y todos se preguntan: ¿Como vamos  a controlarla?

Entonces una noticia sorprende a todos:

Europa
cierra sus fronteras, no habrá vuelos a Francia desde la India, ní de ningún otro país donde se haya visto la enfermedad. Por lo del cierre de fronteras estás viendo el noticiero cuando escuchas la traducción de una mujer, en Francia, qué dice qué hay un hombre en el hospital muriendo de la "Influencia Misteriosa".

Hay pánico en Europa.

La información dice, qué cuando tienes el virus, es por una semana y ni cuenta te das. Luego tienes 4 días de síntomas horribles y entonces mueres.

Inglaterra cierra también sus fronteras, pero es tarde, pasa un día más y el presidente de los Estados Unidos, George Bush, cierra las fronteras a Europa y Asia, para evitar el contagio en el país, hasta qué encuentren la cura...

Al día siguiente la gente se reune en las iglesias para orar por una cura y entra alguien diciendo: Prendan la radio y se oye la noticia:

2 mujeres han muerto en New York. En horas, parece que la enfermedad invade a todo el mundo.

Los científicos siguen trabajando para encontrar el antídoto, pero nada funciona. Y de repente, viene la noticia esperada: Se ha descifrado el código de ADN del virus. Se puede hacer el antídoto.

Va a requerirse la sangre de alguien qué no haya sido infectado y de hecho en todo el país se corre la voz que todos vayan al hospital mas cercano para qué se les practique un examen de sangre.

Vas de voluntario con tu familia, junto a unos vecinos, preguntándote qué pasará? ¿Será este el fin del mundo?...

De repente el doctor sale gritando un nombre que há leído en el registro.
El más pequeño de tus hijos está a tu lado, te agarra la chaqueta y dice:
Papi? ese es mi nombre!. Antes que puedas reaccionar se están llevando a tu hijo y gritas: Esperen!... Y ellos contestan: todo está bien, su sangre esta limpia, su  sangre es pura.

Creemos que tiene el tipo de sangre correcta.

Despúes de 5 largos minutos los médicos salen llorando y riendo. Es la primera vez que haz visto a alguien reir en una semana. El doctor de mayor edad se te acerca y dice: Gracias, señor!, la sangre de su hijo es perfecta, esta limpia y pura, puede hacer el antídoto contra esta enfermedad...

La noticia corre por todas partes, la gente esta orando y llorando de felicidad.

En eso el doctor se acerca a tí y a tú esposa y dice: ¿Podemos hablar un momento? Es qué no sabiamos que el donante sería un niño y necesitamos que firmen este formato para darnos el permiso de usar su sangre.
Cuando estás leyendo el documento te dás cuenta qué no ponen la cantidad qué
necesitarán y preguntas: ¿Cuanta sangre?...

La sonrisa del doctor desaparece y contesta: No pensábamos que sería un niño. No estábamos preparados. La necesitamos toda!...

No lo puedes creer y tratas de contestar:

"Pero, pero...". El doctor te sigue insistiendo", usted no entiende, estamos hablando de la cura para todo el mundo. Por favor firme, la necesitamos...toda. Tu preguntas: ¿pero no pueden darle una transfusión? Y viene la respuesta: si tuviéramos sangre limpia podríamos...

¿Firmará?.¿Por favor?...Firme!!....

En silencio y sin poder sentir los mismos dedos que sostienen el bolígrafo en la mano, firmas. Te preguntan" ¿Quiere ver a su hijo?

Caminas hacia esa sala de emergencia donde esta  tu hijo sentado en la cama diciendo: Papi!, Mami!, ¿qué pasa? Tomas su mano y le dices: Hijo, tu mami y yo, te amamos y nunca dejaríamos que te pasara algo que no fuera necesario, ¿comprendes eso? Y cuando el doctor regresa y te dice: Lo siento necesitamos comenzar, gente en todo el mundo esta muriendo...

¿Te puedes ir? ¿Puedes darle la espalda a tu hijo y dejarlo alli?...
Mientras el te dice ¿Papi?,¿Mami? porqué me abandonan...

A la siguiente semana, cuando hacen una ceremonia para  honrar a tu hijo, algunas personas se quedan dormidas en casa, otras no  vienen porque prefieren ir de paseo o ver un partido de fútbol y otras viene a la ceremonia, con una sonrisa falsa fingiendo que les importa.

Quisieras pararte y gritar: Mi hijo murió por ustedes!!!
¿Acaso no les importa?...

Información extraida de Alerta AntiVirus
Datos Técnicos
Peligrosidad: 3 - Media     
Difusión: Baja   
Fecha de Alta:22-05-2007
Última Actualización:22-05-2007
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/MsnPhoto@IM    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [IM] - Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM
Alias:W32/MsnPhoto.A.worm (Panda Software), Win32/VB.NKY (ESET (NOD32))
Detalles

MsnPhoto realiza las siguientes acciones:

    * Deshabilita el Administrador de Tareas.
    * Descarga varias copias de sí mismo desde la página web http://usuarios.lyc[...]ito32.

Crea los siguientes archivos:

    * SP2.EXE, en el directorio de sistema de Windows.
    * FOTOS_POSSE.ZIP y SERVER.EXE, en el directorio raíz de la unidad C:.

Estos tres archivos son copias del gusano.

MsnPhoto crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
WindowsSp2 = %sysdir%\sp2.exe

Donde %sysdir% es el directorio de sistema de Windows.Mediante esta entrada, consigue ejecutarse cada vez que Windows se inicia.

MsnPhoto modifica la siguiente entrada del Registro de Windows:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskmgr = 0

Cambia esta entrada por:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskmgr = 1

Mediante esta modificación, MsnPhoto.A deshabilita el Administrador de tareas.

MsnPhoto se propaga a través del programa de mensajería instantánea MSN Messenger. Para ello, realiza el siguiente proceso:

    * El usuario recibe un mensaje instantáneo instando al usuario a descargar un archivo ZIP con fotos (FOTOS_POSSE.ZIP).
    * El archivo ZIP contiene un archivo ejecutable que tiene el icono de una imagen para engañar al usuario.
    * Si el usuario descomprime el archivo FOTOS_POSSE.ZIP y ejecuta el archivo YO_POSSE_007.JPG, se descarga una copia de MsnPhoto en el ordenador afectado.
    * Después, cierra las ventanas del MSN Messenger que el usuario tenga abiertas.
    * MsnPhoto.A envía este mensaje a todos los contactos que estén conectados en ese momento.

Información extraida de Alerta Antivirus
Datos Técnicos
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:09-05-2007
Última Actualización:09-05-2007
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Spybot.XZ    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias: WORM_SPYBOT.XZ (Trend Micro)
Detalles

Instalación

Cuando se ejecuta, descarga copias de sí mismo como GOOGLEUPDATER.EXE en la carpeta del sistema de Windows.

Crea la siguiente entrada de registro para asegurarse su propia ejecución junto al arranque del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Office Monitors = "%System%\GoogleUpdater.exe"

También desactiva el servicio DCOM y limita las capacidades de acceso anónimo al sistema por medio de la modificación de los valores de las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
EnableDCOM = "N"

el valor por defecto de esta variable es "Y"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\LSA
RestrictAnonymous = "1"

e valor por defecto de esta variable es establecido por el usuario

Propagación

Se propaga descargando copias de sí mismo como GOOGLEUPDATER.EXE en las unidades de red compartidas por defecto como IPC$.

El gusano se aprovecha de la vulnerabilidad LSASS para propagarse a través de discos de red compartidos.

Capacidades de puerta trasera

El gusano posee capacidades para abrir varios puertos a través de los cuales comunicarse con los siguientes servidores IRC:

    * test2.bhtvradio.com
    * test.bihsecurity.com

para acceder a los siguientes canales de charla:

    * #!2007!
    * #!ev22!

Si se completa la conexión, el atacante remoto podrá realizar las siguientes tareas en la maquina afectada:

    * Borrar ficheros
    * Descargar ficheros
    * Listar procesos
    * Escanear puertos
    * finalizar procesos
    * Actualizarse a sí mismo

Estos comandos se ejecuta localmente en la máquina afectada compremetiendo seriamente su seguridad.

Información extraida de Master Magazine

En un interesantísimo artículo publicado en el diario digital "The Inquirer", Charlie Demerjian se pregunta: "¿Es Vista el nuevo Windows Me II?". Hace unas semanas, en Noticiasdot se preguntaban algo similar: es un rumor que corre entre los expertos en informática, que el nuevo Windows es un fracaso, e incluso algunos como Paul Graham [1] van más allá y dicen que Microsoft está muerto -aunque parezca una exageración-.

Pero volvamos a la idea de Charlie Demerjian: Windos ME (Millenium) fue un fracaso porque era muy inestable, inseguro, e incluso peor que Windows 98 SE, por eso pasó inadvertido y casi nadie se acuerda de él... ¿pasará lo mismo con Vista?

Hay algo que destaca Charlie Demerjian que es realmente notable: por primera vez Microsoft no pudo obligar a uno de los fabricantes de PCs a actualizar sí o sí a la nueva versión de Windows y dejar atrás la instalación de su anterior sistema operativo... y lo "peor" de todo, es que no estamos hablando de cualquier fabricante de PCs, estamos hablano del mayor de todos: Dell. Esta firma expresó que seguiría instalando Windows XP, y eso es así aún cuando Microsoft dejará de comercializar XP el año que viene.

Según Charlie Demerjian, Microsoft está presionando muy fuertemente a los fabricantes para que vendan esto que el llama "Me II". Pero nunca podría imprimir tal presión al sector industrial porque realmente se reirían: ya utilizan GNU/Linux y otras cosas hace rato, por ejemplo el 95% de las computadora en los grandes estudios de Hollywood corren software libre.

Demerjian señala además que "la situación de los controladores y el software es miserable, lo que ha hecho que Dell abandone ese camino. Si alguien piensa que es un acto de expiación que no lo haga: a ellos no les importan los consumidores. Lo que ha ocurrido es que los OEMs se han amotinado y le han llevado la contraria a Microsoft. Hay un gran letrero de neón encima de Me II que dice "Fracaso". Blink, blink, blink. De acuerdo, Me II no fracasará, Microsoft tiene suficientes OEMs bajo su látigo y amenazados en la retaguardia, y seguro que se venderá, pero casi eres capaz oír a los que no siguen esa estela marchar al son de Linux. Esto marca un hito."

Para dar una idea de lo que está ocurriendo, Bill Gates ha anunciado que en China se podrá comprar una versión por sólo 3 dólares (!), es decir que lo están regalando... eso lo dicen abiertamente al público, pero se podría suponer que también lo están regalando sin decírselo a nadie, en otros ámbitos, y todo para no perder mercado. Estos regalos son presentados por la firma de Redmond como actos altruistas.

Charlie Demerjian termina su artículo diciendo que Microsofr "No es capaz de competir a nivel de usuario, así que tiene que echar marcha atrás y brindar descuentos de una magnitud impensable.
Lo que estamos contemplando es un cambio de poderes inaudito . Y es incluso una admisión clara del fracaso. ¿Cuál es la parte más graciosa de estas medidas? Que no son las adecuadas. Microsoft se encuentra en problemas."

Más información:
[1] http://www.paulgraham.com/microsoft.html
http://es.theinquirer.net/2007/04/23/es_vi...ndows_me_i.html

Información extraida de El Pais Cali.

Resumen de Agencias - Washington.

El Congreso estadounidense aprobó ayer un proyecto de ley con un calendario de retirada de Iraq, que remitirá al presidente George W. Bush, quien prometió el primer veto presidencial, tras la victoria demócrata en las elecciones legislativas del 2006.

Por 51 votos contra 46, el Senado estadounidense aprobó una ley que vincula el financiamiento de las guerras en Iraq y Afganistán a un cronograma que obliga a que el retiro de tropas comience a más tardar el 1 de octubre de este año, pese a la amenaza del presidente George W. Bush de que la vetará. El Congreso enviará ahora al Ejecutivo la ley que destina US$124.000 millones para las guerras.

Inmediatamente después de la votación en el Senado, la Casa Blanca advirtió que el presidente Bush vetará este proyecto.

“Acabo de hablar con el Presidente en la oficina oval y, como lo ha dicho durante semanas, vetará esta legislación”, dijo la portavoz Dana Perino.

Entre tanto, el general David Petraeus, comandante de la Fuerza Multinacional en Iraq, dijo que “la situación es extremadamente compleja y difícil. Para alcanzar el éxito, se necesitará perseverancia y sacrificio todas las partes”.

Petraeus, quien llegó a Washington para elaborar un cuadro de la situación en el país árabe, aseguró también que “el éxito, al final, dependerá de los iraquíes” y de su capacidad para mantener la seguridad y la estabilidad en todo el territorio y para sostener al Gobierno.


Que tal este idiota, pensara que se debera seguir con la guerra o es que le quitaran algún dolar extra, el muy maldito quiere seguir matando personas y arriesgando la vida de los soldados que hay alla, ojala mandara a sus hijos para que sienta el dolor.

Ustedes que piensan???

Información extraida de Mastermagazine

Si hacés backups de documentos en Windows Vista Basic o Premium, deberás recuperarlos desde un Business, Enterprise o Ultimate

Así como lo oís, se debe aparentemente a un fallo de cálculos, un error inconsciente de la empresa de Redmond, por el cual, la característica "Versiones Previas" incluida en el nuevo Windows Vista crea más problemas que soluciones a los usuarios que han comprado las versiones más baratas de este sistema operativo, ya sea embalado con una PC de fábrica, o ya sea descargándolo desde Internet o comprando unos discos ópticos.

El sitio web PC Pitstop brinda esta información y luego en el foro los usuarios hacen jugosos comentarios, sucede que deberás pagar para recuperar las versiones antiguas de tus documentos, es una locura. Sé que estoy yendo muy lejos si comparo este mal desempeño del sistema con los virus que solicitan a las víctimas dinero para devolverle los documentos encriptados... pero, ¿no hay acaso similitudes? Windows se propaga como si fuera un virus, y en este caso actúa de un modo similar con los documentos de "la víctima".

Si la persona actualiza su sistema a alguna de las ediciones Vista Business, Enterprise o Ultimate, podrá tener sus backups de vuelta. De todos modos, se espera que un parche solucione esto que parece un error. ¿Tenía razón la gente que decía que los nuevos usuarios de Windows Vista iban a ser betatesters (probadores de un software no terminado)?

Más información:
http://www.pcpitstop.com/news/dave/2007-04.asp
http://gizmodo.com/gadgets/pcs/want-those-...ista-251509.php
http://meneame.net/story/windows-vista-qui...ir-paga-upgrade[/size]

Información extraida de Alerta-Antivirus
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:13-04-2007
Última Actualización:13-04-2007
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Nurech.Z@MM    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:W32/Nurech.Z.worm (Panda Software)
Detalles
Metodo de Infección

Nurech.Z crea los siguientes archivos en el directorio de sistema de Windows:

* WINCOMS32.SYS y WINDEV-2E7B-394.SYS. Estos archivos corresponden al rootkit Nurech.B.
* WINDEV-PEERS.INI, en el que aparece el listado de direcciones a las que no enviar los mensajes de correo electrónico.
* WINCOM32.INI, en el que se incluye el listado de procesos que finaliza.
Método de Propagación

Nurech.Z se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

* Llega al ordenador en un mensaje de correo con las siguientes características:

Remitente:
Las direcciones desde la que es enviado contienen un alias que parece provenir de una fuente de confianza:
Customer Support

Asunto: es variable, y puede ser uno de los siguientes:
ATTN!
Spyware Alert!
Spyware Detected!
Trojan Alert!
Trojan Detected!
Virus Activity Detected!
Virus Alert!
Virus Detected!ected!
Warning!
Worm Activity Detected!
Worm Detected!

Contenido: incluye una imagen como la siguiente con un texto y una contraseña para poder descomprimir el archivo adjunto:

Imagen de Panda Software

Archivo adjunto: está comprimido con una contraseña que se proporciona en el mensaje y puede ser uno los siguientes:
BUGFIX-%5 caracteres aleatorios%.ZIP
HOTFIX-%5 caracteres aleatorios%.ZIP
PATCH-%4 caracteres aleatorios%.ZIP
REMOVAL-%5 caracteres aleatorios%.ZIP
* El ordenador es afectado cuando se ejecuta el archivo adjunto.
* Nurech.Z busca direcciones de correo electrónico en el ordenador afectado.
* Nurech.Z envía una copia de sí mismo a las direcciones que ha recogido.
* Sin embargo, Nurech.Z no se envía a ninguna dirección que contenga alguno de los siguientes dominios, entre otros:
GOV
MIL
Otros Detalles

Nurech.Z tiene un tamaño aproximado de 40000 Bytes.

Microsoft ha confirmado una vulnerabilidad que afecta a diversas versiones de Windows, y que puede ser explotada a través de archivos .ANI.

La extensión .ANI corresponde a los cursores e iconos animados de Windows (Windows Animated Cursor), que consisten en una cantidad determinada de cuadros (imágenes diferentes).

La vulnerabilidad se produce por un desbordamiento de pila, cuando Windows procesa archivos .ANI mal formados, en los cuáles la información de referencia en sus cabezales ha sido alterada.

Un atacante puede provocar un fallo en forma remota, a través de un archivo .ANI en una página Web maliciosa o desde un correo electrónico, de modo tal que el kernel de Windows calcule una dirección errónea para acceder a un cuadro y entonces falle, provocando la ejecución de código.

Se han detectado exploits activos, que descargan y ejecutan diferentes troyanos desde Internet. Los exploits reportados hasta el momento, son interceptados por NOD32, e identificados como Win32/TrojanDownloader.Ani.G.

Microsoft ha publicado un aviso de seguridad (Microsoft Security Advisory), identificado como 935423, donde confirma la existencia del exploit, y se refiere al problema que causa esta vulnerabilidad.

La ejecución de código mediante este exploit, se realiza con los mismos privilegios del usuario actual.

La vulnerabilidad afecta a las siguientes versiones de sistemas operativos soportados actualmente por Microsoft:

- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 (Itanium)
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 Service Pack 2
- Microsoft Windows Server 2003 con SP1 (Itanium)
- Microsoft Windows Server 2003 con SP2 (Itanium)
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows Vista


Explotación de la vulnerabilidad

El exploit puede actuar en cualquiera de estos escenarios:

1. Al visualizar una página con un navegador (no solo Internet Explorer)

2. Al leer un correo electrónico

3. Al abrir una carpeta local con el explorador de Windows (configuración por defecto)

En los casos 1 y 2, puede ejecutarse un código malicioso, pero no en el caso 3, donde solo se produce una denegación de servicio (Windows deja de responder o entra en un bucle mostrando un mensaje de error una y otra vez).

En el primer escenario, el exploit puede actuar tanto al visualizar una página web utilizando Microsoft Internet Explorer como Mozilla Firefox (otros navegadores pueden estar también afectados). Según Microsoft, Internet Explorer 7.0 en modo protegido, no es afectado por el exploit, o al menos no puede ejecutarse el código embebido.

En el segundo escenario, aunque Microsoft aconsejó al comienzo como medida para mitigar los efectos del problema, leer el correo electrónico como texto sin formato, una lista publicada por el Internet Storm Center (ISC), del SANS Institute, muestra como la vulnerabilidad puede ser explotada en varios clientes de correo, a pesar de que el usuario tome esa precaución.

En concreto, el exploit puede ejecutarse al leer un correo en los siguientes programas y condiciones:

1. Al abrir un correo con la configuración por defecto (formato, etc.):

Son vulnerables:

- Windows XP Outlook Express
- Windows Vista Mail
- Microsoft Outlook 2003

2. Al leer un correo en el panel de vista previa:

Son vulnerables:

- Windows XP Outlook Express
- Windows Vista Mail
- Microsoft Outlook 2003

3. Al abrir un correo en formato solo texto:

Es vulnerable:

- Windows XP Outlook Express

4. Al responder o reenviar un correo, aún con la opción leer en formato solo texto activa:

Son vulnerables:

- Windows XP Outlook Express
- Windows Vista Mail


Consideraciones

Los usuarios de Outlook 2007 están protegidos, sin importar si se leen los mensajes como texto sin formato o no.

Leer el correo electrónico como texto sin formato si se utiliza Outlook 2002 o posterior, o Windows Mail, puede ayudar a protegerlo. Sin embargo, en Windows Mail (Windows Vista), aún al leer texto sin formato, el usuario no está protegido si responde o reenvía el mensaje recibido del atacante.

Leer el correo como texto sin formato en Outlook Express, no mitiga los intentos para explotar esta vulnerabilidad.

Otros clientes de correo como Thunderbird, también son vulnerables, aún cuando se utilice la lectura en texto plano, si se hace clic sobre los enlaces.

Según la información actualmente disponible, la vulnerabilidad no puede ser mitigada bloqueando la descarga de archivos .ANI, ya que incluso existen archivos renombrados (como .JPEG, etc.), que pueden igualmente ejecutar el exploit.

Además, es importante destacar que Windows Explorer (el Explorador de Windows), puede procesar archivos .ANI con diferentes extensiones, por ejemplo .CUR, .ICO, etc.

No existe parche oficial al momento actual, a pesar de que el fallo fue reportado privadamente a Microsoft en diciembre de 2006, por la compañía de seguridad Determina (ver "Referencias"). Sin embargo, no se conocía ningún exploit activo hasta ahora (marzo de 2007).

El exploit es considerado un Zero Day (Día cero), basándonos en la definición más aceptada por los profesionales de la seguridad. Así, definimos como "Zero Day", a cualquier exploit que no haya sido mitigado por un parche del vendedor.


Parche oficial

 [02/04/07] - Microsoft anunció este domingo, que un boletín de seguridad con el parche correspondiente, sería publicado el martes 3 de abril de 2007.


Parches no oficiales

Si bien Microsoft y la mayoría de los expertos de seguridad, aconsejan no instalar parches que no sean oficiales, el equipo de seguridad de eEye Digital ha desarrollado una herramienta que puede servir como solución temporal para aquellos usuarios que así lo deseen.

El parche temporal, previene que los cursores e iconos animados, sean cargados fuera de la carpeta de instalación de Windows. Esto inhabilita la descarga desde cualquier página de Internet, de iconos potencialmente peligrosos.

El parche debe ser desinstalado antes de aplicar la solución de Microsoft (cuando ella esté disponible).

Más información:

Windows .ANI Processing (EEYEZD-20070328)
http://research.eeye.com/html/alerts/zeroday/20070328.html


Medidas de precaución

A pesar de lo que mencionamos antes, Microsoft aconseja activar la lectura del correo electrónico como "Texto sin formato".

Para ello, tanto en Outlook Express como en Windows Mail (Windows Vista), siga las siguientes instrucciones:

1. Seleccione el menú Herramientas, Opciones, lengüeta "Leer"
2. Marque la casilla "Leer todos los mensajes como texto sin formato".

NOTA: Esta única protección no es efectiva en Outlook Express. Tampoco lo es en Windows Mail si se responde o reenvía un mensaje afectado por el exploit.

También desactive el panel de vista previa de la siguiente manera:

1. Seleccione el menú Ver, Diseño
2. Desmarque la casilla "Mostrar panel de vista previa"

En Thunderbird, abra el menú "Herramientas", "Preferencias", y en "Avanzadas", "Privacidad", "General", podrá hacer los cambios necesarios.

Más información:
http://kb.mozillazine.org/Plain_text_e-mai...8Thunderbird%29

El exploit puede activarse también cuando se visualiza una carpeta conteniendo un HTML malicioso. Para evitar el contenido HTML en el explorador de Windows, siga estas instrucciones:

1. Abra Mi PC
2. Seleccione Herramientas, Opciones de carpetas
3. En la lengüeta "General", en Tareas, seleccione "Utilizar las carpetas clásicas de Windows".

Se recomienda precaución al recibir correos electrónicos no solicitados, así como al visitar páginas sugeridas en enlaces de mensajes que no hemos pedido.

El uso de un antivirus actualizado, es por supuesto imprescindible.


Relacionados:

TrojanDownloader.Ani.G. Utiliza archivos .ANI
http://www.vsantivirus.com/trojandownloader-ani-g.htm

Alerta Amarilla por ataques a vulnerabilidad .ANI
http://www.vsantivirus.com/01-04-07.htm


Referencias:

Microsoft Security Advisory (935423)
Vulnerability in Windows Animated Cursor Handling
http://www.microsoft.com/technet/security/...ory/935423.mspx

Microsoft Security Advisory 935423 Posted
http://blogs.technet.com/msrc/archive/2007...423-posted.aspx

Update on Microsoft Security Advisory 935423
http://blogs.technet.com/msrc/archive/2007...ory-935423.aspx

CVE-2007-0038
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0038

[Full-disclosure] 0-day ANI vulnerability in Microsoft Windows (CVE-2007-0038)
http://archives.neohapsis.com/archives/ful...07-03/0470.html

Vulnerability In Windows Animated Cursor Handling
http://www.determina.com/security_center/s...0day_032907.asp

Microsoft Windows ANI header stack buffer overflow
http://www.us-cert.gov/cas/techalerts/TA07-089A.html

Microsoft Windows animated cursor ANI header stack buffer overflow
http://www.kb.cert.org/vuls/id/191609

Windows Animated Cursor Handling vulnerability - CVE-2007-0038
http://isc.sans.org/diary.html?storyid=2534

Ani cursor exploits against Microsoft E-mail clients - CVE-2007-0038
http://isc.sans.org/diary.html?storyid=2539

Microsoft Windows Animated Cursor Handling Vulnerability
http://secunia.com/advisories/24659

Vulnerability Summary CVE-2007-1765
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-1765

Unpatched Drive-By Exploit Found On The Web
http://www.avertlabs.com/research/blog/?p=230

Detecting and filtering out windows animated cursor exploitation attempts
http://isc.sans.org/diary.html?storyid=2540

ANI exploit code drives INFOCon to Yellow
http://isc.sans.org/diary.html?storyid=2542

Chinese Internet Security Response Team Reports ANI Worm
http://isc.sans.org/diary.html?storyid=2550

ANI: It Gets Better
http://isc.sans.org/diary.html?storyid=2551

Microsoft Windows Cursor And Icon ANI Format Handling Remote Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/23194

Hola chicos de SoloCodigo, tengo pregunta???

Saben como puedo refrescar una página desde otra???, Yo imagino que debe ser con JavaScript, por eso lo puse aquí, una ayudita

Algo así: desde la páginaA yo llamo con un popup la páginaB, la páginaB es un formulario que guarda unos datos, cuando se da guardar me cierra la páginaB y me refresca la páginaA, además me muestra los datos recien guardados en la páginaA.

Por ahora lo manejo con un refresh pero no me gusta
<meta http-equiv="refresh" content="5;" >

Gracias Chao.

Hola chicos de SoloCodigo, necesito una idea, estoy bloqueado .

Tengo que llenar los campos de un cliente y entre esos está un rango de fechas, una imágen explica mejor

Los campos de la fecha solo se deben marcar con una X, yo pienso generar CheckBox automatico dependiendo de la cantidad de días, pero como hago para guardar y generar esos campos?

No sé si me hago entender?

Ah ah ah antes de que se me olvide como creo un campo en una tabla que acepte datos así, y no tenga que crear un campo para cada día del mes?

Gracias Chao.

Hola chicos de SoloCodigo, como están???, bien, pos yo no

A ver les cuento la historia de mi vida, yo nací por alla en el 83, no no no no, esto no es, ese es otro problema, ahh es que se me olvida; ese sera mi secreto hasta la muerte.

Ahora si en serito   que pasa?,   Pos estoy trabajando sobre un sistema B2B ya hecho por otra persona que maneja cierta DB y unas tablas, las cuales me toco modificar un poco (afecta bastante la modificación), a ver explico:

1.) Existe una tabla X cuyo campo Llave Primaria era autoincrement.
2.) Yo modifique la tabla y le agregue un campo de +
3.) Yo modifique la tabla y quite que el campo Llave primaria no fuera autoincrement, y lo deje de insercción manual, que por que?, pues por que toco sino no hubiera agregado el campo anterior.
4.) Lo feo se pone en es este código que agregue en el script original:
<!--html--></div><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>HTML </td></tr><tr><td id='CODE'><!--html1-->/*------------------------------------------------------------
  MODIFICACION PARA AGREGAR LA REPOSICION CON LOS DATOS DE 'ENVIA'
  --------------------------------------------------------------*/
  $cantidad_minima=100;
  //UTILIZAMOS LA SESION PARA SELECCIONAR EL CLIENTE
  echo $query_ses = "SELECT * FROM tbsesiones WHERE ses LIKE '".$sesion."'";
  $result_ses = mysql_query($query_ses);
  while ($row=mysql_fetch_array($result_ses))
  {
   $val_conus = $row["conus"];
      $cli_nom = $row["nom"];
  }
  echo "<br>";
  //SE USARA $val_conus PARA MANEJAR EL C0NSECUTIVO
  echo $query_cli = "SELECT * FROM tbclientes_db WHERE con=".$val_conus;
  $result_query = mysql_query($query_cli);
  while ($row=mysql_fetch_array($result_query))
  {
   $conse = $row["fk_idconse"];
      $cli_nom = $row["nom"];
  }
  echo "<br>";
  echo $query_select = "SELECT * FROM tbcode_consecutivo WHERE idconse=".$conse;
  $resulta = mysql_query($query_select);
  //SE AVERIGUA EL VALOR ACTUAL DEL CONSECUTIVO
  while ($row=mysql_fetch_array($resulta))
  {
    $centro = $row["nombre"];
    $vr_act = $row["vr_actual"];
    $vr_fin = $row["vr_final"];
   echo "<br>";
   echo $query_save = "INSERT INTO  tbsolicitud_db VALUES ('$vr_act','$p_sesion','$p_con_usuario','$p_conus',
'$p_conus','',0,'$p_dire','$p_tele','$p_correo','$f_ciu',
'$p_depe',now(),now(),now(),now(),0,0,'0','','',0)";
   
   //GUARDAMOS
   if ($vr_fin >= $vr_act+1)
   {
     //echo "<br>".$vr_fin." - ".$cantidad_minima." = = ".$vr_act."<br>";
     if ($vr_fin-$cantidad_minima == $vr_act)
     {
       $headers = "MIME-Version: 1.0\r\n";
       $headers .= "Content-type: text/html; charset=iso-8859-1\r\n";
      //dirección del remitente
      $headers .= "From: Portal <portal@x.com.co>\r\n";
      //dirección de respuesta, si queremos que sea distinta que la del remitente
      $headers .= "Reply-To: jeje@x.com.co\r\n";
         $consecutivo_portal = "<br>Le quedan ".$cantidad_minima." para sobrepasar el límite de facturas.<br>";
       $consecutivo_portal .= "<table border='0' cellspacing='2' cellpadding='2'>
           <tr>
            <td>FAVOR PEDIR A </td>
            <td><img src='http://www.supertiendaonline.com/plantilla/images/logo_envia.jpg' border='0'></td>
            <td>NUEVA CANTIDAD DE CONSECUTIVO</td>
           </tr>
          </table>";
      mail("x@x.com.co","Consecutivo Portal",$consecutivo_portal,$headers);
     }
       $result_save=mysql_query($query_save);
   }
   
   //SE ACTUALIZA LA TABLA tbcodeconsecutivo PARA IR SUBIENDO EL VALOR DEL CONSECUTIVO   
   $vr_act = $vr_act + 1;
   echo "<br>";
   echo $query_update = "UPDATE tbcode_consecutivo SET vr_actual=".$vr_act." WHERE idconse=".$conse;
    //SE VERIFICA QUE EL VALOR ACTUAL NO SEA MAYOR QUE EL LIMITE PERMITIDO
   if ($vr_fin > $vr_act)
   {
     $result_update=mysql_query($query_update);
   }
   else
   {
     $headers = "MIME-Version: 1.0\r\n";
     $headers .= "Content-type: text/html; charset=iso-8859-1\r\n";
     //dirección del remitente
     $headers .= "From: Portal <portal@x.com.co>\r\n";
     //dirección de respuesta, si queremos que sea distinta que la del remitente
     $headers .= "Reply-To: jeje@x.com.co\r\n";
       $consecutivo_portal = "<br>Ha llegado al limite de recibos<br>";
     $consecutivo_portal .= "<table border='0' cellspacing='2' cellpadding='2'>
               <tr>
               <td>FAVOR PEDIR A </td>
               <td><img src='http://www.supertiendaonline.com/plantilla/images/logo_envia.jpg' border='0'></td>
               <td>NUEVA CANTIDAD DE CONSECUTIVO</td>
              </tr>
            </table>";
     mail("x@x.com.co","Finalización Consecutivo Portal",$consecutivo_portal,$headers);
    }
  }
  echo "<br>";
  //SELECT MAX(con) FROM tbsolicitud_db
  echo $query_maximo = "SELECT * FROM tbsolicitud_db WHERE con=(SELECT MAX(con) FROM tbsolicitud_db)";
  $result_maximo = mysql_query($query_maximo);
  while ($row=mysql_fetch_array($result_maximo))
  {
    $p_maximo = $row["con"];
  }
   

  //ESTA SOLA PARTE HACIA TODO LO QUE YO MODIFIQUE ARRIBA ARRIBA
  /*$query = "INSERT INTO tbsolicitud_db VALUES (null,'$p_sesion','$p_con_usuario',
'$p_conus','$p_conus','',0,'$p_dire','$p_tele','$p_correo',
'$f_ciu','$p_depe',now(),now(),now(),now(),0,0,'0','','',0)";
  $result = MYSQL_QUERY($query);
  if ($result == 0)
  {
    mysql_close();
    $errmsg="Error Creando la Licitación";
    malo($errmsg);
  }
  /*AQUI CAPTURAMOS EL VALOR DEL ULTIMO INSERT
  //Y SE LO ASIGNAMOS A 'num_licitacion' EN LA LINEA 394
  //parent.location = ("./resumen_rep.php?num_licitacion=<?echo "$p_num_licitacion"?>");*/
  /*$p_maximo = MYSQL_INSERT_ID();*/
  //HASTA AQUI


  echo "<br>";
  echo $p_num_licitacion = $p_maximo;
 

  /*HASTA AQUI LLEGA LA MODIFICACION
  --------------------------------------------------------------*/
<!--html2--></td></tr></table><div class='postcolor'><!--html3-->
A ver explico un poquito; antes lo único que se hacia era agregar el dato dentro de la tabla 'tbsolicitud_db' y se sabia por medio de 'MYSQL_INSERT_ID()', cual fue el último registro insertado.

Qué hice yo?; Cree una tabla 'tbcode_consecutivo' la cual manejara los consecutivos de la requisición por empresa, que por que asi; por que ENVIA manejara unos códigos de barras y para cada empresa el consecutivo debe ser diferente, no puede ser el mismo.

POR EJEMPLO:
Empresa     Valor Inicial     Valor Final
    X                  1                   10
    Y                 11                   20
    Z                 21                   30

Entonces cuando la empresa 'X' llegue a 10 esta no podra pasar a 11, en la tabla 'tbcode_consecutivo' yo debere asignar el sgte valor que me de la empresa 'ENVIA' para eso, y no podra estar entre el rango de las empresas 'Y' y 'Z', ese valor que que tomo de 'Valor Inicial' se lo asigno al campo Llave Primaria donde antes se hacia por autoincrement y lo inserto manual.

Listo el problema viene en esta línea:
SELECT * FROM tbsolicitud_db WHERE con=(SELECT MAX(con) FROM tbsolicitud_db)

por que, osea, esta me tomara el último valor ingresado en la tabla 'tbsolicitud_db' y pasara el campo Llave primaria a la variable '$p_maximo', del último registro ingresado vuelvo y aclaro, que pasa, pues al principio todo era hermoso, el paraiso ADAN - EVA y los animalitos (ahhh otra vez me sali del contexto ), no ahora si de verdad, al principio comence a probar con la empresa 'Z', osea, que se estában guardando datos del 21 al 30, después me pase a probar con la empresa 'X' y aquí vino el problema.....

Cuando hago la consulta 'SELECT * FROM tbsolicitud_db WHERE con=(SELECT MAX(con) FROM tbsolicitud_db)', esta toma el dato último de la tabla Ejemplo en el caso de que se haya ingresado por 'Z' el 23, y lo va a asignar a la variable '$p_maximo', sabiendo que el último dato en la empresa 'X' Ejemplo fue 14.

Nota Aclaratoria: El valor del consecutivo si se esta ingresando correctamente aca:
INSERT INTO  tbsolicitud_db VALUES ('$vr_act','$p_sesion','$p_con_usuario','$p_conus','$p_conus',
'',0,'$p_dire','$p_tele','$p_correo','$f_ciu','$p_depe',now(),
now(),now(),now(),0,0,'0','','',0)";
y guarda el dato 14.

Que pasa?, pues me toca devolverme una forma, osea, antes de decir grabar y entrar al formulario que hace lo del script de arriba y volver a decir grabar, para que me tome el dato 14 y si me haga correctamente el 'SELECT * FROM tbsolicitud_db WHERE con=(SELECT MAX(con) FROM tbsolicitud_db)'.

Alguien sabe como puedo remediar esto?
Alguna Solución?

La más importante ¿ME ENTENDIERON?  

Gracias Chao.

Hola chicos de SoloCodigo, necesito arreglar un problema.

Lo que pasa es que en una aplicacion donde se pide al usuario que seleccione un dato a través de un combobox1 y según sea la opción se debe llenar un combobox2 con las sub_opciones de esa opción, algo así como cuando uno llena el País en el Hotmail y aparecen los estados de dicho País.

Me pueden dar una ayuda o un enlace con info al respecto.

Me la imagino por medio de JavaScript, pero es que soy un poquito malo para este, y pues no quiero hacerlo por php ya que me tocaria modificar una tabla con unos datos que ya existen y blablablabla.

Gracias Chao.

Información extraida de Rompecadenas
La idea detrás de este virus troyano es capturar todo lo que el usuario teclee en su PC, y con esto conseguir información confidencial como por ejemplo claves de acceso a cuentas bancarias, por lo cual empresas como BBVA, Banco de Valencia o Caja Madrid se ven afectadas en el problema.

Websense afirma que ya hay 25 mil computadoras personales infectadas con este malware, ubicadas en empresas como Westpac, Kasikorn Bank, Banco de Valencia (España), Commonwealth Bank , BBVA (España), Caja Madrid (España), Bank of America, Unicaja (España), Wells Fargo, Sparkasse, Deutsche Bank, Gad, Commerz Bank y Post Bank entre otras.

Lo interesante e innovador de todo esto es que el virus posee un sistema de localización, por el cual el delincuente informático detrás de un panel de control recibe un enlace a Google Maps con la ubicación exacta de la dirección de IP de la computadora infectada.

Además  el virus troyano instala un servidor Web en la máquina afectada que posibilita al agresor llegar al equipo en cualquier momento de forma online. Para lograrlo, el delincuente tiene un panel de control donde pueden poseer una lista completa del total de los equipos vulnerados también la dirección IP, país, puertos que usan para llegar a la PC haciendo uso de diferentes protocolos, e incluso, un link a Google Maps que indica con exactitud dónde se encuentra la IP localizada.

Más información:
http://www.virusprot.com/virus-inform%E1ticos/no ticias-virus/seguridadinformatica-virus-Google-maps-news2002 07.htm