Panda Software informa sobre la aparición de un gusano que se propaga a través de la red MSN de mensajería instantánea engañando a los usuarios del programa MSN Messenger.

Jitux.A envía un mensaje desde las máquinas infectadas, usando la identidad del dueño, invitando a descargar un archivo ejecutable (jituxramon.exe), a todos sus contactos, a intervalos de 5 minutos, que aparecerá en la ventana de conversación de MSN Messenger. Si se ejecuta el archivo descargado, el ordenador queda infectado también y comienza a enviar el mensaje a toda la lista de contactos del nuevo huesped del gusano.

Jitux.A no provoca daños (no borra ficheros, no desconfigura el sistema...) en los equipos que infecta, aparte del tráfico extra en la red MSN y el gasto de recursos en la máquina infectada. A pesar de la altas calificaciones en peligrosidad y propagación que le otorga Panda Software, no espero que el gusano tenga un gran impacto. El archivo no se autoejecuta, debe ser lanzado de forma manual por el usuario y, con una ventana de conversación abierta con el infectado, no será difícil descubrir el engaño. Además, necesita a MSN Messenger para propagarse, aquellos que usen otros programas para conectar con la red MSN (Miranda IM, Trillian, un cliente Jabber...) no propagarán el virus aunque se infecten y, por supuesto, los que se conectan a la red MSN, ya sea directamente, como hacen Gaim o AMSN; o a través de pasarela con cualquiera de los clientes Jabber, desde otras plataformas ni siquiera pueden infectarse.

P.D. Ah, sí, casi se me olvida. Feliz (y seguro) año :-)

El CATA ha publicado un decálogo (en realidad, tiene doce puntos) de prevención para ordenadores nuevos.

La idea es buena, pero está llevada a cabo de forma... descuidada, por decir algo, y contiene varios errores e inexactitudes, por lo que a continuación citaré y comentare los puntos que creo que no son correctos.

1.- Antivirus: antes de conectar su ordenador a la red, compruebe que cuenta con un antivirus instalado. Este antivirus puede estar incluido en las aplicaciones propias de su PC, o ser un servicio más de su proveedor de internet.

Si el documento pretende orientarse a ordenadores nuevos, que prácticamente no se venden más que con Windows XP, debería nombrarse el virus Blaster (ver Windows XP: Cómo sobrevivir al primer día). Por mucho que haya un antivirus instalado, si no está actualizado, no servirá más que para ocupar espacio en el disco duro. Si es lo suficientemente nuevo, con suerte, detectará a Blaster, si la caja del antivirus lleva más de 5 meses en la estantería de la tienda (la última versión en venta de muchos antivirus tiene casi un año), no detectará este virus y ya son conocidos sus efectos.

2.- Sistema Operativo: compruebe que el sistema operativo que instale en su ordenador es la última versión del mismo, de tal forma que incluya todas las aplicaciones de seguridad prevista; puede actualizar su sistema operativo en las páginas del CATA.

Incluso suponiendo, que ya es mucho suponer, que esté preinstalado Windows XP con el Service Pack 1 (que es la última versión disponible) y no la versión original del sistema operativo, los parches para las distintas versiones de Blaster no estarán incluidos, puesto que son posteriores a él. El sistema sigue siendo vulnerable al conectarse a Internet. Por otro lado, no es de recibo que se indique que puede actualizarse el sistema operativo desde las páginas del CATA. El servicio Windows Update es el único lugar al que se debería acudir para actualizar un sistema operativo Windows. De otro modo podrían ocurrir cosas desagradables.

3.- Ventanas indeseadas: si no desea disponer de ventanas publicitarias emergentes que en ocasiones se disparan las navegar por determinadas sitios de internet, no olvide instalar las aplicaciones que lo evitan, y que puede encontrar en el propio Centro.

¿Hay alguién que quiera ver ventanas publicitarias mientras navega? Internet Explorer no es un programa seguro (si llevo bien la cuenta, en este momento tiene 23 problemas de seguridad no corregidos) y no tiene antipop-up. El uso de otros navegadores debería estar recomendado.

4.- Actualizar: todas las compañías de sector publican actualizaciones de sus productos de forma regular; visite en centro en internet ---www.alerta-antivirus.es--- para bajarse las últimas versiones.

Correcto, pero vuelve a indicar la página del CATA como punto de descarga. Debería indicar que deben visitarse las páginas oficiales de cada producto. Ya sé que las páginas del CATA de actualizaciones te redireccionan a las páginas oficiales, pero es una cuestión de educación y buenos hábitos, se empieza por ésto y se termina bajando el Emule de www.1000descargas.com (la ausencia de enlace es intencionada).

5.- Software legal: puede parecer innecesario decirlo, pero es bueno recordar que el software legal es seguro, en tanto que las copias piratas tienen grandes riesgos ante problemas de seguridad; además, en este último caso nunca podrá contar con una garantía comercial a la que recurrir.

Cierto, pero a medias. El software legal, tanto descargado desde un sitio oficial como comprado, es más seguro que una copia realizada por no se sabe quién y descargada de una página en negros y verdes con calaveras y llamas por todas partes. De todas formas el único software realmente seguro es el que tiene su código fuente a la vista de todos. Además, las garantías comerciales de software no dan garantía alguna. Son simples licencias en las que se declina cualquier responsabilidad al tiempo que se indica al usuario qué es lo que no puede hacer con el software, esto incluye, normalmente, casi todo lo imaginable, dejando libertad al usuario únicamente para instalarlo en un solo equipo y a su propio riesgo.

6.- Cortafuegos: un cortafuegos o "firewall" es un software destinado a garantizar la seguridad en sus comunicaciones vía Internet al bloquear las entradas sin autorización a su ordenador y restringir la salida de información. Instale un software de este tipo si dispone de conexión permanente a Internet, por ejemplo mediante ADSL, y sobretodo si su dirección IP es fija.

El uso de un cortafuegos es recomendable sea cual sea el tipo de conexión. Puede evitar la infección (Blaster) o la propagación (Bugbear) de algunos virus, por no hablar de troyanos.

Con los otros seis puntos no voy a meterme, me parece que están bien expuestos.

Gracias a Error500 me entero de que Microsoft ha publicado una herramienta contra Blaster. La noticia aparece también (en inglés) en The Register y en internetnews.com.

Teniendo en cuenta que hace casi 6 meses de la aparición del gusano y que Microsoft (aún no) se dedica a los antivirus, no me lo esperaba. De todas formas, tal y como se explica en la página de información y descarga de la herramienta (también en inglés) la mejor opción sigue siendo un antivirus actualizado para deshacerse de Blaster, ya que Microsoft no asegura que su herramienta pueda limpiar todas las versiones del gusano.

Al parecer y, según Microsoft, son muchos los usuarios que, tras instalar el parche de seguridad, no se han molestado en desinfectarse del virus, ya que éste sólo provoca reinicios e inestabilidad (según la versión, XP o 2000, del sistema operativo) en el momento de la infección y, por lo tanto, se vuelve invisible para el usuario. Las máquinas infectadas, incluso estando ya parcheadas, siguen permitiendo que el virus se reproduzca y busque nuevos equipos vulnerables que infectar. Realmente, esta podría ser muy bien la causa de que el virus se encuentre todavía tan activo (no hay más que echarle un vistazo a los logs del firewall para darse cuenta de que aún está muy vivo), porque no creo que haya muchos equipos aún sin parchear soportando reinicios o cuelgues cada 5 ó 10 minutos.

Ya que la misma Microsoft reconoce que su herramienta no es muy útil (porque todas las casas antivirus han sacado, ya hace tiempo, la suya propia más efectiva), espero que al menos sirva para que algunos usuarios más desinfecten sus máquinas, que están causando grandes problemas a los que estrenan ordenador y a aquellos que tienen que reinstalar.

No me cabe duda de que las esperanzas de la empresa de Redmond no son muy distintas de las mías, porque lo que sucede con los equipos nuevos no es precisamente buena publicidad.

Sí, virus, o peor aún, troyanos. Al menos eso es lo que dice un informe (en inglés) de TruSecure. La noticia se puede leer en español en DiarioTI.

Aunque la noticia se refiere a lo que se comparte en la red de Kazaa (FastTrack), no hay que olvidar que el propio programa no está libre de malware, con casi total seguridad es el programa que más spyware y adware incorpora.

Otra buena razón para cambiar a otras redes menos masificadas, pero más seguras y usar programas libres de spyware para el intercambio de archivos (P2P). En SpywareInfo mantienen una lista con los programas de intercambio que no traen "regalos" indeseados consigo.

Se ha publicado en la lista de BugTraq (SecurityFocus) que la versión 5.6.0.1351 y todas las inferiores de Yahoo! Messenger sufren un desbordamiento de buffer al manejar, durante la recepción de un archivo, nombres de fichero demasiado largos (por encima de 215 caracteres). Existe la posibilidad de ejecutar código en la máquina con el programa vulnerable aprovechando este fallo.

Los usuarios de Yahoo! Messenger deberían bajar la última versión (5.6.1358) que soluciona este problema.

La mayoría de usuarios difícilmente conocerán a alguién capaz de hacer daño a través de este bug, así que deberían aceptar el archivo de un desconocido (algo que nunca debería hacerse), por lo que el fallo no entraña, en principio, demasiado peligro. Lo que si me parece peligroso es que Yahoo!, aunque ha arreglado el error en su nueva versión, no lo ha notificado como fallo de seguridad ni lo ha publicado en una nota de actualización. Si no se le da publicidad a un fallo conocido, se crea una situación en la que poca gente (todavía menos de lo habitual) se entera de que debería actualizar, siendo el error conocido por sólo unos pocos, los que tienen la habilidad necesaria para hacer algo peligroso con ello, si más adelante se da la oportunidad (en forma de otro bug).

Hay en circulación un correo electrónico que, aprovechando una de las vulnerabilidades de Internet Explorer (en concreto, de la que hablé aquí), trata de engañar a los usuarios del servicio de banca on-line del Banco Popular para que entreguen su número de tarjeta y su contraseña de acceso al servicio a los estafadores. Para lograr ésto, se ha creado un duplicado de la página de acceso del banco en otro servidor y se usa el fallo de Internet Explorer para sustituir en la barra de direcciones la URL real por la del banco, haciendo imposible para los usuarios de este navegador diferenciarla de la auténtica. Más detalles, en la noticia de Hispasec.

Cuando anuncié ese bug de IE, hace más de un mes, ya avisé de que ésto era posible. El error aún no ha sido subsanado por Microsoft (aunque es de esperar que los parches de este mes, cuando salgan, la solucionen) por lo que afecta a todos los usuarios de Internet Explorer, aunque tengan todas las actualizaciones disponibles instaladas.

La única solución en este momento es no usar el navegador de Microsoft para visitar páginas que requieran de información sensible (especialmente contraseñas y números de tarjeta de crédito) para funcionar, mucho menos acceder a éstas pinchando en un enlace. Dado que éste navegador tiene, en este momento, 23 fallos que dan como resultado diversos problemas de seguridad (este es sólo uno de ellos) es buena idea usar directamente otro navegador para todo. Mozilla o Mozilla Firebird son, probablemente, las mejores opciones en este momento.

El otro día enlazaba una página que recopilaba un bonito montón de buenos diseños, pero decía faemino que echaba de menos una categoría para los weblogs. Para cubrir el hueco, vía fran y manu apunto Blog Design Showcase.

He nombrado, anteriormente, en un par de ocasiones, la doble lista que SpywareInfo mantiene sobre los programas de intercambio de archivos que están o no libres de spyware.

Vía blogpocket me entero de que VSAntivirus se ha comprometido a mantener esta lista actualizada y en castellano. La traducción viene precedida por una introducción al tema del spyware y los programas P2P que no hay que dejar de leer.

Soy consciente de que a mucha gente se le atraganta la información más o menos técnica, mucho más si ésta está en inglés, por lo que me parece una estupenda noticia.

Microsoft ha publicado puntualmente los parches de enero, tras su falta a la cita de diciembre. Son tres los parches publicados, sólo uno de interés para los usuarios comunes.

Ninguno de ellos cubre las recientes vulnerabilidades de Internet Explorer, ni ninguna de las que se arrastran de meses anteriores, pese a que están siendo explotadas (lo que es lógico, ya que se está dando muchísimo tiempo para hacerlo) y generando cierta alarma. Habrá que esperar a ver si este mes se lanza algún parche de forma especial o hay que esperar otro mes entero. Mi recomendación sigue siendo cambiar de navegador para evitarse sustos.

Al menos una empresa antivirus ha incluido los caracteres especiales que hay que añadir a un enlace para aprovechar la vulnerabilidad que permite cambiar la dirección de la página que estamos viendo (la que se usaba en el caso del intento de estafa a los clientes del Banco Popular) a sus ficheros de firmas. Esto significa que un correo electrónico que contenga un enlace construido para aprovechar esta vulnerabilidad hará saltar este antivirus (siempre que este actualizado y correctamente configurado, claro).

El parche que me interesa destacar es el que afecta a MDAC, un conjunto de componentes para proveer al sistema operativo de interoperatividad con distintas bases de datos. Una aplicación que el usuario de un PC doméstico difícilmente echaría de menos si no estuviese (aunque no dudo de su utilidad en entornos de oficina y pequeñas redes) pero que se instala por defecto en Windows 2000 y Windows XP. Algunos programas, especialmente pequeñas aplicaciones (o extensiones de otros programas) desarrolladas en Visual Basic (otro producto Microsoft) pueden requerir su instalación para funcionar (o el mismo instalador podría contener MDAC e instalarlo), así que todos los usuarios de un sistema operativo Windows, no importa su versión, deberían visitar Windows Update para comprobar si necesitan el parche.

La vulnerabilidad que corrige es un desbordamiento de buffer bastante complicado de explotar (incluso sería necesaria cierta colaboración por parte del usuario), pero no está de más actualizar y aplicar el parche porque, aunque ahora no pueda hacerse nada peligroso con él en la práctica, siempre se corre el riesgo de que aparezca otra vulnerabilidad que permita aprovechar ésta de forma sencilla conjugando ambas. En Internet Explorer, que siempre tiene varias vulnerabilidades sin corregir, han sido varias las ocasiones en las que, partiendo de varias vulnerabilidades sin riesgo inmediato se ha hallado un método para combinarlas de un modo realmente sencillo y peligroso para el usuario final.

Por terminar con una buena noticia, Microsoft también ha anunciado que ampliará el soporte para Windows 98 (que hubiera perdido el soporte este mismo mes) y para Windows ME (que hubiese terminado a final de año) durante, al menos, otros dos años, por lo que seguirá publicando, siempre que lo crea necesario, parches de seguridad para estos dos sistemas operativos durante ese período.

La versión 1.6 de la suite Mozilla ya está disponible para descarga, como siempre, con versiones para Windows, Linux y Mac OS X.

Además de distintas mejoras en cada uno de sus apartados y un mejor soporte (sí, aún mejor) para CSS2, en esta versión se corrige el famoso bug del URL Spoofing en la barra de estado.

La documentación y el soporte de la comunidad a Mozilla y Mozilla Firebird en castellano sigue aumentando. El Proyecto Nave ya tiene lista para descarga la traducción de Mozilla Firebird 0.7 en es-ES. La instalación del parche de idioma se ha simplificado significativamente. También han prometido que la de Mozilla 1.6 estará disponible enseguida. Además, en esta dirección hay un recopilatorio de enlaces para sustituir los que vienen por defecto en los navegadores Mozilla por material en castellano, incluida la ayuda del programa, extensiones, temas y foros de ayuda al usuario.

Actualizado 18/1/2004

La traducción de Mozilla 1.6 al castellano ya esta disponible.

Diseño nuevo. Un poco tarde, porque pensaba tenerlo listo para primeros de año, pero aquí esta. Mi intención era hacer algo más complicado con el menú superior, al estilo del menú desplegable de mezzoblue pero, ahora mismo, no hay ningún navegador que no falle de vez en cuando al enfrentarse a algo así, por lo que esperaré a ver si mejora un poco el soporte para estas cosas. También he tenido que dejar para otra ocasión el UTF-8. No es tán fácil como yo pensaba, depende también de la configuración del servidor.

Aquellos que tengan un navegador basado en Mozilla es posible que hayan advertido que ahora pueden elegir ver la página sin estilo. En principio, no es más que un apaño para impedir que la plantilla actual, que usa posicionamiento absoluto, me moleste durante las tareas de administración (como escribir ésto). Pero, más adelante, espero poder dar a elegir entre varias plantillas por el mismo método.

Como siempre, si alguien tuviese algún problema con un navegador concreto, que me deje un comentario a ver que podemos hacer.

Rafel Ivgi (The-Insider), que en su página afirma tener 17 años y buscar trabajo como Security Researcher, ha inundado en los últimos dos o tres días la lista de correo de BugTraq (SecurityFocus) con más de una decena de nuevas "vulnerabilidades" que él mismo ha descubierto en distintos programas.

En Internet Explorer había "descubierto" tres nuevas vulnerabilidades, una de las cuales no tenía ni pies ni cabeza (ni ningún efecto, por otra parte), otra que ha resultado ser un pequeño bug conocido del servidor web Apache y una tercera que no era más que una forma, eso sí, bastante creativa, de acabar con la memoria disponible del sistema, a través de IE y Outlook Express, pero sin ningún peligro para los datos o la seguridad del sistema (aparte de obligar a estos dos programas a cerrarse cuando se acaba la memoria, claro).

Imagino que, poco a poco, se irá descubriendo que el resto de las vulnerabilidades publicadas tampoco son tales, en vista de lo que ha publicado hoy. Afirma que gracias a un fallo en el servidor del troyano NetBus, cualquiera podría subir y ejecutar archivos en la máquina infectada por el troyano y hacerse con el control de la misma. Efectivamente, ocurre así, pero es que un gran número de troyanos (NetBus entre ellos) están programados para permitir precisamente eso, luego no hay ningún error en el programa, hace exactamente lo que se espera de él, aunque, claro está, estos programas son una amenaza para la seguridad, pero eso no es ninguna noticia.

Todo esto podría parecer divertido, pero deja de serlo cuando distintas páginas de noticias de seguridad que normalmente se nutren de BugTraq o otras listas de correo similares están cayendo en el engaño y publicando las burradas que suelta este chaval.

VSAntivirus ha tenido que retractarse hoy de lo que publicaba ayer, la noticia se obtuvo de Rynho Zeros Web donde se publicó en castellano el mensaje original envíado a la lista; también han tenido que rectificar. También he visto otras "vulnerabilidades" publicadas por The-Insider en otras páginas de noticias, como SecurityTracker, pero éstas aún no han sido confirmadas ni desmentidas por nadie. Aparte de ponerse en ridículo, el muchacho está consiguiendo manchar la buena fama de BugTraq y poner en duda la credibilidad de unas cuántas páginas de noticias que, al menos, están rectificando rápidamente.

A petición de VSAntivirus para su Especial: Seguridad para redes y equipos caseros, maty hace un recopilatorio de consejos y programas útiles para la seguridad de un equipo casero, a la par que va resumiendo lo que han hecho en el 2003 en NAUTOPIA. Por en medio, deja caer que pronto lo veremos usando Movable Type. Buena noticia. Ah, y el artículo es lectura obligada para los usuarios de Windows.

Lectura para aprovechar el domingo. Gracias a Barrapunto he encontrado este interesante artículo que Ricardo Galli ha publicado en BULMA sobre el modelo de negocio basado en servicios del Software Libre. Es posible que contenga algunos símiles poco afortunados, las comparaciones es lo que tienen, pero la idea general es buena y creo que los no informáticos también encontrarán en él algunas cosas en las que pensar.

Sin duda, tanto los comentarios en BULMA como los de Barrapunto también merecerán leerse.

No entiendo nada. ¿Qué razón puede haber para que exista una extensión .Folder en los Windows XP que tenga asociado el icono de una carpeta? Salvo conseguir que algo que no sea una carpeta, aparezca como una carpeta, no se me ocurre ninguna. Pero la extensión existe.

Cualquier archivo con la extensión .Folder en Windows XP se presentará con el icono de una carpeta. A http-equiv al darse cuenta de ello, se le ocurrió coger un inocente archivo HTML como ésta misma página, por ejemplo, y cambiar la parte de .html por .Folder. El explorador de Windows muestra ahora el icono de una carpeta. Si se hace doble-click en la "carpeta" ¿qué ocurre? Pues que se abre Internet Explorer y muestra la página web. Hasta aquí, quitando la incomprensible aparición del icono de la carpeta, todo normal y sin peligro. Ahora le añadimos algo de Visual Basic Script de ese que sólo entiende el IE al HTML y un control ActiveX. Hacemos doble click otra vez, la página se muestra y el control ActiveX se ejecuta.

Para quién aún no vea el peligro, ejemplo al canto, ponte en situación, estás chateando tranquilamente con alguien, y te envía un archivo comprimido, Mis-Fotos.zip, abres el archivo y dentro hay una carpeta Mis-Fotos, haces doble click y se abre el Internet Explorer. Ahora pueden ocurrir dos cosas: una, el IE muestra una página en blanco mientras se va borrando todo el contenido del disco duro; dos, el navegador muestra una página web con fotos mientras se instala, sin que sospeches nada, un troyano que le da control completo sobre tu equipo a la persona con la que chateabas.

Soluciones: desactivar los controles ActiveX en Internet Explorer (vienen activados de serie), tener otro navegador configurado para ser el de preferencia.

Posibilidad de que aparezca un parche para ésto: Muy remota. Ya que es algo nuevo, propio de Windows XP, no creo que se lo replanteen y eliminen esa extensión especial.

Casualidades de la vida: Pese a todo, hay quien piensa que es buen momento para vender carpetas nuevas de Windows XP.

Mucho cuidado con las "carpetas" ahí fuera.

Se llama ingeniería social a toda técnica cuyo propósito sea engañar a un usuario para que facilite contraseñas u otra información delicada, o bien conseguir que ejecute un archivo que dé el control del equipo al ingeniero. Es decir, aprovechar las debilidades de las personas en lugar de las del software.

La definición de arriba no quita que fallos en algunos programas, aunque no se les pueda llamar fallos de seguridad con propiedad, sí pueden facilitar esta tarea. Como ejemplos pueden valer perfectamente la existencia de la extensión .Folder de la que hablaba ayer o el URL spoofing en Internet Explorer que aún sigue sin arreglar.

Bueno, pues hoy me toca hablar de otro de éstos. No es más que una pequeña variación de un antiguo fallo (del 2001) que ya dió origen a al menos un virus.

Para aprovechar el fallo se añade al nombre de un archivo un número del tipo {3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}, que es lo que se llama un CLSID, los sistemas operativos Windows los usan, junto con otros métodos, para saber de qué tipo es un archivo. El bug antiguo, sin solucionar en IE, como puede verse, era que ni Internet Explorer ni el Explorador de Windows mostraban el CLSID. Así un archivo llamado soyinofensivo.txt{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B} se mostraba como soyinofensivo.txt, cuando el CLSID indica que es un ejecutable (y, de hecho, un doble-click lo ejecuta). Este fallo se corrigió en el Explorador de Windows, pero no en el navegador.

La pequeña variación consiste en llamar a un archivo, por ejemplo, documento.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}%2Epdf, el navegador mostrará, tanto en la barra de direcciones como en el dialogo de descarga documento.pdf (hay una prueba de concepto operativa de ésto en Secunia). El peligro reside precisamente en el diálogo de descarga, que nos ofrece descargar a disco o abrir; si se elige abrir, el IE le pasa el control al Explorador de Windows que mira el CLSID, ve que es ejecutable y lanza un programa para abrirlo. Este programa debería ser, si realmente fuese un .pdf, Adobe Acrobat Reader, pero como no lo es, lo que en realidad se abre es el mshta.exe. Sobre lo que puede hacerse conjugando mshta.exe y el archivo descargado (adelanto que es practicamente cualquier cosa), en VSAntivirus está muy bien explicado.

Este, además de facilitar la ingeniería social, es un buen ejemplo de como combinando pequeños fallos en unos y otros programas de Microsoft (que no sólo están en todas las instalaciones, sino que tampoco pueden ser desinstalados, lo que hace muy grande el conjunto de usuarios expuestos) y que llevan mucho tiempo sin arreglarse por considerarlos "no peligrosos" se pueden conseguir cosas que no pueden calificarse como "no peligrosas".