VSAntivirus advierte de la aparición del gusano Sasser. Como en el caso de Blaster, el usuario no tiene que abrir un correo, ni ejecutar un archivo, ni hacer nada en absoluto, basta con estar conectado a Internet para infectarse.

La vulnerabilidad que aprovecha el virus, que Microsoft solucionó en sus parches del pasado mes de abril, está en una de las interfaces del protocolo RPC asociada con el servicio LSASS. Sólo las distintas versiones de Windows 2000 y Windows XP están afectadas.

Pese a que, igual que en el caso de Blaster, hay un parche de Microsoft que soluciona el problema, que se sabía que existían exploits para sacar provecho de la vulnerabilidad y de los avisos de Microsoft de que el riesgo de aparición de un gusano de estas características era alto, más los continuos rumores de la aparición inminente del mismo, parece (a juzgar por el número de usuarios reportando la infección en distintos foros) que son muchos los que no han parcheado sus equipos. Un firewall bien configurado también impediría la infección incluso aunque no se hubiera aplicado el parche todavía.

Para desinfectarse, hay que descargar el parche de Microsoft en primer lugar, y actualizar y usar un antivirus después. También pueden seguirse las instrucciones para la desinfección manual que VSAntivirus proporciona. Al aplicar el parche de Microsoft desaparecerán las molestias (los reinicios del equipo) que causa el virus, pero ésto no lo elimina. Una de las causas de que Blaster permaneciera activo tanto tiempo fue que muchos usuarios no desinfectaron sus equipos después de aplicar el parche, por lo que el gusano continuaba reproduciéndose e infectando otros ordenadores desde equipos ya parcheados.

Actualizado 2/5/2004

El virus 'Sasser' afecta a millones de ordenadores en todo el mundo.

Ayer, como cada segundo martes de mes, Microsoft publicó su boletín de seguridad con, en este caso, su parche correspondiente, ya que sólo hay una vulnerabilidad grave que corregir. Ha sido un mes bastante tranquilo, Sasser aparte, sólo un par de fallos menores, con poco peligro, en Outlook Express, que ni yo he nombrado aquí, ni a Microsoft le ha parecido necesario corregir.

La vulnerabilidad que soluciona el único parche de este mes está, otra vez, en el sistema de ayuda de Windows, y afecta sólo a las versiones XP y 2003 de este sistema operativo. Como todos los fallos anteriores del sistema de ayuda, es muy fácil sacar provecho de él, basta con convencer al usuario de que pinche en un enlace especial, ya sea en una página web o en un correo electrónico. Un atacante que logre ésto podría hacerse de hecho con el control del equipo, ya que el bug permite instalar y ejecutar cualquier programa, sin que el sistema muestre ninguna advertencia de lo que ocurre. Hay algún dato más que podría resultar interesante, ya que de nuevo han solucionado un agujero de seguridad eliminando la fuente del problema en lugar de arreglarla, en el artículo al respecto de VSAntivirus.

Mi recomendación es desconectar el sistema de ayuda, casi nadie lo usa, y es una fuente constante de problemas de seguridad. Para ello, en Windows XP, hay que ir a Inicio, pulsar Ejecutar, escribir en la ventana que se abre services.msc /s, en la nueva ventana, hacer doble-clic en "Ayuda y soporte técnico" y en tipo de inicio, elegir Deshabilitado.

Nota: Para el que el parche de Microsoft funcione correctamente, el sistema de ayuda debe estar habilitado. Después de instalar el parche, ya puede deshabilitarse tranquilamente.

Desde el 13 de abril que Microsoft publicó los detalles de la vulnerabilidad que aprovechaba el gusano Sasser, hasta que éste empezó a manifestarse, el último día del mismo mes, fueron apareciendo, en rápida sucesión, numerosos exploits para el bug en el servicio LSASS.

Varios de estos exploits fueron incluidos rapidamente, antes de la aparición de Sasser, en diversas variantes de troyanos de la familia de los peligrosos Phatbot/Agobot/Gaobot.

Los antivirus son de poca utilidad ante los troyanos, salvo que sean muy conocidos y las nuevas versiones vayan apareciendo en intervalos largos de tiempo; y éste no es el caso de esta familia de troyanos, que raro es el día que no hay versión nueva (a veces más de una diaria). Además, estos troyanos lo primero que hacen es preocuparse de desactivar firewalls (la única defensa verdaderamente efectiva contra ellos) y antivirus (si hay alguno instalado) y, a veces, impedir la conexión a las páginas de éstos últimos, para que no sea posible la actualización de sus ficheros de firmas.

Después de estos tres párrafos introductorios, ya es hora de ir a la razón del título de esta nota. En un gran número de los equipos infectados por Sasser se están encontrando también una o más variantes de alguno de estos troyanos. Así como Sasser era practicamente inofensivo, no es el caso de estos "*bot", que hacen de todo, roban contraseñas, recogen números de tarjetas de crédito y de la seguridad social, usan las máquinas infectadas para enviar spam y realizar ataques DDoS (ataques sobre sitios web)...

Pese a que apenas se les da publicidad, son más peligrosos que cualquiera de los gusanos corrientes (y por lo general, casi inofensivos) de los que oímos hablar tan a menudo; datos de F-Secure del mes de marzo indican que podría haber cientos de miles de máquinas infectadas por alguno de estos troyanos; ahora mismo, la cifra podría muy bien haberse multiplicado.

El cortafuegos de Windows XP es perfectamente inútil contra cualquier troyano, para defenderse de éstos es necesario instalar otro de terceros. Hay muchos gratuitos que son lo suficientemente buenos, encontraras varios en esta lista.

Leo con asombro en las noticias de SecurityFocus que se ha abierto una página dedicada a recaudar fondos para ayudar al presunto autor del gusano Sasser en los juicios que le esperan, ahora que ha sido detenido.

La razones que se exponen para pedir la ayuda económica son que tanto Netsky (del mismo autor) como Sasser eran inofensivos, además, mientras que el primero era un virus antivirus, que inició una guerra contra Mydoom y Bagle (también Mimail y otros puntualmente); el segundo pretendía ser una llamada de atención sobre un agujero de seguridad grave, para obligar a la gente a parchear sus sistemas antes de que un código realmente malicioso las aprovechara (llegó algo tarde para eso, como ya vimos).

La detención del presunto autor, no ha acabado con el desarrollo del gusano Sasser, del que continuan saliendo versiones nuevas, ya sean hechas por un imitador o por otro miembro del Skynet Antivirus Team.

Se despista uno un par de días y empiezan a salir fallos de seguridad por todas partes.

http-equiv, que lleva un par de semanas buscándole las vueltas a Outlook y Outlook Express (y hallando un nuevo fallo de seguridad cada 3 días) ha encontrado uno especialmente grave, que permitiría, combinando con una vulnerabilidad de Internet Explorer de esas que se conocen hace tiempo pero que en Microsoft no se deciden a parchear, instalar y ejecutar cualquier programa a través de un objeto OLE en una página web o un documento RTF. El fallo se puede aprovechar a través de Outlook 2003 y Office 2003 en general. No hay parches todavía, así que, de momento, lo único que se puede hacer es filtrar los mensajes y adjuntos en HTML y RTF y no abrirlos. Se está investigando como podría afectar esto a versiones anteriores.

Más cosas, se ha hecho público un fallo en el navegador Opera en su versión 7.23 que permitiría descargar archivos nuevos o sobreescribir los existentes en el espacio del usuario, en todas las plataformas en las que Opera funciona. Usar un usuario sin privilegios para navegar por Internet reduce la gravedad del problema. En la nueva versión 7.50 de Opera el fallo está corregido.

Después de hacerse público el agujero de seguridad en Opera, el equipo de KDE revisó su código para ver si alguno de sus programas podría ser vulnerable a un ataque similar, encontrando que, efectivamente, su navegador web Konqueror estaba afectado, aunque era bastante más complicado de explotar exitosamente que en el caso de Opera: en primer lugar, porque había que abrir Kmail a través de un enlace mailto: y en segundo, porque éste pregunta antes de iniciar la conexión para descargar el archivo. En cualquier caso, KDE proporcionó parches inmediatamente y avisó a todas las distribuciones que incluyen sus programas tres días antes de hacerlo asímismo público.

Todavía no acaba la cosa ahí, porque Safari, el navegador por defecto de MacOSX e Internet Explorer 5.2 para Mac también están afectados por varios fallos similares, que además, en este caso, también permiten ejecutar directamente los archivos descargados. Dado que aún no hay parches, se recomienda no navegar como administrador y no visitar sitios que no sean de plena confianza.

Neowin publica una entrevista a Ben Goodger, desarrollador-jefe del navegador libre Firefox. En esta entrevista, Ben habla acerca de su trabajo con Firefox y avanza las novedades de la versión 0.9, con salida prevista para este verano. Esta nueva versión vendrá ya con todas las características de la 1.0 final, y el trabajo se centrará a partir de entonces en limpiar el código, arreglar los bugs que queden y buscar alcanzar la máxima estabilidad.

Los desarrolladores de extensiones se encontrarán con que el sistema ha vuelto a cambiar, aunque, por suerte para ellos, será la última vez, ya que el nuevo sistema permitirá al usuario instalar, desinstalar y actualizar extensiones, a la vez que controlará que no se produzcan incompatibilidades entre ellas que puedan hacer caer el navegador. Aún así, y por si acaso, también se añade un modo seguro de arranque, sin cargar ninguna extensión (característica que será especialmente útil al actualizar de 0.8 a 0.9).

Como viene siendo habitual, el sistema de temas también cambia: permitirá cambios más radicales en la interfaz, así como actualizar los temas instalados.

El tamaño del fichero a descargar para instalar la nueva versión se reduce a 4,6MB, principalmente gracias al cambio del algoritmo de compresión (ahora se usara 7z, el formato de 7zip).

La nueva versión de Firefox tratará de facilitar lo máximo posible la migración de los usuarios de otros navegadores (incluidos Internet Explorer, Netscape, Mozilla y Opera) importando todos los datos de usuario: cookies, favoritos, contraseñas, historial, datos de formularios y palabras clave de búsquedas.

Finalmente, habrá mejoras en la gestión de marcadores y en las búsquedas; además, Firefox podrá lanzar el lector de correo/news por defecto en el sistema sin necesidad de instalar extensiones para ello (ésto último, en principio, no me gusta nada, hay demasiadas máquinas en las que Outlook Express es el lector por defecto, y se podría dar algún caso de spoofing que afectara también a los usuarios de Firefox/Outlook Express además de los del clásico binomio Internet Explorer/Outlook Express).

Resumiendo, ningún cambio especialmente espectacular, pero sí bastantes mejoras que se venían pidiendo en versiones anteriores.

Anti-Trojan ha desaparecido y ha sido sustituido por a². El nuevo a² ya no sólo es un antitroyano, también detecta y elimina gusanos, dialers y spyware. La buena noticia es que, a diferencia de su predecesor, a² tiene versión gratuita, que además es de libre distribución. La única diferencia con la versión de pago es la ausencia de una herramienta de actualización automática, pero eso no es una gran desventaja, porque el programa puede actualizarse manualmente. Probablemente es el antitroyano funcional gratuito más eficaz ahora mismo. Lo he añadido a la lista.