{"id":123,"date":"2007-04-02T11:54:36","date_gmt":"2007-04-02T14:54:36","guid":{"rendered":"http:\/\/talsoft.com.ar\/weblog\/?p=123"},"modified":"2007-04-02T11:54:36","modified_gmt":"2007-04-02T14:54:36","slug":"alerta-amarilla-por-ataques-a-vulnerabilidad-ani","status":"publish","type":"post","link":"https:\/\/www.talsoft.com.ar\/site\/es\/alerta-amarilla-por-ataques-a-vulnerabilidad-ani\/","title":{"rendered":"Alerta Amarilla por ataques a vulnerabilidad .ANI"},"content":{"rendered":"<p><font size=\"2\"><em>Por Jose Luis Lopez<br \/>\n<a href=\"mailto:videosoft&#64;videoso&#102;&#116;&#46;&#110;&#101;&#116;&#46;&#117;&#121;\">&#x76;&#105;&#100;e&#x6f;&#x73;&#111;f&#x74;&#x40;&#118;id&#x65;&#111;&#115;o&#x66;&#x74;&#46;n&#x65;&#x74;&#46;&#117;y<\/a><\/em><\/p>\n<p>Nuestro nivel de alertas ha sido elevado a amarillo, debido al aumento de reportes sobre el exploit de la vulnerabilidad en archivos de cursores animados de Windows. El sitio del ISC (Internet Storm Center), tambi\u00c3\u00a9n ha cambiado su nivel de alerta por este motivo.<\/p>\n<p>Es importante aclarar, porque puede crear confusi\u00c3\u00b3n, que a\u00c3\u00ban cuando el nivel de alerta pase a amarillo, nuestros gr\u00c3\u00a1ficos en \u00abVirus Reporte\u00bb, <a href=\"http:\/\/www.vsantivirus.com\/virusreporte.htm\">http:\/\/www.vsantivirus.com\/virusreporte.htm<\/a>, no han tenido mayores variaciones, y solo se han generado algunos picos aislados, sin demasiada relevancia para las estad\u00c3\u00adsticas totales en las \u00c3\u00baltimas horas. Al menos hasta el momento de escribir esta nota (02:00 UTC del 1\/04\/07).<\/p>\n<p>La raz\u00c3\u00b3n es que no ha aumentado la cantidad de reportes globales, sino su peligrosidad, al enfocarse mayormente en el exploit que afecta a Windows. Tambi\u00c3\u00a9n porque el peligro se centra en la visita a sitios comprometidos, m\u00c3\u00a1s que en correo electr\u00c3\u00b3nico infectado, aunque este es otro vector de ataque que no debemos descuidar.<\/p>\n<p>El mayor problema, es que el c\u00c3\u00b3digo de dicho exploit ha sido hecho p\u00c3\u00bablico, y resulta hasta trivial su modificaci\u00c3\u00b3n para cualquiera con m\u00c3\u00adnimos conocimientos.<\/p>\n<p>La cantidad de sitios reportados, que ejecutan el exploit cuando el usuario los visita (ninguna acci\u00c3\u00b3n extra es requerida), crece r\u00c3\u00a1pidamente. Muchos de esos sitios, son muy visitados, sobre todo por usuarios que toman pocas o ninguna precauci\u00c3\u00b3n (por ejemplo, sitios de intercambio social, etc.).<\/p>\n<p>Algunos reportes, hablan de nuevas variantes, o variantes modificadas, de conocidos gusanos o troyanos, que utilizan este exploit para propagarse.<\/p>\n<p>Algunos de ellos son reportados como variantes del Fujacks, un gusano que tambi\u00c3\u00a9n es capaz de infectar archivos ejecutables.<\/p>\n<p>Otros, inyectan enlaces que apuntan al exploit en archivos .ASP, .ASPX, .HTM, .HTML, .JSP y .PHP. Estos enlaces terminan descargando no solo nuevas variantes del propio exploit, sino otra clase de malware.<\/p>\n<p>Como no importa la extensi\u00c3\u00b3n de los cursores e \u00c3\u00adconos animados a la hora de ejecutarse, las posibilidades de pasar desapercibidos es mucha (cada vez recibimos m\u00c3\u00a1s ejemplos de archivos .JPG, cuando la extensi\u00c3\u00b3n original suele ser .ANI).<\/p>\n<p>El aumento de spam (correo no deseado), con enlaces a sitios comprometidos, tambi\u00c3\u00a9n es notorio. Muchos de esos mensajes son detectados como variantes del Nuwar.gen.<\/p>\n<p>Algunos de estos correos electr\u00c3\u00b3nicos, en formato HTML, contienen el exploit en el propio mensaje. La acci\u00c3\u00b3n del exploit puede ocurrir a\u00c3\u00ban cuando se intente leer el mensaje como simple texto sin formato.<\/p>\n<p>Esto se explica en nuestro art\u00c3\u00adculo \u00ab<a href=\"http:\/\/www.vsantivirus.com\/vul-cve-2007-1765.htm\">Todo sobre la vulnerabilidad en cursores                 animados<\/a>\u00ab, publicado en nuestro \u00c3\u00baltimo bolet\u00c3\u00adn.<\/p>\n<p>Por todas esas razones, subir nuestro nivel de alerta a nivel amarillo, nos parece necesario en este momento, para que los usuarios mantengan toda su atenci\u00c3\u00b3n en este problema.<\/p>\n<p>Las precauciones posibles que pueden tomarse, e incluso una utilidad no oficial para minimizar el efecto del exploit, pueden ser encontradas en el art\u00c3\u00adculo anteriormente mencionado.<\/p>\n<p><strong>M\u00c3\u00a1s informaci\u00c3\u00b3n:<\/strong><\/p>\n<p>Todo sobre la vulnerabilidad en cursores animados<br \/>\n<a href=\"http:\/\/www.vsantivirus.com\/vul-cve-2007-1765.htm\">http:\/\/www.vsantivirus.com\/vul-cve-2007-1765.htm<\/a><\/p>\n<p><strong>Relacionados:<\/strong><\/p>\n<p>Virus Reporte<br \/>\n<a href=\"http:\/\/www.vsantivirus.com\/virusreporte.htm\">http:\/\/www.vsantivirus.com\/virusreporte.htm<\/a><\/p>\n<p>Explicaci\u00c3\u00b3n de c\u00c3\u00b3digos de alertas<br \/>\n<a href=\"http:\/\/www.vsantivirus.com\/codigos-alertas.htm\">http:\/\/www.vsantivirus.com\/codigos-alertas.htm<\/a><\/font><\/p>\n<p>Fuente: <a href=\"http:\/\/www.vsantivirus.com\">VSAntivirus<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Por Jose Luis Lopez &#118;i&#x64;e&#x6f;s&#x6f;f&#x74;&#64;&#x76;i&#x64;&#101;&#x6f;&#115;&#x6f;&#102;&#x74;&#46;&#x6e;&#101;&#x74;&#46;&#x75;&#121; Nuestro nivel de alertas ha sido elevado a amarillo, debido al aumento de reportes sobre el exploit de la vulnerabilidad en archivos de cursores animados de Windows. El sitio del ISC (Internet Storm Center), tambi\u00c3\u00a9n ha cambiado su nivel de alerta por este motivo. Es importante aclarar, porque puede crear [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[3,4],"tags":[],"class_list":["post-123","post","type-post","status-publish","format-standard","hentry","category-articulos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/123","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/comments?post=123"}],"version-history":[{"count":0,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/123\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/media?parent=123"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/categories?post=123"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/tags?post=123"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}