Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Falso boletín de seguridad que descarga un troyano
 
VSantivirus No. 1991 Año 9, miércoles 21 de diciembre de 2005

Falso boletín de seguridad que descarga un troyano
http://www.vsantivirus.com/21-12-05.htm

Por Angela Ruiz
angela@videosoft.net.uy


Hace unos días comenzó a distribuirse un correo electrónico, que falsamente clama ser un boletín de seguridad de Microsoft.

El boletín ha sido enviado en forma de spam (correo no deseado), y es muy similar al reportado en junio de 2005 (ver "Falso boletín de seguridad de Microsoft", http://www.vsantivirus.com/30-06-05.htm).

Igual que aquél, éste también intenta engañar a los usuarios para que descarguen una actualización de seguridad catalogada como crítica. Sin embargo, el enlace para que el usuario descargue el supuesto parche, apunta a una dirección desde donde en realidad se descarga un troyano identificado por NOD32 como Win32/Spy.Luhn.A.

Si el usuario descarga y ejecuta dicho parche falso (un archivo llamado "Windows-KB899588-x86-ENU.exe"), se mostrarán ventanas similares a las usadas por los instaladores originales. Sin embargo, como resultado de ello el usuario resultará infectado.

Se mostrarán ventanas similares a las usadas por los instaladores originales

La redacción del mensaje, es casi igual al texto de boletines auténticos (en inglés), y se basa en una actualización verdadera ya publicada por Microsoft (ver "MS05-039 Vulnerabilidad en Plug and Play (899588)", http://www.vsantivirus.com/vulms05-039.htm).

El mensaje es el siguiente:

--- Comienzo del mensaje ---

Microsoft Security Bulletin MS05-039
Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588)

Summary: Who should receive this document: Customers who use Microsoft Windows

Impact of Vulnerability: Remote Code Execution and Local Elevation of Privilege

Maximum Severity Rating: CRITICAL

Recommendation: Customers should apply the update immediately.

Security Update Replacement: None

Caveats: None

Tested Software and Security Update Download Locations:

Affected Software: 

- Microsoft Windows 2000 Service Pack 4 - Download the update

- Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 - Download the update

- Microsoft Windows XP Professional x64 Edition Download the update

- Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 - Download the update

- Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems - Download the update

- Microsoft Windows Server 2003 x64 Edition - Download the update

Non-Affected Software:

- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)


Executive Summary:

This update resolves a newly-discovered, privately-reported vulnerability. A remote code execution vulnerability exists in Plug and Play (PnP) that could allow an attacker who successfully exploited this vulnerability to take complete control of the affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Conclusion: We recommend that customers apply the update immediately.

© 2005 Microsoft Corporation. All rights reserved. Terms of Use | Trademarks | Privacy Statement


--- Final del mensaje ---

No es la primera vez que se utiliza este tipo de engaño (ver "Relacionados").

Es importante recordar siempre que Microsoft jamás envía adjuntos de ninguna clase a sus usuarios, y que los parches solo son descargados automáticamente vía "Windows Updates", o manualmente desde las páginas que contienen sus propios boletines de seguridad.

En su sitio, Microsoft advierte desde hace bastante tiempo cuáles son sus políticas al respecto, las que pueden resumirse en los siguientes puntos:

1. Microsoft solo distribuye su software en medios físicos como CDs o discos flexibles.

2. Las actualizaciones de su software pueden ser hechas vía Internet. Cuándo ello sucede, el software está disponible en su sitio web, http://www.microsoft.com, o ser localizado a través de http://www.microsoft.com/downloads/search.asp?, o del servicio http://windowsupdate.microsoft.com/

3. Microsoft puede enviar correo electrónico a sus clientes para informarles de actualizaciones disponibles. Sin embargo, los mensajes solo proporcionan los enlaces a los sitios anteriormente mencionados. Nunca se adjunta al mensaje software alguno. Además, los enlaces siempre llevarán a su sitio, nunca a uno de terceros.

4. Los mensajes de Microsoft siempre están firmados con un código de autenticación digital, para asegurar que esa información no ha sido alterada durante el envío.

De todos modos, recuerde que jamás debe abrir adjuntos no solicitados, aún cuando sean de personas o instituciones conocidas, ya que los remitentes pueden haber sido falsificados.


Relacionados:

Microsoft Policies on Software Distribution
www.microsoft.com/technet/security/topics/policy/swdist.mspx

How to Tell If a Microsoft Security-Related Message Is Genuine
www.microsoft.com/security/incident/authenticate_mail.mspx

Falso anuncio de parche acumulativo de Microsoft
http://www.vsantivirus.com/20-05-05.htm

¿Un mensaje de Microsoft con adjuntos?. ¡Cuidado!
http://www.vsantivirus.com/lz-ms-adjuntos.htm

Falso boletín de seguridad de Microsoft
http://www.vsantivirus.com/30-06-05.htm

Falso parche de seguridad de Microsoft (Explorer.exe)
http://www.vsantivirus.com/phishing-security-bugfix-3435.htm

Spy.Luhn.A. Libera y ejecuta un troyano keylogger
http://www.vsantivirus.com/spy-luhn-a.htm






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS