Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

El correo electrónico, el formato HTML, la música y los virus
 
VSantivirus No. 163 - Año 4 - Lunes 18 de diciembre de 2000

"Escucha" este e-mail... O el peligro de los archivos .ASX
Por José Luis López

¿Aún no se decide a usar el correo sin formato?

En los últimos artículos de nuestro boletín, hemos hablado en reiteradas ocasiones, de varias vulnerabilidades y riesgos, que se corren por el simple hecho de recibir el correo con formato HTML.

Hemos profundizado un poco más nuestras investigaciones acerca de algunas de estas cuestiones, y lo que hemos descubierto, no sirve precisamente para tranquilizarnos.

¿Es posible o no que algo de esto pueda convertirse en un peligro cierto?. Pues, allí está, no vamos a cerrar los ojos a ello, solo porque "aún" no se ha detectado algo o alguien que explote estas debilidades... algo como un virus por ejemplo.

Más sobre los "bugs" en el e-mail.

En nuestro artículo "¡Cuidado!. ¡Puede tener un "bug" en el e-mail!" (VSantivirus No. 155 - Año 4 - Domingo 10 de diciembre de 2000), hablábamos de pequeñas marcas o "chismosos", que son incluidas en el correo con formato enviado.

El primer riesgo en esto, es que se está revelando nuestra dirección IP actual cuando abrimos un mensaje HTML que a su vez solicite algo como un pequeño gráfico, para que sea descargado de un servidor, si es que leemos el mensaje mientras aún estamos conectados a Internet. Note que cualquier programa de correo que soporte HTML, es vulnerable.

Richard Smith, de "The Privacy Foundation", asegura que esto al menos ya se está usando para recabar información, "...y lo están haciendo compañías como Amazon, Microsoft, Sony Music, eToys y HP. Y ninguna de estas compañías se puede catalogar de spammers", afirma Smith.

Pero para Smith, aún peor es lo que él denomina "código móvil", un programa presente en el sitio remoto. Su browser o cliente de e-mail puede permitir que tal código se corra en su sistema, sin que usted lo sepa. Y simplemente por leer un mensaje con formato HTML, (también una página Web), sin necesidad de pinchar en ningún enlace. Esto abre las puertas a cualquier código malicioso, como un virus o un trojan.

El peligro de los mensajes con música

Con Windows Me, Microsoft agregó muchas nuevas opciones. Entre ellas, ahora incluidos como parte del sistema operativo, están el Windows Media Player y el Movie Maker.

El primer problema es que es obligatorio que ambas aplicaciones se hallen presentes para que Windows Me se pueda instalar.

Y eso abre un nuevo camino para los virus, y por cierto, no solo para los usuarios que instalen Windows Me, sino para cualquiera que utilice Media Player 6.4 o 7 por ejemplo.

Según Brian Livingston, reconocido columnista de temas de seguridad, y autor de varios libros y utilidades, ahora, cuando usted ingresa a un sitio, o cuando abre un mensaje con formato HTML, y automáticamente se escucha un tema musical asociado, también así de fácil, podría estar ejecutándose un virus en su sistema.

Por supuesto, todos los días aparecen nuevos virus, y nuevas maneras de explotar barreras que aún permanecen abiertas para poder invadir nuestro PC.

En este caso, según Livingston, los archivos que hacen posible esto son los conocidos como .ASX (Active Stream Redirector), que en realidad se trata de accesos directos de audio o video del Media Player.

No son ejecutables, solo son archivos de texto, editables con el bloc de notas, y que contienen formato HTML.

Las versiones de Media Player 6.4 y 7.0, por defecto, no impiden que los archivos .ASX puedan llegar a ejecutar algún código oculto.

Y este código puede instalar y ejecutar cualquier otro programa, por ejemplo un virus o un trojan. No hay límites. Inclusive se puede usar para enviar correo, o para acceder a otras computadoras conectadas en red.

Los archivos .ASX fueron creados para que al ser llamados por las aplicaciones multimedia de Windows, le ofrecieran a estas datos como el nombre del álbum, el artista, sitio Web, y finalmente la verdadera ubicación y tipo del archivo multimedia a ejecutar.

Pero un archivo .ASX también puede ejecutarse automáticamente cuando usted visita una página Web. Nada impide que alguien quiera entonces usarlo para enviarle un trojan, por ejemplo.

Y tampoco está libre de esta acción, un mensaje con formato HTML. Mientras usted escucha un tema musical, tal vez un virus acaba de instalarse en su sistema. Y lamentablemente, la gran propagación de los virus a través del correo electrónico, se debe a que es muy fácil engañar a la persona que lo recibe, haciéndole pensar que lo envía un conocido. Estadísticamente, este hecho es el que más resultado les ha dado a los virus que lo emplean para propagarse.

Las configuraciones por defecto del Outlook y Outlook Express, automáticamente ejecutan el código así recibido. Y cualquier otro programa de correo que soporte HTML, abriría su browser, y el contenido del archivo .ASX sería ejecutado igual.

Cómo defendernos

Existe un parche de Microsoft para esto, es el que mencionamos en nuestro artículo "Vulnerabilidad en Microsoft Media Player 7 (y 6.4)" de VSantivirus No. 140 - Año 4 - Sábado 25 de noviembre de 2000. También corrige otra vulnerabilidad, relacionada con los "skins" o pieles del nuevo Media Player.

Pero como siempre ocurre, no todos instalan estos parches, y las reinstalaciones vuelven atrás muchas de estas actualizaciones.

Además, nada impide que existan otras formas de combinar lo de los "bugs" en los mensajes, con la ejecución de archivos utilizando algunas de las nuevas facilidades de los programas, como las que hemos mencionado en este artículo.

Por lo pronto, además de instalar el parche mencionado, existen algunas cosas que es conveniente hacer. Aquí le indicamos algunos consejos.

No abra los mensajes mientras está conectado

Cuando reciba mensajes, si sospecha contienen formato HTML, además por supuesto de no abrir ningún adjunto no solicitado, no los lea ni los abra mientras está conectado a Internet. Es muy común que al hacerlo, se proceda a la carga de imágenes o cualquier otro contenido multimedia desde Internet a su computadora, incluidos los famosos "bugs", que pueden ser pequeñas imágenes que usted tal vez ni se entere que se cargaron.

Configure su programa de correo para que no acepte nada de JavaScript en los mensajes

Para ello, proceda así:

1. En el Outlook Express, vaya a Herramientas, Opciones, Seguridad, y marque "Zona de sitios restringidos (más segura)".

2. Luego vaya al Panel de Control de Windows (Mi PC, Panel de Control), y seleccione "Opciones de Internet".

3. Pinche en Seguridad, Sitios restringidos, pulse en Personalizar nivel, busque en Automatización, y marque "Desactivar" en "Secuencias de comandos ActiveX" (las demás , Automatización de los subprogramas de Java, y Permitir operaciones de pegado..., ya deberían estar desactivadas, si no hágalo ahora).

4. Desactive en Controles y complementos de ActiveX, la opción "Activar la secuencia de comandos de los controles ActiveX" (las demás, Descargar los controles firmados... y Descargar los controles no firmados..., ya deberían estar desactivadas, si no hágalo ahora).

Y finalmente, no sería mala idea el evitar siempre que sea posible, el uso de mensajes con formato HTML, y pedirle lo mismo a sus amigos y conocidos.

Después de todo, el correo electrónico no fue pensado para ello, por más que los desarrolladores de nuevas aplicaciones se empeñen en hacernos creer lo contrario.

Parche relacionado:
http://www.microsoft.com/technet/security/bulletin/MS00-090.asp

Ver también:
25/nov/00 - Vulnerabilidad en Microsoft Media Player 7 (y 6.4)
10/dic/00 - ¡Cuidado!. ¡Puede tener un "bug" en el e-mail!
16/dic/00 - Ataques a través del caché. Nuestra privacidad en riesgo
16/ene/01 - Vulnerabilidad en Java con WMP 7 e IE
11/mar/01 - El IE puede revelar el contenido y la ubicación del cache

 

Copyright 1996-2000 Video Soft BBS