FileError_22001 – ALERTA Nuevo Exploit para Internet Explorer
Si estas utilizando Internet Explorer para navegar en este momento, será mejor que dejes de usarlo y cambies inmediatamete a cualquier otra opción al menos por una temporada.
Y no, esto no se trata de una campaña Anti-Microsoft, ni mucho menos una campaña en pro de Firefox o cualquier otro navegador. Esta es una alerta de seguridad muy seria, y que esta siendo divulgada ya en medios de todo el mundo. La recomiendación es a los usuarios de cualquier versión del Internet Explorer de Microsoft para que se cambien a cualquier otro navegador (Firefox, Opera, Chrome, Safari…) al menos hasta que la vulnerabilidad pueda ser corregida por Microsoft.
La vulnerabilidad no fue descubierta por Microsoft ni por analistas, sino por los crackers que ahora la están utilizando. El agujero afecta a varias versiones de MSIE incluidas las más recientes, y es mucho más grave de lo que se pensaba inicialmente. Las preguntas ahora son múltiples: cuántos usuarios no llegarán siquiera a enterarse de una vulnerabilidad reconocida como seria por la propia Microsoft, cuánto tiempo tardará la empresa en ser capaz de corregir el problema, cuántos usuarios probarán otros navegadores al hilo de esta alerta, y por supuesto, cuántos se quedarán en ellos una vez que la vulnerabilidad sea corregida.
La reacción de Microsoft, por el momento, ha sido negar la mayor: afirmar que el exploit únicamente está presente en un 0.02% de las páginas de la red, que no recomiendan cambiarse tan solo por este problema, y que están trabajando en un parche que estará listo en un tiempo muy breve. Mientras tanto, la empresa recomienda poner las opciones de seguridad del navegador en alta, cambiar a un perfil de usuario que no tenga privilegios de administración, usar el modo protegido, y tener actualizado tanto Windows como todo el software de seguridad: antivirus, anti-spywares y cortafuegos. Los analistas de seguridad y muchos medios de comunicación poco sospechosos de odiar a Microsoft, como la BBC , sin embargo, ante la magnitud de la vulnerabilidad y facilidad de instalación y configuración de navegadores alternativos, recomiendan el cambio de navegador, al menos de manera temporal.
En Phoenix Solutions parece ser que ha llegado una de las primeras victimas de este exploit, de momento no estamos seguros si se trate de la misma vulnerabilidad que estan reportando en estos momentos, pero si podemos asegurarles que se trata de un caso muy grave de seguridad donde la infección entro por medio de una página web navengando con Internet Explorer. Y las consecuencias han sido catastroficas para nuestro cliente. Y es que ha perdido todos los documentos de WORD y EXCEL, así como todos los archivos JPGS. Todos los archivos con extension .doc, .xls, .jpg y .txt han sido dañados irreparablemente, pues al intentar abrir cualquiera de estos solo aparece FileError_22001.
Lo más critico de este caso, es que ningún antivirus ni software antispyware esta detectando el exploit y por lo que hemos estado investigando tampoco existe una manera de reparar y/o recuperar los documentos dañados. Se ha confirmando la severidad del problema y Microsoft anuncia que dentro de poco tendrá disponible un Parche para corregir esta vulnerabilidad.
Y como dice el dicho “Ahogado el niño, tapado el pozo”, el posible parche solo evitará la infección pero ¿Que pasara con la información dañada de todas las personas que ya han sido infectadas?
Vía | El blog de Enrique Dans
Actualización:
Para el caso del virus que presenta el FileError_22001 se ha detectado que los archivos afectados han sido movidos a las siguientes carpetas
C:\Documents and Settings\
C:\Documents and Settings\
Lamentablemente estos archivos han sido cambiados por nombres genericos consecutivos y lo peor de todo es que han sido encriptados con un sistema desconocido hasta el momento.
Los archivos en sus ubicaciones originales han sido reemplazados por archivos corruptos tan solo con el texto FileError_22001 en su interior.
Así que de momento NO intenten respaldar y formatear los equipos, ya que esto no soluciona nada, los archivos una vez respaldados y restaurados permanecen dañados.
En el caso de nuestro cliente, le ofrecimos ponerle un disco duro nuevo con una nueva instalación de sistema y con la base de datos Outlook restaurada ya que esta no sufrió daños. De esa manera el cliente podrá continuar trabajando con el equipo y los otros 2 discos duros con la información dañada simplemente han sido guardados en espera de una posible solución a corto o mediano plazo.
"Lo que se obtiene con violencia, solamente se puede mantener con violencia.."
en 
en 
en 
en 
en 
en 
en
AUDIOEVENTOS
17 Dic, 2008
Yo estoy feliz con la zorra y con el google chrome…
Gracias phoenix….bueno saberlo..
shamoits pa ti!
Venus
17 Dic, 2008
Ingasumayeeeee
A unos cuantos de mis usuarios sólo les tengo permitido navegar en el explorer… Creo que investigaré más este caso…
:S
teklo
17 Dic, 2008
por si o por no yo ya me puse a hacer respaldos de todos mis documentos…
por primera vez en 5 años jajaja…
teklo
17 Dic, 2008
Phoenix, en lo que haz leido, no viste el modo de propagacion, si afecta solo a las personas que navegan y la infeccion es local o si tambien afecta a las de su red ???
il nigritou
17 Dic, 2008
crap… ni hablar, mujer… a respaldar!!!
han dicho cuál es la falla en particular? hay alguna lista negra de sitios de los que deba uno cuidarse en particular? alguna precaución especial en páginas de bancos?
Zully
17 Dic, 2008
Saben que es lo que me gusta de estos temas….??? Leerlos a todos ustedes que son ingenieros en algo.. jajajaja =) Me siento como cuando los niños me ven con cara de no entendí ni madres!! jajajaj Se siente bien he!! cabe señalar! =)=P
Zully
17 Dic, 2008
Y ya respalde todas mis foootos .. fiuuu!! por si las moscas =D
Venus
17 Dic, 2008
¿Cómo creen que fonuncie esto si los usuarios trabajan bajo terminal server y sólo un par de ellos tienen acceso al IE?
GoRiLa
17 Dic, 2008
Para las empresas y usuarios de Banca Electronica:
Es evidente que en muchos casos es indispensable el uso de IE pues muchas aplicaciones y sistemas solo estan validados para funcionar a través de IE.
La recomendación para estos es la siguiente:
1.) Restringir la navegación a sitios que nada tengan que ver con lo laboral, es decir solo utilizen IE para acceder a la banca electronica, terminales, escritorios remotos y aplicaciones que para su empresa solo funcionen a través de IE.
2.) Para la navegación en internet de manera recreativa u ociosa mejor utilizen otro navegador que no sea IE, ya que es precisamente en esta tarea cuando existe el mayor riesgo de toparse con algúna web infectada con el virus o troyado en cuestión.
Saludos cordailes, seguiremos informando.
Atte.
Phoenix
Venus
17 Dic, 2008
Tks Mr. Phoenix.. Ton’s todo bien!
il nigritou
17 Dic, 2008
se puede considerar “navegación ociosa” la lectura de este colectivo de opiniones???
Phoenix
17 Dic, 2008
il nigritou, “Pa que te digo que no, si sí”
El punto es que mínimo este dominio web no esta infectado.
il nigritou
17 Dic, 2008
no necesito saber más…
luphersia mala mujer
17 Dic, 2008
Ya semos dos negri…Tengo casi dosmil fotos de mis hijos sin imprimir…y si se me pierden…NO PUEDO VOLVERLOS A PARIR!!!!
Venus
17 Dic, 2008
jejejeje, me va llegando la actualización de Microsoft….
ACTUALIZACIÓN DE SEGURIDAD
México D.F. a 17 de diciembre de 2008.
Notificación de Actualización de Seguridad Microsoft
El presente comunicado es para proveerle con un resumen del nuevo boletín de seguridad que ha sido liberado (fuera de programación) el día 17 de Diciembre de 2008, MS08-078, Actualización de seguridad para Internet Explorer (960714), el cual tiene como propósito solucionar una vulnerabilidad en todas las versiones actualmente soportadas de Internet Explorer.
Esta actualización de seguridad ha sido liberada fuera de la programación mensual habitual en un esfuerzo por proteger a nuestros clientes.
Resumen Ejecutivo
Mediante la presente actualización de seguridad se resuelve una vulnerabilidad en Internet Explorer que ha sido comunicada públicamente. Esta vulnerabilidad podría permitir la ejecución remota de código en caso de que un usuario visite páginas Web maliciosamente diseñadas utilizando Internet Explorer.
Los usuarios que tienen cuentas con menores privilegios en su sistema podrían verse menos impactados que aquellos que operen con privilegios administrativos. La actualización de seguridad soluciona esta vulnerabilidad modificando la forma en que Internet Explorer valida los parámetros en los enlaces de datos y el manejo de errores que resultaban en la condición de explotación.
La presente actualización de seguridad también soluciona la vulnerabilidad inicialmente descrita en el Documento Informativo 961051
Recomendaciones
Microsoft recomienda a sus clientes preparar sus sistemas y redes para aplicar este boletín de seguridad lo antes posible para ayudar a asegurar sus computadoras de intentos de ataques criminales. Para más información acerca de los boletines de seguridad, visite la página tecleando directamente desde su navegador: http://www.microsoft.com/latam/seguridad
Detalles técnicos del nuevo boletín de seguridad
Identificador
MS08-078
Máxima Calificación de Severidad
Esta actualización de seguridad esta categorizada como Crítica para Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 SP1 e Internet Explorer 7.
Impacto de la Vulnerabilidad
Ejecución de código remoto
Detección
Microsoft Baseline Security Analyzer puede detectar cuando su computadora requiera esta actualización.
Software Afectado
Internet Explorer 5.01 (Windows 2000), Internet Explorer 6 (Windows 2000), Internet Explorer 6 SP1 (Windows XP and Windows Server 2003), y Internet Explorer 7 (Windows XP, Windows Server 2003, Windows Vista, y Windows Server 2008). Para información acerca de Internet Explorer 8 (Beta) por favor vea la sección Preguntas Frecuentes del boletín.
Requerimiento de Reinicio
La actualización puede requerir un reinicio sólo si los archivos requeridos estan siendo utilizados. Si esto ocurre, un mensaje aparecerá avisando del reinicio requerido.
Información de Remoción de la Actualización
Para Windows 2000, Windows XP, Windows Server 2003: Use la herramienta de Agregar o Quitar Programas en el panel de Control o use la herramienta Spuninst.exe
Para Windows Vista and Windows Server 2008: WUSA.exe no soporta la desinstalación de actualizaciones. Para desinstalar una actualización haga clic en el Panel de Control, luego Seguridad. Bajo Windows Update, clic en Ver actualizaciones instaladas y elegir de la lista de actualizaciones.
Boletines reemplazados por esta actualización
Ninguno
Más detalles:
http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-078.mspx
SOBRE LA CONSISTENCIA DE LA INFORMACIÓN
En Microsoft hacemos el mayor esfuerzo por proveerle con información exacta tanto en contenidos estáticos (este e-mail) como en contenidos dinámicos (en sitios web). Los contenidos de Seguridad que Microsoft publica en sus sitios web son ocasionalmente actualizados para reflejar información de último momento. Si esto resulta en una inconsistencia entre esta información y la información de los contenidos de seguridad de los sitios web de Microsoft, la información de los sitios web es la que debe ser tomada en cuenta.
Si tiene preguntas respecto a esta alerta, por favor contacte a Microsoft: http://support.microsoft.com/contactus
Gracias,
Equipo de Seguridad de Microsoft
Support
20 Dic, 2008
Filerecovery tool for Trojan.Encrypt.33 (FileError_22001)
ftp://ftp.drweb.com/pub/drweb/windows/te33decrypt.exe
Must be executed on infected PC
Carlos Magallon
13 Ene, 2009
Saludos!
Si hay alguna persona infectada por este Malware por favor no intente eliminarlo de forma inmediata, ya que perdera la llave para des-encriptar sus archivos.
Por favor mande este archivo a nuestro correo(nod32@integraweb.com.mx), para poder sacar la firma: 43718D7A.exe simplemente copialo al desktop de tu computadora, comprimelo en .zip y cambiale la extension a jgp para que lo puedas enviar.
Estos son los pasos para eliminar el Trojano y recuperar tus archivos.
1. Use “Msconfig” to deselect the startup process in the startup tab, The process you are looking for looks something like “43718D7A.exe” Then apply and restart the PC. After the Trojan should not be active.
2. Backup the 2 folders with the encrypted original files
\Documents and Settings\\Local Settings\Application Data\CDD,
\Documents and Settings\\Local Settings\Application Data\FLR.
To pendrive, CD or DVD etc. In case the decryption goes bad.
3. Now use the Dr Web decrypting tool to decrypt the .fcd files in the folders above back to their original state. If the tool doesn’t work when in your account try when logged in via the others users accounts if any available.
4. Once you have your original files back, back them up for safety, once you are satisfied all your photos etc are back.
5. Remove the Trojan completely