BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

EL Zone Alarm NO es confiable.

1
hypnosys

Estaba tranquilamente chateando con un par de amigos q no veía hace tiempo, cuando repentinamente mi TCmonitor detectó un cambio en el registro... Era raro y nunca había visto tal cosa, la llave del registro Run había un valor sospechoso, y me puse a buscar en Inet toda la info disponible sobre éste archivo. No hace mucho había instalado el flamante ZA 3.0.0.82...

LA cuestión era q ése valor raro era del plug-in NewDotNet.
"Es una empresa q se dedica a vender dominios no estándares del primer nivel incluyendo el .free, .xxx y .shop, mientras tanto varios dominios no estándares están siendo aplicadas por muchas organizaciones, bajo la consideración de la ICANN. Ésta particular implementación parece un intento de robar a más dueños legítimos de dominios, con dominios alternados para conseguir dinero fácil."
O sea ésto está traducido con mi "humilde inglés", pero es fácil entender q éste programa no es muy beneficioso q digamos, y continúa:
"Los múltiples sistemas ofreciendo TLDs va a haber una propagación sobreponiendose los nombre de dominios, lo cual significa q múltiples sitios pueden tener direcciones exactamente iguales, y lo que saldrá al ingresar, digamos, www.ejemplo.free, dependerá de los DNS en los que sea peticionado primero!!"

Bueno, eso es divertido, pero aún no está lo mejor:
Se afirma, pero aún no está verificado, que el componente NewDotNet no está claramente expresado en las condiciones de instalación (del Zone Alarm, en este caso) Esta observación es debido a los correos que hemos recibido de clientes quienes encontraron New.Net en sus sistemas y que no tienen idea de cómo ha llegado allí. Es afirmado por una gran cantidad de lectores (de las condiciones) que ignoran el medio por el cual el plug-in ha llegado a sus sistemas.

Bien, pero aún no llegamos a la parte saladita:
También hay reportes no verificados que el plug-in es capaz de acceder a Internet sin ser detectado por el popular firewall personal: Zone Alarm. Otros reportes indican que el ZA ha detectado exitosamente y ha bloqueado los intentos de conección. Un usuario ha confirmado que el Zone Alarm (gratis) 2.6 detecta el app satisfactoriamente. Éste comportamiento es posible porque el DLL es una librería de función y no un programa en sí: debe ser enlazado por el empaquetador "RunDLL32.exe" de windows. Si la regla del ZA ya habia sido establecida para el RunDLL32.exe corriendo un dll, el newdot~*.dll podría obtener los mismos permisos ya autorizados al RunDLL32.exe previamente. Éste comportamiento aparenta haber sido arreglado en la versión 2.6.

Como habrán visto, acá hay muchas irregularidades sospechosas, y como dije (o como afirmamos con Cesalv), ser poppular puede causar problemas, y uno de esos problemas q sospechaba q podría tener era de este tipo. ¿Quien sabe si zonelabs metíó algún backdoor apropósito?, ¿quien sabe?

tb podemos preguntarnos si windows viene buggie de fábrica apropósito, cosa q no es descabellada... o si PGP ahora q es closed source no viene backdooreada(para los fed, obviamente)....o si los virus lo crean las mismas compañías antivirus.... Pero todos (o bien la gran mayoría) tienen un punto en común: la popularidad.

Just a thought...
hypnosys

PS: El sitio original gringo donde me informe de esta irregularidad fue éste: cexx.org/newnet.htm

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
BocaDePez

De entrada io ya m iba pa la cama y como q m has quitado el poco sueño q tenia... ya t vale xD

Bueno, pues asi a simple vista ha pasado lo q sabiamos q iba a ocurrir antes o despues... la cosa es q m da rabia q haya sido tan pronto, a ver si voy a ser gafe... anoche mismo pensaba q por ahora se porta como dios manda y al dia siguiente... arfff

La hipotesis d un backdoor intencionado por parte del fabricante es un poco precipitada porq aun no tenemos demasiados datos, la unica motivacion podria ser el dinero (si les untan lo bastante podrian incluir el spyware y los d zone hacer la vista gorda...) n este caso seria decepcionante, para q negarlo... Q hayan pirateado/parcheado el soft para meterle el "regalito" es poco probable porq es la ultima version, teoricamente es la mas moderna (no qdaria serio q pusieran n la web "maxima proteccion contra troyanos, los lleva puestos d serie") En este respecto todo lo q podamos decir por ahora no es mas q especulacion, puede ser incluso un "topo" dentro d la empresa al q hayan pagado para colarlo n el codigo del fire... sea como sea la credibilidad/fiabilidad del firewall ha qdado herida d muerte...

Iba a hacer mi tipico comentario d q pillar la ultima version d todo no es buena idea (io uso la pro 2.6.362 y no tengo intencion d cambiarla por ahora, pero cuando se qde desfasada habra q cambiar d firewall...) pero es q no estamos hablando d un bug...

De todas formas los plugins para los nuevos dominios estan empezando a venir como quien dice con el tazo d las patatas fritas, sin ir mas lejos esta semana puse el kazaa n la maquina d un amigo y venia un añadido q generosamente interpretaba los dominios nuevos... asi q uno ya no sabe por donde le entran los troyanos (lo del gator a estas alturas mejor no lo menciono) creo q d momento lo mas q podemos hacer es asegurarnos d q el agujero realmente existe y d ser asi buscar alternativas fiables (ya ya se lo q vas a decir hypnosis pero por lo menos el beneficio d la duda no?)

De una forma u otra las cosas no volveran a ser iguales...

Cesalv (sin-cookies mode on xD)

P.D. Le has pasado el adaware a ver q cuenta?

🗨️ 4
Er-Moi

gran fallo lo siento, que estaba probando el editor de esto xDD

hypnosys

okok, estoy de acuerdo. Sabés? me olvidé mencionar algo:
"Until recently, New.Net offered a 5 cent commission for each system the plugin was successfully installed on. According to New.Net staff, this program has been discontinued."
Well, es todoo...~~~

Cesalv, El Ad-Aware lo había pasado varias veces antes de detectar este plug-in así q si había spyware quedó eliminado. Lo que podría hacer es limpiar todo de spywares, y reinstalar el zone pa ver si me mete algún spy... eso pa después..

Si quieren ver el texto completo en Inglés vayan al link q puse en la nota... (ahí mencionan entre otras cosas cómo eliminarlo, los riesgos etc... no me pidan q siga traduciendo q creo q me está agarrando el sindrome del túnel carpiano)

🗨️ 2
BocaDePez

hola , mira , mi nivel , seguramente no es tan bueno como el tuyo , pero te puedo contar mi experiencia con el run32dll.exe.tmp
anoche antes de ins. el zone 3 , me baje el keygen , y por exeso de paranoia , ANTES de instalar el zone 3 , probe el keygen , y mi zone 2.6 me pide paso al run32dll , se lo niego , lo quito del zone (programs) y me lo sigue pidiendo!!!!
de esto deduzco que el zone 3 , que ni siquiera lo comence a instalar en ese momento , no lo tiene , lo tiene en mi caso el keygen , asi que a cuidarse d los keygen , que si es verdad lo de los centavos , los que hacen los key gen , se forraran!!
saludos
bike

🗨️ 1
BocaDePez

Normalmente los keygen ocupan entre 16 y 32 kb frente a los servers d troyanos q deberian ser mas grandes (no digo como el server del netbus q cantaba d lejos) pero es complicado q no imposible... vamos a hacer una cosa, si aun tienes el keygen q dices m lo puedes mandar por mail para desensamblarlo?, por probar... a ver q sale... (cesalv@latinmail.com)

Cesalv (sin-cookies mode on xD)

BocaDePez

Incluso en la v6 se cuelan los spyware o los dialers a traves de los controles active X, que estan firmados como "seguros" ejecutan e instalan, y todo ello sin que te des cuenta, la actualizacion automatica de windows, instala un modulo spy.

El ad ware actualizado, de momento es la salvación.

Sobre el zone alarm lo dejé de usar, porque al actualizar se colaban las aplicaciones mientras pensabas si das o no permiso.

Y ESKE YA NO SE PUEDE NAVEGAR TRANKILO..... :-(

dede

he leido en el comentario de hypnosys q hace referencia a un programa q se llama TCmonitor. para q sirve dicho programa? de donde lo puedo bajar?

🗨️ 1
BocaDePez

Es un eliminador d troyanos, algo asi como un antivirus especifico, detecta y elimina troyanos y worms, es decir to lo q se le escapa a los antivirus. Tiene un modulo (tcmonitor) q se qda residente y comprueba la ejecucion d los programas y los cambios n el registro. Pa pillarlo pasate por www.moosoft.com :)

hypnosys

man, es que publique los dos al mesmo tiempo, antes de recibir tu post... ya era tarde cuando dijiste sobre q deberíamos verlo con más calma... una lección pa'la prox.

🗨️ 14
BocaDePez

q las prisas son maaaalaaas... no m seas precoz xDD

Lo q mas m llama la atencion del texto q propusiste es q el plugin n cuestion no envia informacion privada sino q parece revisar la version d cara a futuros usos (????)

Donde realmente existe una vulnerabilidad es n lo referente a dar accesso a RunDLL32.exe, si tiene acceso al exterior cualquier programa q lo utilice como "pasarela" tendria via libre al exterior...

Cesalv

Pasame el keygen q usaste para ver si era el mismo q mencionó bike (cesalv@latinmail.com) aunq es por asegurarme, algo m dice q va a ser el mismo :D

🗨️ 12
hypnosys

me había bajado un zip con sólo un nfo con un key... esto huele mal. Además ese zip lo había abierto en una notebook, y pa'pasarlo a la pc lo copié en un txt... asi q por ese lado no vino.
Estoy seguro que el newnet no vi en algúna parte de la instalación, lo estoy reinstalando y ahora te cuento.

hypnosys

Cesalv mi key era el .../run y ejecutaba
rundll32 C:\WINDOWS\NEWDOT~1.DLL,NewDotNetStartUp.

Lo curioso es q ahora q hago memoria, el TCmonitor lo detectó borrandose del registro. Eso q tenía el ZA desactivado. Y ZA (cuando estaba activado) nunca me había pedido autorización para el rundll32. (quizás yo ya lo tenía authorized).

Y ahora q reinstalo el ZA, no me salta ningúna opción "optativa"(pero q venía por default) de instalar el Newdotnet para nuevos dominios, etc (cosa q recuerdo q lo leí en la instalación).

Bueh, quizás en la primera instalación dejó algo en el registro (en la instalaciones la desactivo el TCmonitor pa'q no me aturda con su bocina) q en las instalaciones venideras obvie la opción de instalar el new.net.
Pero suponiendo q no viene del ZA, igual es de preocupar y no da confianzas sobre el fire. Por más q lo detecte, la gente desprevenida seguramente aceptaría q el rundll32 funcionara a sus anchas.

Uhm seguiré viendo por ahí q pasa con ésto, y ver cual es en definitiva el programa q instala el put* new.net. (estoy convencido de q lo vi en el ZA.)

Estoy viendo el Contrato y no veo las cosas claras, no soy muy entendido en letras y más si está en inglés así q la voy a hacer traducir a cristiano por algún letrado...

🗨️ 10
Cesalv

He instalado esta tarde el 3.0.0.91 y el 3.0.0.82 (q m ha costado un huevo localizarle) y... NO ha habido modificaciones n el registro (instale siempre con el tcmonitor activado) NO ha instalado spyware y desde luego NO habia mencion al newnet n ninguna d las dos... asi q visto lo visto el zone está limpio y libre d toda sospecha... haz memoria a ver q instalaste antes q el zone para saber por donde ha entrado pero no le eches la culpa al firewall, el cual todo sea dicho d paso sigue pasando con nota el leaktest y un par d escaneos d puertos online (nmap d un colega incluido).

🗨️ 9
dede
dede
bike
bike
🗨️ 1
Cesalv
Cesalv
BocaDePez
BocaDePez
🗨️ 5
Cesalv
Cesalv
🗨️ 4
BocaDePez
BocaDePez
🗨️ 3
Cesalv
Cesalv
🗨️ 2
bike
bike
🗨️ 1
BocaDePez
BocaDePez
BocaDePez

Hola a todos...

Os voy a incluir un fragmento de lo que dice al respecto Panda Software y que lo ha transmitido a través del correo electronico a todos sus clientes:

- Problema en el filtrado de contenido de ZoneAlarm -
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 9 de abril, 2002 -- Según ha informado Security Focus -en (link roto) se ha descubierto una vulnerabilidad en MailSafe, utilidad de filtrado de contenido de ZoneAlarm.

La función MailSafe de ZoneAlarm, uno de los firewalls personales más utilizados, permite filtrar los contenidos y posibilita el bloqueo de determinados archivos atendiendo a una serie de características. Lo más habitual es configurar este tipo de aplicaciones para bloquear los ficheros
adjuntos con extensiones ejecutables, principalmente archivos ".exe". Sin embargo, en la práctica un atacante (o un gusano específicamente creado para ello) puede evitar esta protección si detrás del nombre completo del archivo
se incluye un punto ("."). Así, por ejemplo, el fichero
"archivo_malicioso.exe" no será bloqueado si aparece de la siguiente manera:
"archivo_malicioso.exe.".

ZoneLabs ya ha corregido este problema que afecta a las versiones anteriores a la 3.0.118. Para actualizar de forma adecuada el producto, y resolver la citada vulnerabilidad, hay que acudir a la opción "Check for Update" de
ZoneAlarm.

- Bueno creo que esto comienza a aclararse.

Saludos

🗨️ 3
Cesalv

Vamos por partes, lo q se ponia n duda era la fiabilidad del programa como cortafuegos, la funcion mailsafe (a la q por cierto no encuentro utilidad alguna todo sea dicho) es un añadido, y como toda nueva caracteristica es normal q falle cuan escopeta d feria... d hecho aunq tengas una version vulnerable si tienes un antivirus n tiempo real (hoy dia la mayoria) n cuanto vea el ejecutable va a saltar casi seguro porq no depende solo del firewall, si t confias pensando q el zone hace milagros vas listo.

Aqui lo q entra n juego es el sentido comun del usuario: no abrir correo sin conocer al remitente, no ejecutar programas recibidos por correo sin saber q es lo q hacen... por muchos programas q tengas vigilando el comportamiento del usuario es decisivo.

No es un fallo gordo pero si una mancha (esta vez real) n el historial d la aplicacion (fijate si es gordo q hasta los d panda san coscao xD)

🗨️ 2
Tylor

Tienes razón; la mayor parte de este tipo de problemas son debidos a las acciones de los usuarios. Como por ejemplo recibir e-mails de personas que no conoces. Pienso que los de Panda lo toman como un fallo grave; pero a lo mejor no en el fallo en si; sino q por su experiencia en este tipo de sucesos saben que el usuario puede ser una victima potencial sobretodo cuando hay personas que entran en cualquier pag web sin saber su contenido o descargan cualquier programa sin saber lo que descargan.

Bueno, creo que es bueno saber las vulneravilidades de nuestros programas para espabilarnos y estar con cuidado, pq como dice cesalv la última palabra la tiene el usuario.

🗨️ 1
hypnosys

Justamente, pa'mi la vulnerabilidad del sistema es proporcionalmente directa a la idiotez del usuario. :p

BocaDePez

Como bien se ve en el título, me pongo a leer vuestros comentarios y es cuando me doy cuenta ke no tengo ni puñetera idea de ke va esta fiesta, no obstante recurro a vosotros pueso ke me pasa algo extrañisimo. Al iniciarse el windows xp que teno me sale un mensaje ke me pone error en run32exe..........dll/newdotnetstartup. Weno el caso es ke le doy a acepta r y en cuanto lleno de ventanas el escritorio se me peta el ordenador, de hecho hoy van 5 veces ke lo reinicio ya. Me podéis dar ideas de cómo solucionarlo?, no sé ni por dónde coño entrarle, pa ke nos vamos a engañar,gracias.
Por cierto mi e-mail es luismakdcc@yahoo.es

🗨️ 1
Cesalv

Vamos por partes, lo primero q necesitas es un antivirus decente y actualizado, no es imprescindible pero nunca esta d mas :)

Despues coges y t vas a www.moosoft.com y t bajas un programilla muy majo q se llama "the cleaner" es una especie d antivirus q limpia troyanos y worms d mail/irc lo instalas y con el limpias el ordenador, te ha pasado lo mismo q a hypnosys, pero tranquilo q no es nada serio, el cleaner t quitará el invitado, tanto los ejecutables como las entradas del registro y con eso lo tendrias resuelto, si sigues teniendo pegas no tienes mas q volver por aqui.