Boletin ASC 002-2000 (fwd)

Jorge Antonio Gonzalez Fortuna linuxico en cactus.iico.uaslp.mx
Lun Mayo 8 08:54:35 CDT 2000 

Para la persona que pidio informacion sobre el ILOVEYOU:

Tienes que anyadir las instrucciones que ya tienes (me parece) al archivo:

/etc/sendmail.cf

antes de la seccion MAILER DEFINITIONS, despues ejecutar:

# /etc/rc.d/init.d/sendmail stop
# /etc/rc.d/init.d/sendmail start
# /etc/rc.d/init.d/sendmail status


a continuacion sigue un extracto del aviso de seguridad de ASC-UNAM(muy
util).

---------------------------------------------------------------------


 Si deseas consultar el documento en su formato original en versi'on en
 ingles te recomendamos visitar :

 http://www.cert.org/current/current_activity.html#loveletter
 

- ----------
 SOLUCION 
- ---------

 Se han enviado por las principales listas de Seguridad y Administraci'on
 tanto en los Estados Unidos y en M'exico, diversas formas para poderlo
 prevenir y detener en nuestros equipos.
 
 * Existe un parche simple que se agrega en el archivo sendmail.cf y que
se puede encontrar en :
 
 http://www.freshmeat.net/news/2000/05/04/957464489.html
 
 Como administradores exhortamos aplicar dicho parche en el programa de
 Sendmail para evitar que dicho gusano se propague a traves de nuestro
 dominio .unam.mx y .mx.
 
* Las 'ultimas variaciones de dicho gusano por la tarde-noche indican que
 dicho gusano usa como subject las cadenas  "Joke" o' "fw: Joke"
 y el attachment es llamado  VeryFunny.vbs. 

* Si manejas Procmail puedes usar los filtros realizados por John
 D. Hardin para detener el gusano y est'a disponible en
 ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-security.html

*  Si usas sendmail a su vez ha publicado recientemente en su pagina
 comercial de sendmail.com una regla para filtrar el gusano que se basa en
 el encabezado del correo 'o subject.    dicha regla trabaja para Sendmail
 8.9 en adelante y es'a disponible en la siguiente direcci'on  
 http://www2.sendmail.com/loveletter.  A esta regla puede an~adirse las
 nuevas variaciones detectadas hasta la noche de hoy.

* Para servidores Exchange se recomienda el producto Mail essentials, pero
 este es un producto comercial  que ayuda a configurar y bloquear mensajes
 que pueden ser detectados en su contenido 'o incluso en su
 encabezado. dicho producto se encuentra en la siguiente direcci'on :
 http://www.gfi.com/mesindex.htm

* Se recomienda actualizar la versi'on de antivirus que se este ejecutando
en tu equipo.

* De igual forma debido a que el virus est'a escrito en VBS, 'este requere
que se ejecute la funci'on Windows Scripting Host (WSH) para poder
ejecutarse. Recomendamos desactivar dicha opci'on, si no sabes como
llevarlo a cabo, te recomendamos leer el siguiente documento :

                http://www.sophos.com/support/faqs/wsh.html 

* Desactivar la opci'on Active Scripting en el internet Explorer, si no
sabes como llevar a cabo este paso, te recomendamos visitar : 
       
       http://www.cert.org/tech_tips/malicious_code_FAQ.html#steps 

________________
 INFORMACI'ON
________________
 
 Para Mayor Informaci'on o Detalles de este bolet'in contactar a:
 
                'Area de Seguridad en C'omputo
                DGSCA- UNAM
                Tel : 56 22 81 69
                Fax : 56 22 80 43
                E-Mail : asc en asc.unam.mx 
                http://www.asc.unam.mx/boletines




-- 
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux.org.mx
Para comandos adicionales, envíelo a: ayuda-help en linux.org.mx

Más información sobre la lista de distribución Ayuda