Foros de Informatica -> PROBLEMAS CON MSHTA.EXE

" Hay la misma diferencia entre un sabio y un ignorante que entre un hombre vivo y un cadáver "

- Aristóteles -

Computerfacil.com

Chat

Fotos

Últimos Posts

Sin Respuesta

Ayuda

Búsqueda

Miembros

Calendario

Bienvenido, invitado ( Identificarse | Registrarse )

Reenviar mensaje de validación

Forista del Mes:

MECASONIK

Foros de Informatica -> Sistemas, Software y Hardware -> Virus, SpyWare, Troyanos, Seguridad

Normas de los Foros

PROBLEMAS CON MSHTA.EXE

Suscribirse | Enviar por correo | Imprimir

juan59	Publicado: Jun 1 2005, 06:55 PM
Nanobit Grupo: Miembros Mensajes: 11 Miembro nº: 2.056 Registrado: 18-April 05	Wenas. Al encencer hoy el ordenador veo que se ha cambiado la configuración de inicio. Voy a cuentas de usuarios y, para mi sorpresa, compruebo que aparece una nueva cuenta con el nombre de una web. Al intentar eliminarla me sale un mensaje del Mcafee sobre un guion peligroso del archivo MSHTA.EXE. Le doy a continuar y a la segunda vez me deja eliminar la cuenta pero cada vez que vuelvo a modificar la cuenta de usuario me vuelve a salir lo mismo. No se si esto es peligroso, pero me gustaría solucionarlo. MUCHAS GRACIAS.

TiGER

Publicado: Jun 1 2005, 08:59 PM

* Judge Dredd *
Group Icon

Grupo: Administradores
Mensajes: 3.838
Miembro nº: 1.813
Registrado: 6-April 05

Hola Juan59, echale un vistazo a esto:

QUOTE

Utilización de MSHTA para eludir zonas de seguridad

Un reciente artículo publicado por SpywareInfo (http://www.spywareinfo.com/newsletter/archives/july-2003/29.php), menciona como muy grave una falla de Windows, detectada por integrantes de sus propios foros.

Esta falla puede permitir a un atacante introducir y ejecutar troyanos y cualquier otra clase de código malicioso, a través del Internet Explorer, eludiendo todas las configuraciones de seguridad.

Los archivos HTA, normalmente están asociados al "Microsoft HTML Application host", que es la utilidad MSHTA.EXE, el programa que abre y ejecuta este tipo de archivos. Esta extensión representa archivos en un formato binario propietario de Microsoft, conteniendo código HTML estándar.

Si un archivo es liberado de alguna forma en el sistema (por ejemplo utilizando ActiveX) y luego se ejecuta, invocando a MSHTA.EXE, ésta aplicación quedará esperando cualquier script HTA desde un archivo o página Web y ejecutará cualquier código embebido en la página.

En concreto, según SpywareInfo, esto puede permitir a cualquier sitio malicioso embeber un troyano, gusano o virus, dentro de una página web, e infectar a todos los visitantes que utilicen Internet Explorer.

Ya en abril de 2001 el investigador Georgi Guninski había advertido que algunos escenarios maliciosos podrían aprovecharse de MSHTA, dejando scripts peligrosos, en recursos compartidos, o enviándolos en archivos adjuntos a través del correo electrónico.

Microsoft publicó un parche para que el MSHTA no pudiera ser invocado desde el navegador. Sin embargo, ello no cambió la opinión de Kevin McLeavy, desarrollador del programa antitroyano BOClean, quien siempre ha dicho que el MSHTA es una grave amenaza para la seguridad.

Según McLeavy, la aplicación aún puede ser ejecutada en la zona local o "Mi PC". "En otras palabras, se puede eludir completamente la estructura de las zonas de seguridad y los parches del Internet Explorer, debido a que MSHTA se ejecuta siempre en la zona €˜local€™, por lo que cuando se le presenta un script [HTA], siempre intentará interpretarlo y ejecutarlo, eludiendo cortafuegos y restricciones del IE", dice McLeavy en el artículo de referencia.

Según Mike Healan, de SpywareInfo, esto es un riesgo muy severo para la seguridad, y recomienda que MSHTA sea deshabilitado totalmente, a menos que usted lo necesite en forma específica.

La falla fue descubierta por el equipo de SpywareInfo, a partir de la aparición el 28 de julio, de un programa llamado WINMAIN.EXE, que se propagaba rápidamente a través de diferentes computadoras. Aunque la fuente de este archivo sigue siendo un misterio, es probable haya sido distribuido por algún software del tipo Adware o Spyware.

Ese programa crea un archivo C:\WINLOG.HTML y luego ejecuta a MSHTA.EXE desde la carpeta de Windows, dejándolo en espera (hot standby), listo para aceptar cualquier script HTA. Después de ello WINMAIN finaliza, pero MSHTA queda activo durante todo el tiempo que dure la sesión de Windows, y se reactiva cuando Windows se reinicia. Una página maliciosa puede ser abierta, y cualquier código embebido en ella ejecutado en la máquina en forma local.

Privacy Software Corporation ha desarrollado una pequeña utilidad, "HTAStop", que deshabilita o habilita el scripting HTA. El programa puede ser descargado desde los enlaces en http://www.nsclean.com/htastop.html (seleccione "go to: Freebies").

Un punto a tener en cuenta, es que la falla no puede ser explotada hasta después que el troyano original haya sido instalado, tanto a través del uso de ActiveX, como por cualquier otro método. Se recomienda configurar la zona de seguridad "Internet" para deshabilitar ActiveX.

Autor: VSAntivirus

Ya has visto que el archivo en si no es un virus, aunque si que atraves de él, uno de esos si puede acceder a tu sistema, y es probable que ya tengas algun gusano campando por ahi.

Mi recomendacion seria que primero ejecutes el HTAStop para deshabilitar la ejecucion de ese servicio y despues escanees el sistema con un antivirus actualizado. Posteriormente con anti-spywares (tanto una cosa como las otras estan disponibles en nuestra seccion de descargas de la web), y despues que actualices el win con todos los parches disponibles existentes que le falte a tu SO. Por ultimo seria recomendable que elevases, si es necesario, el nivel de seguridad del Navegador Web (el nivel depende del uso que le de cada uno al internet y a los requisitos que necesiten las paginas que se visitan).

Ya nos diras como va todo.

Saludos.

¿Quieres ganar dinero escribiendo sobre tus aficiones? - www.Redactores.es

--------------------

juan59	Publicado: Jun 2 2005, 02:50 PM
Nanobit Grupo: Miembros Mensajes: 11 Miembro nº: 2.056 Registrado: 18-April 05	Lo primero que he hecho es prohibir el acceso a internet de .MSHTA.EXE atraves del cortafuegos de Mcafee (lo he leido en algun foro). Dime si esto esta bien. Explicame si puedes como elevar el nivel de seguridad del Navegador Web. Perdona pero uno es un poco novato en esto y si puedes me lo explicas bastante detallado. Uso Internet bastante, porque me gusta cotillear un poco de todo y descargarme películas de Bittorrent. Muchas gracias por las molestias. Voy haber si encuentro HTASTOP para ejecutarlo.

juan59	Publicado: Jun 2 2005, 04:03 PM
Nanobit Grupo: Miembros Mensajes: 11 Miembro nº: 2.056 Registrado: 18-April 05	Por cierto, no hay manera de descargar HTASTOP. Me manda a la web de Simtel, pero esta no funciona. Si sabes otra forma de conseguirlo dimela por favor. Gracias.

KniGhT	Publicado: Jun 2 2005, 04:41 PM
User vip Grupo: Colaboradores Mensajes: 624 Miembro nº: 1.743 Registrado: 1-April 05	Que navegador tienes? -------------------- Vótanos!!! Son solo dos clics y nos ayudaréis mucho!!

juan59	Publicado: Jun 3 2005, 10:39 PM
Nanobit Grupo: Miembros Mensajes: 11 Miembro nº: 2.056 Registrado: 18-April 05	El navegador es Microsoft Internet Explorer.

agm

Publicado: Jun 5 2005, 01:05 PM

* no toy *
Group Icon

Grupo: Administradores
Mensajes: 2.566
Miembro nº: 1.606
Registrado: 24-March 05

hola juan59

prueba esta direccion

http://shareware.pcmag.com/product.php%5Bi...BSiteID%5Dpcmag

saludos

--------------------

Si te sirvió de ayuda el Foro, ayúdanos a crecer poniendo este enlace en tu web: Foro de Informatica

CODE

<a href="http://www.computerfacil.com" title="Foros de Informatica">Foro de Informatica</a>

Gracias!

juan59	Publicado: Jun 5 2005, 04:41 PM
Nanobit Grupo: Miembros Mensajes: 11 Miembro nº: 2.056 Registrado: 18-April 05	Me parece que esto es peor de lo que pensaba. No me deja descargar nada o lo relentiza mucho. Ahora mismo lleva como media hora para descargar una actualizacion de McAfee y solo lleva el 24%. El archivo del HTASTOP ni siquiera lo descarga.El P2P de Bitcomet no descarga nada, pero si tiene subidas. Le he pasado CLEANUP 3.1.2 y me vacia la carpeta PREFECH, pero al intentar modificar la cuenta de usuario para hacer desaparecer ASP.NET (cuenta que ha aparecido por arte de magia) vuelve el mensaje de MSHTA.EXE diciendo que es un guion malicioso y vuelve a la carpeta PREFECH. Me tiene desesperado y no se que hacer. Gracias por la ayuda.

juan59	Publicado: Jun 5 2005, 04:44 PM
Nanobit Grupo: Miembros Mensajes: 11 Miembro nº: 2.056 Registrado: 18-April 05	Perdona, pero se me olvidaba. ¿Es conveniente bloquear el acceso directo a internet atraves de McAfee de MSHTA.EXE y SVCHOST.EXE?

maik

Publicado: Jun 15 2005, 06:05 PM

* The Founder *
Group Icon

Grupo: Administradores
Mensajes: 4.880
Miembro nº: 2
Registrado: 23-August 04

Saludos juan59

Sobre el MSHTA.EXE si lo has bloqueado y todo te funciona correctamente sin decrimento en tu velocidad de conexión y demás programas con acceso a internet, puedes dejarlo así, si notas que algo empieza a ir mal, quítale el bloqueo.

En cuanto al SVCHOST.EXE, no te recomiendo que lo bloquees, es un archivo del sistema operativo y debe de tener acceso a internet para el buen funcionamiento del sistema si cuentas con una conexión permanente.

Saludos

--------------------

Si te sirvió de ayuda el Foro, ayúdanos a crecer poniendo este enlace en tu web: Foro de Informatica

CODE

<a href="http://www.computerfacil.com" title="Foros de Informatica">Foro de Informatica</a>

Gracias!

0 usuario(s) está(n) leyendo esta discusión (0 invitado(s) y 0 usuario(s) anónimo(s))

0 miembro(s):

« Posterior | Virus, SpyWare, Troyanos, Seguridad | Anterior »

Webs Afiliadas - Contacto
Ofertas PCs :: Consultor de Marketing Online :: Foros :: Posicionamiento Web :: Foros de Informatica :: Foros :: elhacker