|
Boletín Paralax 55 Sabado, 16 de octubrede
2002
|
E D I T O R I A L |
Después de un largo intervalo, volvemos de nuevo con nuestro boletín. Esperamos que les siga siendo útil como siempre.
Aunque realmente no es un virus, las compañías que realizan sus anuncios a través de los correos masivos o SPAM, ya tienen otra arma mas.
Dentro del sistema operativo Windows NT, Windows 2000 y Windows XP, existen varias herramientas administrativas y servicios, uno de ellos se llama Messenger (que no tiene que ver nada con el programa de chat). Este servicio es usado para que el administrador de una red pueda enviar mensajes a los usuarios o para que un equipo reporte automáticamente si existe algún error.
Ahora una compañía llamada Direct Advertising, a lanzado un programa que puede aprovechar ese servicio para enviar comercialesa razom de 5000 por hora. El resultado es que incluso aunque no tenga abierto ningún navegador, o programa de correo, simplemente aparecerá una ventana con el comercial, como si fuera una alerta administrativa.
Este es lo que se llama ahora NetBios SPAM, debido a que se maneja a través de este protocolo de red. Además de ser molesto, probablemente esta técnica pronto será utilizada por los programadores de virus, así que es importante conocer el problema.
Pasando a noticias un poco mas ligeras, entre la comunidad de autores de virus hay expectativas por la unión de Gygabyte, una joven de 18 años, famosa por sus puntos de vista feministas y sus virus (creo los primeros virus capaces de infectar los archivos .NET de Microsoft) a mostrado un interés romántico por Nostal1g, un joven Hacker que paso a la posteridad por haber podido alterar el sitio de Internet de la Casa Blanca. A pesar de que la noticia suena como la unión de Bonny And Clyde del ciberespacio, se espera que ahora tengan algo mas interesante que hacer, en lugar de escribir virus.
Volviendo a los virus. Hasta ahora los virus mas populares siguen siendo Yaha, Klez y aun hay muchas infecciones con Sircam, sin embargo un nuevo virus puede arrebatarles pronto el dudoso honor de ser le mas popular. Es el gusano W32.Bugbear@mm . Este gusano es capaz de distribuirse a través de las unidades compartidas de la red. Como medida de seguridad, deben recordar que nunca debemos compartir la unidad C de su disco duro, y por protección, cuando compartan una carpeta como recurso de la red, siempre debe estar protegida por password. Un poco de paranoia, les puede ahorrar incontables horas de trabajo recuperando datos.
Atte.
Javier Delgado
Indice.
Contenido
-
W32.Bugbear@mm, gusano espía.
Nombre:
W32.Bugbear@mm
Tipo : gusano
Características: masivo de correos,
se infecta a través de carpetas y unidades compartidas, espía y almacena
lo que se escriba en el teclado, funciona como puerta trasera y desactiva
los programas antivirus.
Otros nombres: W32/Bugbear-A [Sophos],
WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos
[AVP], W32/Bugbear [Panda], Tanatos [F-Secure]
Sistemas afectados:
Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows
Me
Resumen.
W32.Bugbear@mm es un gusano extremadamente sofisticado y complejo y que puede llegar como un archivo adjunto de 50kb a través de alguno de estos correos:
-
· Greets!
-
· Get 8 FREE issues - no risk!
-
· Hi!
-
· Your News Alert
-
· $150 FREE Bonus!
-
· Re:
-
· Your Gift
-
· New bonus in your cash account
-
· Tools For Your Online Business
-
· Daily Email Reminder
-
· News
-
· free shipping!
-
· its easy
-
· Warning!
-
· SCAM alert!!!
-
· Sponsors needed
-
· new reading
-
· CALL FOR INFORMATION!
-
· 25 merchants and rising
-
· Cows
-
· My eBay ads
-
· empty account
-
· Market Update Report
-
· click on this!
-
· fantastic
-
· wow!
-
· bad news
-
· Lost & Found
-
· New Contests
-
· Today Only
-
· Get a FREE gift!
-
· Membership Confirmation
-
· Report
-
· Please Help...
-
· Stats
-
· I need help about script!!!
-
· Interesting...
-
· Introduction
-
· various
-
· Announcement
-
· history screen
-
· Correction of errors
-
· Just a reminder
-
· Payment notices
-
· hmm..
-
· update
-
· Hello!
El correo utiliza una falla de Outlook, Incorrect MIME Header Can Cause IE to Execute E-mail Attachment , que resulta en que en muchos sistemas, el gusano se ejecuta automáticamente, sin que el usuario tenga que activarlo.
Una ves que el gusano es activado, se copia al sistema y a la capeta de inicio, para que se ejecute automáticamente. Busca todas las direcciones de correo que se encuentran en la computadora y procede a enviar correos, y falsifica la dirección de envío tomándola de esas mismas direcciones, de manera que la dirección del correo en que llega el gusano, no es la dirección verdadera de la computadora infectada.
Además instala un programa que cada 30 segundos localiza y detienen varios programas, incluyendo a software antivirus, también instala un rutina, que sepia lo que se teclear, en especial trata de detectar passwords y números de tarjetas de crédito.
También instala una puerta trasera, en espera de recibir ordenes del autor del virus, para enviarle la información recolectada, o incluso permite que tome control del la computadora.
Finalmente , localiza las carpetas compartida en la red del usuario y trata de copiarse al folder de inicio. Debido a un error, se copia por accidente a la cola de impresión, esto lo puede delatar, pues aparecen una serie de documentos inválidos o que imprimen basura, en la cola de impresión.
Detalles Técnicos.
1. El gusano utiliza una falla de seguridad de Internet Explorer Microsoft Internet Explorer 5.01 y Microsoft Internet Explorer 5.5 . Cuando Outlook recibe un correo HTML, utiliza a IE para mostrarlo. Aprovechando esta vulnerabilidad, el archivo adjunto se activa en cuanto la pagina es desplegado, y el gusano comienza la infección del sistema. En caso contrario, el gusano solo se activa si el usuario pica en el archivo adjunto par poderlo ver.
La vulnerabilidad esta descrita en:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
Es muy importante tener todos los parches de seguridad al día, sobre todo si usa IE 5.01 y 5.5. Una alternativa es eliminarlos y usar Netscape.
Si no puede aplicar todos los parches, al menos deben aplicar este:
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp
- El gusano trata de localizar las unidades y carpetas compartidas. Nunca comparta la unidad de disco C, pues al estar ahí el sistema operativo se vuelve vulnerable, incluso desde Internet. Además debe protege con password sus carpetas compartidas, nunca las abra completamente, especialmente si esta conectado a una conexión de Internet de banda ancha, pues esto aumenta la posibilidad de recibir un ataque externo.
- El gusano cada 30 segundos trata de localizar y detener estos procesos, que incluyen a algunos de los principales antivirus:
-
· Zonealarm.exe
-
· Wfindv32.exe
-
· Webscanx.exe
-
· Vsstat.exe
-
· Vshwin32.exe
-
· Vsecomr.exe
-
· Vscan40.exe
-
· Vettray.exe
-
· Vet95.exe
-
· Tds2-Nt.exe
-
· Tds2-98.exe
-
· Tca.exe
-
· Tbscan.exe
-
· Sweep95.exe
-
· Sphinx.exe
-
· Smc.exe
-
· Serv95.exe
-
· Scrscan.exe
-
· Scanpm.exe
-
· Scan95.exe
-
· Scan32.exe
-
· Safeweb.exe
-
· Rescue.exe
-
· Rav7win.exe
-
· Rav7.exe
-
· Persfw.exe
-
· Pcfwallicon.exe
-
· Pccwin98.exe
-
· Pavw.exe
-
· Pavsched.exe
-
· Pavcl.exe
-
· Padmin.exe
-
· Outpost.exe
-
· Nvc95.exe
-
· Nupgrade.exe
-
· Normist.exe
-
· Nmain.exe
-
· Nisum.exe
-
· Navwnt.exe
-
· Navw32.exe
-
· Navnt.exe
-
· Navlu32.exe
-
· Navapw32.exe
-
· N32scanw.exe
-
· Mpftray.exe
-
· Moolive.exe
-
· Luall.exe
-
· Lookout.exe
-
· Lockdown2000.exe
-
· Jedi.exe
-
· Iomon98.exe
-
· Iface.exe
-
· Icsuppnt.exe
-
· Icsupp95.exe
-
· Icmon.exe
-
· Icloadnt.exe
-
· Icload95.exe
-
· Ibmavsp.exe
-
· Ibmasn.exe
-
· Iamserv.exe
-
· Iamapp.exe
-
· Frw.exe
-
· Fprot.exe
-
· Fp-Win.exe
-
· Findviru.exe
-
· F-Stopw.exe
-
· F-Prot95.exe
-
· F-Prot.exe
-
· F-Agnt95.exe
-
· Espwatch.exe
-
· Esafe.exe
-
· Ecengine.exe
-
· Dvp95_0.exe
-
· Dvp95.exe
-
· Cleaner3.exe
-
· Cleaner.exe
-
· Claw95cf.exe
-
· Claw95.exe
-
· Cfinet32.exe
-
· Cfinet.exe
-
· Cfiaudit.exe
-
· Cfiadmin.exe
-
· Blackice.exe
-
· Blackd.exe
-
· Avwupd32.exe
-
· Avwin95.exe
-
· Avsched32.exe
-
· Avpupd.exe
-
· Avptc32.exe
-
· Avpm.exe
-
· Avpdos32.exe
-
· Avpcc.exe
-
· Avp32.exe
-
· Avp.exe
-
· Avnt.exe
-
· Avkserv.exe
-
· Avgctrl.exe
-
· Ave32.exe
-
· Avconsol.exe
-
· Autodown.exe
-
· Apvxdwin.exe
-
· Anti-Trojan.exe
-
· Ackwin32.exe
-
· _Avpm.exe
-
· _Avpcc.exe
-
· _Avp32.exe
Eliminación
Debido a que el virus detiene los principales antivirus, la única manera de detenerlo, es haciendo el SCAN desde Modo a prueba de fallos , pues así no se alcanza a activar el virus y es posible ejecutar un scan con el antivirus.
En caso contrario se puede usar est herramienta de Symantec.:
http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.removal.tool.html
Deben extremas sus medidas de protección.
| por Javier Delgado, Paralax Multimedia |