1
Download virus worm_sasser.b
Document related concepts
no text concepts found
Transcript
OFICINA NACIONAL DE GOBIERNO ELECTRONICO E INFORMATICA CONTENIDO Centro de Consulta e Investigación sobre Seguridad de la Información www.pcm.gob.pe Edición Nº 93 26 de mayo de 2004 INFORMACION DE VIRUS INFORMATICOS VIRUS WORM_SASSER.B Alias: VIRUS WORM_SASSER.B W32/Sasser.worm.b, W32.Sasser.B.Worm, W32/Sasser.B MÉTODO DE INFECCIÓN VIRUS WORM_NETSKY.Y CONSEJOS PARA PROTEGERSE LISTA DE ANTIVIRUS Este virus se propaga buscando direcciones IP aleatoriamente y aprovechando la vulnerabilidad de Windows “Local Security Authority Subsystem Service” (LSASS), que es un desbordamiento de buffer que permite la ejecución remota de código malicioso, con lo que un atacante podría conseguir pleno control del sistema afectado. Para propagarse WORM_SASSER.B escanea direcciones IP aleatoriamente en busca de sistemas vulnerables. Cuando encuentra un sistema vulnerable, el código malicioso envía un paquete especialmente diseñado para producir un desbordamiento de buffer en LSASS.EXE, que causa que el programa se bloquee y requiere que se reinicie Windows. Los sistemas operativos afectados por esta vulnerabilidad son los siguientes: Windows 95, 98, ME, NT, 2000, XP, 2003 • Fuentes o o o o Trend Micro Panda Software Hispasec Per Antivirus El virus provoca que la computadora se reinicie constantemente, y en algunos sistemas operativos se muestran las siguientes ventanas: 1 Visite el Portal del Estado Peruano: http ://www.perugobierno.gob.pe RECOMENDACIONES de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios. Actualizar el parche de Microsoft http://www.microsoft.com/technet/se curity/bulletin/ms04-011.mspx Es recomendable que los administradores de red y usuarios bloqueen los puertos TCP 5554 y 9996 para prevenir la transferencia del virus de las máquinas infectadas hacia las que todavía no están parchadas. El ejecutable muestra un icono con tres cerezas El virus puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso. VIRUS WORM_NETSKY.Y Alias: w32/netsky.y@MM , W32.Netsky.y@mm , Win32.Netsky.y, NetSky.Y Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos. MÉTODO DE INFECCIÓN Este virus se propaga a través del correo en un e-mail con las siguientes características: Cuando se ejecuta por primera vez, muesta un mensaje de error falso: Los archivos adjuntos poseen las siguientes extensiones: .COM, .CPL, .EXE, .HTA, .SCR, .VBS o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus. Error! Can't find a viewer associated with the file [ OK ] Los mensajes que propagación tienen características: En ocasiones incluye la imagen de una mujer en el cuerpo del mensaje (son varias imágenes diferentes): utiliza las para su siguientes De: [una dirección falsa] En ocasiones, puede utilizar alguno de los siguientes nombres con dominios al azar: ann@, annie@, christina@, christy@, jessie@, lizie@, secretGurl@ Asunto: [uno de los siguientes] Encrypted document Fax Message Received Forum notify Hello! Hey! Hidden message I just need a friend I like you I'm a sad girl... I'm bored with this life Incoming message Let's socialize, my friend! Let's talk, my friend! Notify from a known person ;-) Protected message Re: Document 2 Visite el Portal del Estado Peruano: http ://www.perugobierno.gob.pe Re: Hello Re: Hi Re: Incoming Fax Re: Incoming Message Re: Msg reply RE: Protected message RE: Text message Re: Thank you! Re: Thanks :) Re: Yahoo! Request response Site changes Texto: [1]+[2]+[3]+[4]+[5]+[6] Componente [1]: puede ser algunos de los siguientes textos: Dear [nombre destinatario], Dear [nombre destinatario], It's me ;-) Hello [nombre destinatario], Hello<!--[nombre destinatario]-->, Hey [nombre destinatario], Hey [nombre destinatario], It's me -> Hey<!--[nombre destinatario]-->, Hi [nombre destinatario], Hi<!--[nombre destinatario]-->, Hi<!--[nombre destinatario]-->, It's me Componente [2]: Si el nombre del remitente (al azar), es el de una mujer, una imagen puede ser insertada aquí (el mensaje tiene formato HTML). Algunos posibles nombres de imágenes insertadas: Componente [4]: siguientes textos: image12.jpeg me2.jpeg me3.jpeg myphoto4.jpeg myphoto7.jpeg photo.jpeg Componente [3]: siguientes textos: Uno de I am kind, fair, careful, gentle also want to create family. I love animal (cats, dogs), the literature, theatre, cinema, music, walks in park . I am looking for a serious relationship. I am NOT interested in flirt and short-term love adventure. I am simple girl who are looking for serious relation with responsible and confident man. I am ready to give all my love and carering for a right person who is going to love and respect me I have recently got demobilize from army and also I am going to act in a higher educational institution I just want to talk with someone... I like an active life... and interesting people... I like reading the books and socializing, let me talk with you... I like to feel protected, to understand, that near to me the man, which both in sex, and in life knows what to do. It is possible to fall in love with such the man for ever. I Like You! I'm a young lady of 20 years old i'd like to find my second part!!! I'm so bored, let me talk with you... It's time to find a friend! Kewl :-) Like me, odore me! ;-) Ready to accept a new friend? :-) los Cometime I write a poem, play the gitar. I love a traveling, I like a romantice and I want to meet, comeday, my big love! Don't you remember me? I am a beautiful, sexual girl with very big ambitions and dreams. I can make happy anyone man... I am a honest, kind,loving,with good sense of humor...etc.,looking for true love... or maybe for pen friend.I like cats. I am a student. I'm studying international relationships. I would like to find an interesting and active man for serious relations. Sitting at home it is not for me. I like to go out to the theater, cinema, and nightclubs. I am honest, responsible, romantic person. iwould like to find my only love,to find my destiny. Uno de los Attached file tells everything. Attached file will tell you everything. For details see the attach. For more information see the attached file. Further details are in attach. Here is the file. Message is in attach More info is in attach Please, have a look at the attached file. Read the attach. See attach. See the attached file for details. Your file is attached. Componente [5] (solo se incluye si el adjunto es un archivo .ZIP): Archive password: [contraseña] Attached file is protected with the password for security reasons. Password is [contraseña] For security purposes the attached file is password protected. Password -[contraseña] For security reasons attached file is password protected. The password is [contraseña] In order to read the attach you have to use the following password: [contraseña] Note: Use password [contraseña] to open archive. 3 Visite el Portal del Estado Peruano: http ://www.perugobierno.gob.pe http:/ /www .fernuni-hagen.de/5.php http:/ /www .fiz-karlsruhe.de/5.php http:/ /www .fracht-24.de/5.php http:/ /www .fu-berlin.de/5.php http:/ /www .gdch.de/5.php http:/ /www .go-amman.de/5.php http:/ /www .goethe.de/5.php http:/ /www .gospel-nations.de/5.php http:/ /www .gsi.de/5.php http:/ /www .hamann-motorsport.de/5.php http:/ /www .hamburg.de/5.php http:/ /www .heise.de/5.php http:/ /www .hotel-pension-spree.de/5.php http:/ /www .ifdesign.de/5.php http:/ /www .insel-ruegen-hotel.de/5.php http:/ /www .intermatgmbh.de/5.php http:/ /www .jura.uni-sb.de/5.php http:/ /www .kliniken.de/5.php http:/ /www .leipziger-messe.de/5.php http:/ /www .loveparade.de/5.php http:/ /www .low-spirit.de/5.php http:/ /www .mdz-moskau.de/5.php http:/ /www .mitsubishi-evs.de/5.php http:/ /www .mitsumi.de/5.php http:/ /www .mk-motorsport.de/5.php http:/ /www .mobile.de/5.php http:/ /www .nabu.de/5.php http:/ /www .neformal.de/5.php http:/ /www .neznakomez.de/5.php http:/ /www .paromi.de/5.php http:/ /www .partner-inform.de/5.php http:/ /www .php-resource.de/5.php http:/ /www .pri-wo-hamburg.de/5.php http:/ /www .red-dot.de/5.php http:/ /www .restarted-alliance.de/5.php http:/ /www .ruletka.de/5.php http:/ /www .russische-botschaft.de/5.php http:/ /www .siegenia-aubi.com/5.php http:/ /www .spiegel.de/5.php http:/ /www .sprach-zertifikat.de/5.php http:/ /www .teac.de/5.php http:/ /www .tecchannel.de/5.php http:/ /www .tekeli.de/5.php http:/ /www .tib.uni-hannover.de/5.php http:/ /www .turism.de/5.php http:/ /www .uni-oldenburg.de/5.php http:/ /www .uni-stuttgart.de/5.php http:/ /www .welt.de/5.php http:/ /www .windac.de/5.php http:/ /www .winfuture.de/5.php Donde [contraseña] es una imagen JPEG insertada, que muestra un número de cinco dígitos. Componente [6]: siguientes textos: de los de los Best wishes, [remitente] Cheers, [remitente] Have a good day, [remitente] Kind regards, [remitente] Sincerely, Yours, [remitente] Donde [remitente] siguientes nombres: Uno es uno annie christina christy jessie lizie secretGurl El virus intenta acceder a los siguientes sitios de Internet, para notificar al autor vía HTTP, con una solicitud GET, cada determinada cantidad de tiempo, conectándose con un script PHP: http:/ /250x.com/5.php http:/ /2udar.ligakvn.de/5.php http:/ /3treepoint.com/5.php http:/ /abakan.strana.de/5.php http:/ /andimeisslein.de/5.php http:/ /ditec.um.es/5.php http:/ /fotos.schneider.bards.de/5.php http:/ /hardvision.ru/5.php http:/ /jakimov.golos.de/5.php http:/ /markusgimenez.de/5.php http:/ /s318.evanzo-server.de/5.php http:/ /Spaceclub.de/5.php http:/ /tobimayer.de/5.php http:/ /vg.xtonne.de/5.php http:/ /vg.xtonne.de/5.php http:/ /villakinderbunt.de/5.php http:/ /virtualzone.de/5.php http:/ /www .ac-schnitzer.de/5.php http:/ /www .auma.de/5.php http:/ /www .autoscout24.de/5.php http:/ /www .avh.de/5.php http:/ /www .beckers-systems.de/5.php http:/ /www .berlinale.de/5.php http:/ /www .blauer-engel.de/5.php http:/ /www .bmbf.de/5.php http:/ /www .bruecke-osteuropa.de/5.php http:/ /www .bundesregierung.de/5.php http:/ /www .chugai.de/5.php http:/ /www .cicv.fr/5.php http:/ /www .dalnoboyshik.de/5.php http:/ /www .de-bug.de/5.php http:/ /www .degruyter.de/5.php http:/ /www .deutsch-als-fremdsprache.de/5.php http:/ /www .deutsches-museum.de/5.php http:/ /www .deutschland.de/5.php http:/ /www .dfg.de/5.php http:/ /www .documenta.de/5.php http:/ /www .dwd.de/5.php http:/ /www .embl-heidelberg.de/5.php http:/ /www .emis.de/5.php http:/ /www .eumetsat.de/5.php http:/ /www .exactaudiocopy.de/5.php http:/ /www .www .mirko-becker.gmxhome.de/5.php Posee algunas características de troyano de acceso remoto y para ello abre el puerto TCP/2535, quedando a la espera de comandos. También intenta conectarse a los siguientes sitios para enviar información: www .ac-schnitzer.de - 217.69.78.15 www .autoscout24.de - 212.18.30.41 www .avh.de - 195.124.174.250 www .bmbf.de - 213.144.21.70 www .dalnoboyshic.de - 62.67.235.30 www .degruyter.de - 212.87.39.252 www .deutschland.de - 194.95.176.70 www .fracht-24.de - 195.20.225.17 www .Goethe.de - 195.127.17.194 www .hamann-motorsport.de - 212.227.46.140 www .heise.de - 193.99.144.71 www .leipziger-messe.de - 194.25.105.210 www .loveparade.de - 62.50.34.24 4 Visite el Portal del Estado Peruano: http ://www.perugobierno.gob.pe www .mobile.de - 213.238.62.161 www .neformal.de - 81.88.34.53, 81.88.34.54 www .russische-botschaft.de - 212.227.118.97 www .spiegel.de - 195.71.11.67 ent.exe escanh95.exe escanhnt.exe escanv95.exe exantivirus-cnet.exe fast.exe firewall.exe flowprotector.exe fp-win_trial.exe frw.exe fsav.exe fsav530stbyb.exe fsav530wtbyb.exe fsav95.exe gbmenu.exe gbpoll.exe guard.exe guarddog.exe hacktracersetup.exe htlog.exe hwpe.exe iamapp.exe iamserv.exe icload95.exe icloadnt.exe icmon.exe icssuppnt.exe icsupp95.exe icsuppnt.exe ifw2000.exe iparmor.exe iris.exe jammer.exe kavlite40eng.exe kavpers40eng.exe kerio-pf-213-en-win.exe kerio-wrl-421-en-win.exe kerio-wrp-421-en-win.exe killprocesssetup161.exe ldpro.exe localnet.exe lockdown.exe lockdown2000.exe lsetup.exe luall.exe lucomserver.exe luinit.exe mcagent.exe mcupdate.exe mfw2en.exe mfweng3.02d30.exe mgui.exe minilog.exe moolive.exe mrflux.exe msconfig.exe msinfo32.exe mssmmc32.exe mu0311ad.exe nav80try.exe navapw32.exe navdx.exe navstub.exe navw32.exe nc2000.exe ncinst4.exe ndd32.exe neomonitor.exe net El virus no se ejecuta después del 25 de enero de 2005. Si un archivo del gusano es ejecutado después de esa fecha, se auto invoca con el parámetro -DEL para desinstalarse del sistema. También intenta finalizar los siguientes procesos: agentsvr.exe anti-trojan.exe antivirus.exe ants.exe apimonitor.exe aplica32.exe apvxdwin.exe atcon.exe atguard.exe atro55en.exe atupdater.exe atwatch.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avgserv9.exe avltmain.exe avprotect9x.exe avpupd.exe avsynmgr.exe avwupd32.exe avxquar.exe bd_professional.exe bidef.exe bidserver.exe bipcp.exe bipcpevalsetup.exe bisp.exe blackd.exe blackice.exe bootwarn.exe borg2.exe bs120.exe cdp.exe cfgwiz.exe cfiadmin.exe cfiaudit.exe cfinet.exe cfinet32.exe clean.exe cleaner.exe cleaner3.exe cleanpc.exe cmgrdian.exe cmon016.exe cpd.exe cpf9x206.exe cpfnt206.exe cv.exe cwnb181.exe cwntdwmo.exe defwatch.exe deputy.exe dpf.exe dpfsetup.exe drwatson.exe drwebupw.exe 5 Visite el Portal del Estado Peruano: http ://www.perugobierno.gob.pe ♦ No ejecute archivos adjuntos desconocidos y bórrelos incluso de la carpeta de Elementos Eliminados. ♦ Los archivos adjuntos deben ser revisados por un antivirus actualizado. ♦ Tener cuidado con los archivos que reciba a través de las aplicaciones de intercambio de archivos punto a punto (P2P). ♦ Actualice el antivirus del computador. CONSEJOS PARA PROTEGERSE Hay muchos virus que se esparcen a mediante la red a nivel mundial y nacional, por lo cual estamos dando unas recomendaciones para que las instituciones y usuarios en general puedan proteger sus equipos informáticos: ♦ Si dispone de herramientas de filtrado, configúrelas para que rechacen los mensajes que cumplan las características de los virus más conocidos. Se adjunta una lista de páginas webs donde el usuario puede obtener mayor información sobre virus y actualizar el antivirus: NOMBRE DEL ANTIVIRUS Panda Software Per Antivirus The Hacker AVAST Antivirus Zap Antivirus Sophos Antivirus Norton Antivirus (NAV) Antiviral Toolkit Pro (AVP) ESafe Antivirus Enterprise Protection InoculateIT McAfee VirusScan AVG Antivirus Symantec TrenMicro BitDefender PAGINA WEB http://www.pandasoftware.es/ http://www.persystems.net/ http://www.hacksoft.com.pe/ http://www.antivir.com/support.htm http://www.zapantivirus.com http://esp.sophos.com/ http://www.sarc.com/avcenter/download.html http://www.kaspersky.com/ http://www.esafe.com/download/virusig.html http://www.commandcom.com/html/files.html http://support.cai.com/Download/virussig.html http://download.mcafee.com/updates/updates.asp http://www.grisoft.com/us/us_index.php http://www.symantec.com/ http://www.trendmicro.com/download/pattern.asp http://www.bitdefender-es.com CUALQUIER CONSULTA ENVIAR UN CORREO AL CENTRO DE CONSULTA E INVESTIGACION SOBRE SEGURIDAD DE LA INFORMACION ccisi@pcm.gob.pe 6 Visite el Portal del Estado Peruano: http ://www.perugobierno.gob.pe
