[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]

[Hilos de Discusión] [Fecha] [Tema] [Autor]

Boletin ASC 002-2000

-----BEGIN PGP SIGNED MESSAGE-----


. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
 
                   'Area de Seguridad en C'omputo
 
                           DGSCA- UNAM
 
           Bolet'in de Seguridad 2000-002 GUSANO LOVE LETTER
 
  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
 
 La madrugada del 4 de Mayo del 2000 el CERT/CC (Cert /Cordination
 Center)comenz'o a recibir m'ultiples reportes de un script realizado en
 Visual Basic, dicho script fue titulado "Love Letter", el cual comenzaba a
 circular por el Internet. Dichos reportes indicaban que dicho programa
 ten'ia la propiedad de un gusano (Programa que se autoreplica por si
 mismo) y que para su propagaci'on atrav'es de la red dicho programa era
 distribuido v'ia correo electr'onico que contienen las siguientes
 Caracter'isticas :
 
      ----------------------
 	Subject:ILove YOU
 
 	Dentro del cuerpo del mensaje  conten'ia lo siguiente :
 
 	Un documento en forma de ATTACH inclu'ido, titulado :
 
 	LOVE-LETTER-FOR-YOU.txt.vbs
 
     -----------------------
 
 Como datos oficiales del CERT/CC uno de los Organismos de Seguridad en
 Los Estados unidos y a nivel Mundial, se reportaba que antes de las 3:00
 PM dicho gusano habr'ia afectado cerca de 300,000  equipos distribu'idos
 alrededor de diversas empresas.
 
 El CERT haste ese momento ten'ia registrados m'as de 250 reportes que
 indicaban la prescencia de un gusano atrav'es de la red.

 Si deseas consultar el documento en su formato original en versi'on en
 ingles te recomendamos visitar :

 http://www.cert.org/current/current_activity.html#loveletter
 
 Dicho gusano se expandi'o no s'olo v'ia correo electr'onico, sino que
 encontro como otro medio de distribuci'on los IRC (Chats) como cabida para
 su pronta propagaci'on.

	Fecha de Detecci'on en los EU  : Mayo 4 del 2000
  	Fecha de Detecci'on en M'exico : Mayo 4 del 2000 * 
  	'Ultima Revisi'on              : Mayo 4 del 2000
  	Sistemas Afectados             : Sistema Operativo Windows, con
					la peculiaridad de funcionar como servidor.

, , , , , , , , , , , , , , , 
* Descripci'on del Problema *
, , , , , , , , , , , , , , , 

 En el momento en que dicho gusano se ejecutaba era autoguardarse dentro
 del equipo infectado en tres diferentes lugares y con nombre distintos,
 MSKernel32.vbs, LOVE-LETTER-FOR-YOU.TXT.vbs y bajo el directorio windows
 como Win32DLL.vbs.
 
 Enseguida crea un numero de entradas al registro del Sistema Operativo
 Windows al ejecurtar dichos programas, que en su mayor'ia son b'asicos al
 momento de la instalaci'on de dicho sistema Operativo
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32D$
 
 De igual forma modifica la p'agina de inicio del Internet Explorer para
 que al momento de ejecutarse 'este pueda bajar un archivo binario
 de forma aleatoria llamado WIN-BUGSFIX.exe, el cual primordialmente lo
 obten'ia de las siguientes direcciones :
 
 http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gv$
 http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324h$
 http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b$
 http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasd$
 
 Enseguida el programa cambia las llaves del registro para que pueda
 ejecutarse el archivo binario reci'en obtenido  y que posteriormente pueda
 ejecutarse.
 
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX
 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
         about:blank
 
 Posteriormente el gusano ayuda a crear un archivo en formato html que lo
 ayudar'a a que se pueda expander atrav'es de la red. Dicho archivo se
 llama LOVE-LETTER-FOR-YOU.HTM
 
 El gusano intenta expandirse y replicarse en todas las direcciones
 de la libreta de direcciones del sistema WINDOWS ( Windows Address Book ),
 enviando el archivo recien creado LOVE-LETTER-FOR-YOU.TXT.vbs como
 attachment.
 
 El virus una vez que ha sido enviado y recibido del lado de su objetivo,
 hace una b'usqueda por discos duros, dispositivos y archivos con ciertas
 extensiones. A su vez sobreeescribe archivos agregandoles la terminaci'on
 .vbs y vbe. Los archivos detectados que renombra son aquellos que
 contienen las extensiones js, jse, css, wsh, sct, hta y los renombra  con
 la extensi'on .vbs. De igual forma para los archivos con la extensi'on jpg
 y jpeg an~adiendole la terminaci'on .vbs. 
 
 De igual forma busca por las aplicaciones mIRC windows y IRC client y
 sobreescribe el archivo script.ini. enseguida modifica dicho archivo para
 que pueda ser distribu'ido mediante la funci'on DCC del IRC el archivo
 LOVE-LETTER-FOR-YOU.HTM a toda la gente que entre al foro de discusi'on.

- ----------
 SOLUCION 
- ---------

 Se han enviado por las principales listas de Seguridad y Administraci'on
 tanto en los Estados Unidos y en M'exico, diversas formas para poderlo
 prevenir y detener en nuestros equipos.
 
 * Existe un parche simple que se agrega en el archivo sendmail.cf y que
se puede encontrar en :
 
 http://www.freshmeat.net/news/2000/05/04/957464489.html
 
 Como administradores exhortamos aplicar dicho parche en el programa de
 Sendmail para evitar que dicho gusano se propague a traves de nuestro
 dominio .unam.mx y .mx.
 
* Las 'ultimas variaciones de dicho gusano por la tarde-noche indican que
 dicho gusano usa como subject las cadenas  "Joke" o' "fw: Joke"
 y el attachment es llamado  VeryFunny.vbs. 

* Si manejas Procmail puedes usar los filtros realizados por John
 D. Hardin para detener el gusano y est'a disponible en
 ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-security.html

*  Si usas sendmail a su vez ha publicado recientemente en su pagina
 comercial de sendmail.com una regla para filtrar el gusano que se basa en
 el encabezado del correo 'o subject.    dicha regla trabaja para Sendmail
 8.9 en adelante y es'a disponible en la siguiente direcci'on  
 http://www2.sendmail.com/loveletter.  A esta regla puede an~adirse las
 nuevas variaciones detectadas hasta la noche de hoy.

* Para servidores Exchange se recomienda el producto Mail essentials, pero
 este es un producto comercial  que ayuda a configurar y bloquear mensajes
 que pueden ser detectados en su contenido 'o incluso en su
 encabezado. dicho producto se encuentra en la siguiente direcci'on :
 http://www.gfi.com/mesindex.htm

* Se recomienda actualizar la versi'on de antivirus que se este ejecutando
en tu equipo.

* De igual forma debido a que el virus est'a escrito en VBS, 'este requere
que se ejecute la funci'on Windows Scripting Host (WSH) para poder
ejecutarse. Recomendamos desactivar dicha opci'on, si no sabes como
llevarlo a cabo, te recomendamos leer el siguiente documento :

                http://www.sophos.com/support/faqs/wsh.html 

* Desactivar la opci'on Active Scripting en el internet Explorer, si no
sabes como llevar a cabo este paso, te recomendamos visitar : 
       
       http://www.cert.org/tech_tips/malicious_code_FAQ.html#steps 


- -------------------------------------------
APENDICE A : Lista de principales contactos
- --------------------------------------------

 Anexamos una lista de posibles contactos de vendedores de antivirus a
 nivel muundial y que actualmente est'an estudiando las formas de
 protecci'on y ana~adiendolo a sus productos.


Alladin:        http://www.aks.com/home/csrt/valerts.asp
CA:             http://www.ca.com/virusinfo/virusalert.htm
DrSolomon:      http://www.drsolomons.com/home/extra.zip
F-Secure:       http://www.f-secure.com/download-purchase/updates.html
Finjan: 
http://www.finjan.com/attack_release_detail.cfm?attack_release_id=34
McAffe:         http://download.mcafee.com/extrafiles/love-4.zip
NAI:            http://vil.nai.com/villib/dispVirus.asp?virus_k=98617
Proland:        http://www.pspl.com/virus_info/worms/loveletter.htm
Sophos:         http://www.sophos.com/virusinfo/analyses/vbsloveleta.html
Sophos:         http://www.sophos.com/virusinfo/analyses/trojloveleta.html
Symantec:	http://www.symantec.com/avcenter/venc/data/vbs.loveletter.a.html
TrendMicro:	http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_LOVELETTER-

Se informa que la 'ultima versi'on del Norton antivirus detiene la
propagaci'on del gusano, ya que lo confunde con el virus VBS.BubbleBoy,
por lo que no lo deja autoreplicarse.

________________
 INFORMACI'ON
________________
 
 Para Mayor Informaci'on o Detalles de este bolet'in contactar a:
 
                'Area de Seguridad en C'omputo
                DGSCA- UNAM
                Tel : 56 22 81 69
                Fax : 56 22 80 43
                E-Mail : asc en asc unam mx 
                http://www.asc.unam.mx/boletines


- ---
Juan Carlos Guel L'opez
Area de Seguridad en C'omputo   E-mail: asc en conga super unam mx
DGSCA, UNAM                     Tel.: 5622-81-69  Fax: 5622-80-43
Circuito Exterior, C. U.        WWW: http://www.asc.unam.mx/
04510 Mexico D. F.              PGP: finger asc en ds5000 super unam mx 


-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.1i

iQEVAwUBORI2Qj6HeEeO/+C1AQGIXgf+L9XqC/kqqWhpnV3wtOqGgbpgWaEdK0dI
bgbWGO4yhlB+YCYZs7UvN+WWwQ6clTd+/MmBetSY2/QVS5n5FR7ijvHL/qMP6Wc9
iQCj1I5Vd5Dxt0yQtmbEEyGzX/GVbRA7eghQa5Nwskr0OoEGFGtLlzh+Y28N8L+7
Oa0E3uYaGo1IwPOMTG37MaT/bzTLyZVxsian2HSj+KfpKr/+sGoM4tKlcpvENjy7
ElBHKdJGSmrPByEmrRpmUZ7tOtEKqsIMU1iYlFEsrb3itpkZyDhL6znYC0rvi9Tm
z98rEptybJf1u5WOh2ZAeGFOIWAVGYutHdfVmL5rVi5ssAVrRtLihQ==
=NxJw
-----END PGP SIGNATURE-----



-- 
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux org mx
Para comandos adicionales, envíelo a: ayuda-help en linux org mx
[Hilos de Discusión] [Fecha] [Tema] [Autor]