[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Cómputo
DGSCA- UNAM
Nota de Seguridad UNAM-CERT 2002-003
Gusano W32.Frethem
------------------------------------------------------------------
En las últimas horas, el UNAM-CERT ha recibido reportes de la
aparición de un nuevo gusano de correo electrónico denominado
W32.Frethem que se propaga a través del correo electrónico y llega
como un archivo anexo (attachment).
El Equipo de Respuesta a Incidentes del UNAM-CERT recomienda tomar
las medidas necesarias para prevenir la infección por este código
malicioso.
SISTEMAS AFECTADOS
------------------
* Sistemas Ejecutando Microsoft Windows
DESCRIPCIÓN
-----------
W32.Frethem es un gusano de correo electrónico que utiliza su
propia máquina de SMTP para enviarse por sí mismo a direcciones de
correo electrónico que encuentra en la Libreta de Direcciones de
Microsoft Windows y en los archivos .dbx, .wab, .mbx, .eml, y
.mdb. Este gusano llega como un archivo anexo con las siguientes
características:
Asunto: Re: Your password!
Archivo Anexo: DECRYPT-PASSWORD.TXT and PASSWORD.TXT
Cuerpo del Mensaje: You can access very important
information by this password DO NOT SAVE password to
disk use your mind now presscancel
En sistemas con Internet Explorer sin parche los archivos anexos
se ejecutan automáticamente cuando este mensaje de correo es
examinado con la característica de vista previa o abierto con
Microsoft Outlook y Outlook Express.
Al ejecutarse, se copia así mismo como Taskbar.exe en la carpeta
de Windows (%windir%\Taskbar.exe) y crea la siguiente entrada de
registro:
HKEY_CURRENT_USER
\Software\Microsoft\Windows\CurrentVersion\Run
Con el valor de:
Task Bar = %Windows%\TASKBAR.EXE
El gusano tiene su propias máquina SMTP interna, y la utiliza para
enviar copias de sí mismo. Obtiene la información del servidor
SMTP del siguiente registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Account
Manager\Accounts\00000001
Si la cuenta 00000001 está vacía ó no existe, el gusano no se
puede propagar. Obtiene las direcciones de los destinatarios de la
libreta de direcciones del usuario infectado (Microsoft Windows
Address Book) y de los archivos .dbx, .wab, .mbx, .eml, y .mdb, y
se envía por sí mismo a estas direcciones.
El archivo adjunto Password.txt , es un archivo de texto de
aproximadamente 93 bytes. Este archivo no contiene carga
maliciosa, y no es detectado por los productos antivirus. Sin
embargo, si el sistema fue infectado por el gusano W32.Frethem,
debería ser eliminado. Este archivo contiene la siguiente cadena
de texto:
Your password is W8dqwq8q918213
El archivo Decript-Password.exe es detectado como WORM_FRETHEM.K
por los productos antivirus.
El gusano explota el hueco de seguridad en MIME IFRAME que
automáticamente ejecuta archivos adjuntos en mensajes con formato
HTML cuando el usuario lee o pre-visualiza el correo en Microsoft
Outlook u Outlook Express.
Esta vulnerabilidad permite al gusano instalarse en el sistema sin
que el usuario tenga que dar un doble click ó abra el archivo
adjunto. Esta vulnerabilidad es conocida por afectar a los
usuarios de Microsoft Internet Explorer 5.01 y Microsoft Internet
Explorer 5.5.
Para una mayor información sobre este hueco de seguridad consulte
en Boletín de Microsoft en:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
El gusano se conecta a los siguientes sitios web para enviar
datos, con el objetivo de obtener puntos en algún sitio web de
referencias:
http://12.224.160.208/b.cgi
http://12.225.239.153/b.cgi
http://12.239.90.200/b.cgi http://24.153.41.186/b.cgi
http://12.249.100.107/b.cgi http://24.157.108.78/b.cgi
http://12.252.211.170/b.cgi http://24.159.28.120/b.cgi
http://128.173.231.167/b.cgihttp://24.198.18.192/b.cgi
http://24.24.128.16/b.cgi
http://129.120.117.218/b.cgihttp://24.242.106.163/b.cgi
http://140.158.208.167/b.cgihttp://24.243.76.55/b.cgi
http://24.25.79.187/b.cgi
http://143.111.86.30/b.cgi http://24.91.146.67/b.cgi
http://144.132.27.124/b.cgi http://24.91.187.71/b.cgi
http://147.26.215.144/b.cgi http://4.47.227.27/b.cgi
http://150.208.186.200/b.cgihttp://63.106.67.21/b.cgi
http://63.231.167.66/b.cgi
http://170.11.31.35/b.cgi http://63.71.246.234/b.cgi
http://172.148.216.191/b.cgihttp://64.211.174.43/b.cgi
http://64.249.48.181/b.cgi
http://172.149.84.171/b.cgi http://65.25.12.45/b.cgi
http://195.13.227.140/b.cgi http://65.67.205.182/b.cgi
http://195.13.227.143/b.cgi http://66.108.150.226/b.cgi
http://195.251.228.133/b.cgi
http://66.189.114.161/b.cgi
http://204.57.90.184/b.cgi
http://205.162.24.103/b.cgi http://66.233.33.212/b.cgi
http://207.108.36.78/b.cgi http://66.30.52.166/b.cgi
http://207.171.103.126/b.cgihttp://66.31.193.42/b.cgi
http://66.31.93.30/b.cgi
http://207.50.54.128/b.cgi http://66.41.32.83/b.cgi
http://208.190.152.25/b.cgi http://66.68.22.102/b.cgi
http://208.28.196.214/b.cgi http://68.113.156.82/b.cgi
http://208.38.78.170/b.cgi http://68.35.125.130/b.cgi
http://209.192.135.22/b.cgi http://68.42.253.163/b.cgi
http://209.34.29.161/b.cgi http://68.57.88.25/b.cgi
http://213.190.55.222/b.cgi http://68.69.53.36/b.cgi
http://217.199.112.38/b.cgi
http://24.138.42.33/b.cgi
El gusano contiene la siguiente cadena de texto:
thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!
nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY
IMPACTO
-------
El gusano W32.Frethem puede degradar el funcionamiento del sistema
que ha sido infectado al enviarse por sí mismo a otros usuarios,
tomando las direcciones de la Libreta de Direcciones de Windows
(Microsoft Address Book) y en una variedad de otras bases de datos
de direcciones incluyendo archivos .dbx, .wab, .mbx, .eml, y .mdb.
SOLUCIONES
----------
* Ejecutar y Mantener Actualizado un Producto Antivirus
Es importante que los usuarios mantengan actualizado su software
antivirus. La mayoría de los distribuidores antivirus ya han
liberado información de actualización, herramientas o bases de
datos de virus para ayudar a detectar o remover el gusano
W32.Frethem. Una lista de los distribuidores antivirus puede ser
encontrada en el Apéndice A.
* Tener Precaución al Abrir Archivos Adjuntos
Se debe tener especial cuidado cuando se reciban archivos adjuntos
en mensajes de correo electrónico. Los usuarios deberían
desconfiar de archivos adjuntos provenientes de un origen
desconocido. Los usuarios debería siempre escanear los archivos
recibios en un correo electrónico mediante un software antivirus.
* Filtrar el Correo Electrónico o Utilizar un Firewall
Los sitios pueden utilizar técnicas para borrar mensajes que
contengan líneas conocidas que contenga código malicioso, o pueden
filtrar todos los archivos adjuntos.
* Remover los Archivos Infectados
Actualice sus definiciones de virus, y ejecute un escaneo general
del sistema. Siga los siguientes pasos:
* Abra el manejador de tareas de Windows (Task Manager).
En sistemas Windows 9x/ME, oprima CTRL+ALT+DELETE
* En sistemas NT/2000/XP, oprima CTRL+SHIFT+ESC,
* En la lista de programas que se están ejecutando, localice
"Taskbar.exe".
* Seleccione el programa, luego oprima ya sea el botón
Finalizar tarea o Finalizar proceso, dependiendo de la
versión de Windows en su sistema
* Para verificar si el proceso malicioso ha sido terminado,
cierre el administrador de tareas y luego ábralo de nuevo.
* Cierre el Administrador de tareas.
NOTA: en sistemas Windows 9x/ME, el Administrador de tareas
puede no ser capaz de mostrar ciertos procesos. En este caso
utilice un administrador de procesos de otra compañía para
terminar el proceso malicioso.
De otra manera continúe con el proceso siguiente y anote las
instrucciones adicionales. Remueva entradas de autorun del
Registro, al hacerlo previene que el código malicioso se
ejecute durante el arranque. Esto terminará efectivamente el
proceso del gusano de la memoria.
* Abra el editor del registro. Para hacer esto haga clic en
Inicio y después en Ejecutar, escriba Regedit, luego oprima
Enter.
* Localice la entrada de registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
y elimine el valor:
Task Bar = %Windows%\TASKBAR.EXE
* Cierre el Editor del registro.
* Reinicie el sistema.
APÉNDICE A. Información de Distribuidores
-----------------------------------------
Central Command, Inc.
http://support.centralcommand.com
Command Software Systems
http://www.commandsoftware.com
Computer Associates
http://www3.ca.com
F-Secure Corp
http://www.europe.f-secure.com
McAfee
http://vil.mcafee.com
Norman Data Defense Systems
http://www.norman.com
Panda Software
http://www.panda-software.com
Proland Software
http://www.pspl.com
Sophos
http://www.sophos.com
Symantec
http://securityresponse.symantec.com
Trend Micro
http://www.antivirus.com
INFORMACIÓN
-----------
Para mayor información acerca de esta nota de seguridad contactar
a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850
iQEVAwUBPTVzbXAvLUtwgRsVAQFnMQf9GvnxtqGplQ+7V9AW/Wd3V11GfbZHEW7M
Voai5/3K7N0Vbif++XfJ5CjlylV15NqJYj7zOdZ94Ho4pvLwX1GP2SJXr29aYtKj
ZIeooObYcqbYA+ABU/flGDzQKGtg0bpzHoi6NeUHOljeaZyIajHh/tVXknxs7FHr
ny3PBtHCtcV16lolDrgQFXfvz8XEEtoXuRJk07f0B3XAFzNLrbdMfgK6giKR69cP
5nQV3F/zCs05asFrUvthVS6eaYL02u9BC8njnegXCRDCFCYddeEB8uIIj92hDkxZ
ONi22EAik5pQdep8Czb583O+oSqmq4kohUHpmBpWOOulQUy8tOjUGg==
=dlSs
-----END PGP SIGNATURE-----
_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/