[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Nota de Seguridad UNAM-CERT 2003-003
Gusano W32/BugBear.B
-------------------------------------------------------------------
En las ultimas horas el UNAM-CERT (Equipo de respuesta a Incidentes
de Seguridad en Cómputo UNAM) ha recibido diversos reportes que
indican la presencia de una nueva variante del gusano Bugbear
conocida como W32.BugBear.B, el cual se esta propagando de forma
rápida por Internet.
Esta nueva variante, fue detectada el día Jueves 5 de Junio y
contiene casi las mismas características que el primer virus
Bugbear, el cual data de septiembre del 2002 y que también fue
conocido como "Tanatos".
SISTEMAS AFECTADOS
------------------
* Microsoft Windows 95
* Microsoft Windows 98
* Microsoft Windows Me
* Microsoft Windows NT
* Microsoft Windows 2000
* Microsoft Windows XP
DESCRIPCIÓN
-----------
W32.Bugbear.B es una variante del gusano de correo electrónico
masivo Bugbear, referenciado como *"W32/BugBear.B"*, *"W32/Kijmo"* o
*"W32/Shamur"*. Este gusano también se propaga a través de recursos
de red compartidos. El gusano es polimórfico y puede también
infectar una lista selecta de archivos ejecutables.
Adicionalmente, este gusano tiene un programa de captura de teclado,
una puerta trasera que escucha en el puerto 1080/tcp, e intenta
terminar numerosos procesos de productos de seguridad (programas
antivirus y firewalls) en el sistema.
El gusano utiliza la vulnerabilidad reportada en el Boletín de
Seguridad de Microsoft MS01-020: * Incorrect MIME Header Can Cause
IE to Execute E-mail Attachment
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp>*
que causa que los sistemas no actualizados ejecuten automáticamente
el gusano cuando un usuario lea o previsualice un mensaje infectado.
Debido a que el gusano no maneja adecuadamente los tipos de recursos
de red, puede saturar los recursos de impresoras compartidas, lo que
causa que se imprima información basura o interrumpa su
funcionamiento normal.
El gusano llega en un archivo adjunto con extensión /.pif/, /.scr/,
o /.exe/. Después de abrir el archivo, el gusano intenta enviarse
por sí mismo por correo electrónico a todas las direcciones que
encuentra en la bandeja de entrada y en los archivos con extensión
/.dbx/, /.eml/, /.mbx/, /.mmf/, /.nch/, /.ocs/, o /.tbb/.
El gusano también intenta propagarse copiándose a sí mismo a los
siguientes directorios en la máquina local, así como en otras
máquinas a las que tiene acceso utilizando un nombre de archivo
aleatorio:
* /Windows\Start Menu\Programs\Startup\[nombre_aleatorio].exe/
cuando es ejecutado en sistemas Windows 95/98/Me.
* /Documents and Settings\<nombre de usuario actual>\Start
Menu\Programs\Startup\[nombre_aleatorio].exe/ cuando es
ejecutado en sistemas Windows NT/2000/XP.
* Propagación Mediante Correo Electrónico Masivo
El gusano se envía por sí mismo mediante correo electrónico masivo a
las direcciones encontradas en el sistema. Busca las direcciones de
correo en la bandeja de entrada actual y los archivos que tengan las
extensiones:
* .mmf
* .nch
* .mbx
* .eml
* .tbb
* .dbx
* .ocs
El gusano obtiene la dirección de correo electrónico del usuario
actual y el servidor SMTP de la llave de Registro:
* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account
Manager\Accounts
El gusano utiliza su propio motor SMTP para enviarse por sí mismo a
todas las direcciones de correo que encentra falsificando la
dirección /From:/.
El gusano puede enviarse o reenviarse en un mensaje existente o
crear un nuevo mensaje con uno de los siguientes temas:
# Hello! # update
# hmm.. # Payment notices
# Just a reminder # Correction of errors
# history screen # Announcement
# various # Introduction
# Interesting... # I need help about script!!!
# Stats # Please Help...
# Report # Membership Confirmation
# Get a FREE gift! # Today Only
# New Contests # Lost & Found
# bad news # wow!
# fantastic # click on this!
# Market Update Report # empty account
# My eBay ads # Cows
# 25 merchants and rising # CALL FOR INFORMATION!
# new reading # Sponsors needed
# SCAM alert!!! # Warning!
# its easy # free shipping!
# News # Daily Email Reminder
# Tools For Your Online Business # New bonus in your cash account
# Your Gift # Re:
# $150 FREE Bonus! # Your News Alert
# Hi! # Get 8 FREE issues - no risk!
# Greets!
Como nombre de archivo para el archivo adjunto, el gusano utiliza
nombres de archivo en localizados en el directorio /My Documents/,
los cuales tienen una de las siguientes extensiones:
# .reg # .ini
# .bat # .diz
# .txt # .cpp
# .html # .htm
# .jpeg # .jpg
# .gif # .cpl
# .dll # .vxd
# .sys # .com
# .exe # .bmp
El nombre de archivo es concatenado con una de las siguientes
extensiones:
* .scr
* .pif
* .exe
Además, el nombre de archivo puede consistir de una de las
siguientes palabras:
# readme # Setup
# Card # Docs
# news # image
# images # pics
# resume # photo
# video # music
# song # data
El tipo de contenido del mensaje corresponde al tipo de archivo y
puede ser uno de los siguientes:
* text/html
* text/plain
* application/octet-stream
* image/jpeg
* image/gif
* Infección de Archivos Locales y de Red
El gusano también intenta infectar los archivos en los recursos
compartidos en red y locales. El gusano se agrega por sí mismo y es
polimórfico. Los archivos son los siguientes:
* scandskw.exe
* regedit.exe
* mplayer.exe
* hh.exe
* notepad.exe
* winhelp.exe
* Internet Explorer\iexplore.exe
* adobe\acrobat 5.0\reader\acrord32.exe
* WinRAR\WinRAR.exe
* Windows Media Player\mplayer2.exe
* Real\RealPlayer\realplay.exe
* Outlook Express\msimn.exe
* Far\Far.exe
* CuteFTP\cutftp32.exe
* Adobe\Acrobat 4.0\Reader\AcroRd32.exe
* ACDSee32\ACDSee32.exe
* MSN Messenger\msnmsgr.exe
* WS_FTP\WS_FTP95.exe
* QuickTime\QuickTimePlayer.exe
* StreamCast\Morpheus\Morpheus.exe
* Zone Labs\ZoneAlarm\ZoneAlarm.exe
* Trillian\Trillian.exe
* Lavasoft\Ad-aware 6\Ad-aware.exe
* AIM95\aim.exe
* Winamp\winamp.exe
* DAP\DAP.exe
* ICQ\Icq.exe
* kazaa\kazaa.exe
* winzip\winzip32.exe
* Infección Compartiendo a través de la Red
El gusano lista todos los equipos que se encuentren compartiendo en
red y así intenta copiarse por sí mismo a aquellos equipos que se
encuentren compartiendo. De igual forma el gusano intenta copiarse a
sí mismo al directorio /Windows Startup/ localizado en los equipos
remotos.
El gusano no diferencía entre computadoras e impresoras. Así, el
gusano intentará inadvertidamente encolarse como un trabajo de
impresión en las redes compartidas a través de la red.
* Registro de Teclas (Troyano).
El gusano contiene un registrador de teclas, nombrado de forma
aleatoria con extensión DLL dentro de la ruta de los directorios
/\Windows\System/. El archivo se compone de un tamaño de 5,632 bytes
y es detectado como /PWS.Hooker.Trojan/. El gusano crea archivos
cifrados adicionales bajo los directorios /Windows/ y
/\Windows\System/ con nombres de archivos aleatorios, con
extensiones .dll o .dat. Estos archivos almacenan información de la
configuración y cifran los registros de teclas que el programa va
registrando.
Estos datos no son maliciosos y pueden ser eliminados.
* Terminación de Procesos
El gusano intenta terminar procesos de productos de seguridad que
tienen los siguientes nombres:
# ZONEALARM.EXE # WFINDV32.EXE
# WEBSCANX.EXE # VSSTAT.EXE
# VSHWIN32.EXE # VSECOMR.EXE
# VSCAN40.EXE # VETTRAY.EXE
# VET95.EXE # TDS2-NT.EXE
# TDS2-98.EXE # TCA.EXE
# TBSCAN.EXE # SWEEP95.EXE
# SPHINX.EXE # SMC.EXE
# SERV95.EXE # SCRSCAN.EXE
# SCANPM.EXE # SCAN95.EXE
# SCAN32.EXE # SAFEWEB.EXE
# RESCUE.EXE # RAV7WIN.EXE
# RAV7.EXE # PERSFW.EXE
# PCFWALLICON.EXE # PCCWIN98.EXE
# PAVW.EXE # PAVSCHED.EXE
# PAVCL.EXE # PADMIN.EOUTPOST.EXE
# NVC95.EXE # NUPGRADE.EXE
# NORMIST.EXE # NMAIN.EXE
# NISUM.EXE # NAVWNT.EXE
# NAVW32.EXE # NAVNT.EXE
# NAVLU32.EXE # NAVAPW32.EXE
# N32SCANW.EXE # MPFTRAY.EXE
# MOOLIVE.EXE # LUALL.EXE
# LOOKOUT.EXE # LOCKDOWN2000.EXE
# JEDI.EXE # IOMON98.EXE
# IFACE.EXE # ICSUPPNT.EXE
# ICSUPP95.EXE # ICMON.EXE
# ICLOADNT.EXE # ICLOAD95.EXE
# IBMAVSP.EXE # IBMASN.EXE
# IAMSERV.EXE # IAMAPP.EXE
# FRW.EXE # FPROT.EXE
# FP-WIN.EXE # FINDVIRU.EXE
# F-STOPW.EXE # F-PROT95.EXE
# F-PROT.EXE # F-AGNT95.EXE
# ESPWATCH.EXE # ESAFE.EXE
# ECENGINE.EXE # DVP95_0.EXE
# DVP95.EXE # CLEANER3.EXE
# CLEANER.EXE # CLAW95CF.EXE
# CLAW95.EXE # CFINET32.EXE
# CFINET.EXE # CFIAUDIT.EXE
# CFIADMIN.EXE # BLACKICE.EXE
# BLACKD.EXE # AVWUPD32.EXE
# AVWIN95.EXE # AVSCHED32.EXE
# AVPUPD.EXE # AVPTC32.EXE
# AVPM.EXE # AVPDOS32.EXE
# AVPCC.EXE # AVP32.EXE
# AVP.EXE # AVNT.EXE
# AVKSERV.EXE # AVGCTRL.EXE
# AVE32.EXE # AVCONSOL.EXE
# AUTODOWN.EXE # APVXDWIN.EXE
# ANTI-TROJAN.EXE # ACKWIN32.EXE
# _AVPM.EXE # _AVPCC.EXE
# _AVP32.EXE
* Rutina de Puerta Trasera
El gusano también abre un puerto para que escuche en el 1080/TCP. Un
intruso puede conectarse a este puerto y realizar las siguientes
acciones:
* Eliminar archivos.
* Terminar procesos.
* Listar procesos y entregar la lista al intruso.
* Copiar archivos.
* Iniciar procesos.
* Listar archivos y entregar la lista al intruso.
* Entregar lo escrito mediante el teclado a un intruso en forma
cifrada. Esta acción podría revelar información confidencial
escrita en una computadora (passwords, detalles de inicio de
sesión, etc.).
* Entregar información del sistema al creador de gusano en la
siguiente forma:
o Usuario: <nombre de usuario>
o Procesador: <tipo de procesador utilizado>
o Versión de Windows: <versión de Windows, número>
o Información de memorias: <memoria disponible, etc.>
o Unidades locales, tipos y sus características físicas.
* Lista los recursos de red y sus tipos, y entrega la lista al
creador del gusano.
IMPACTO
-------
El gusano W32/Bugbear.B pone en riesgo el sistema infectado debido a
lo siguiente:
* Intenta determinar los programas de seguridad instalados como
antivirus y firewalls para deshabilitarlos.
* Abre una puerta trasera en el puerto 1080 en espera de
comandos de una máquina remota.
* Adicionalmente, mantiene un registro de la entrada de
información en el teclado por el usuario.
* Debido a que no puede controlar correctamente los tipos de
recursos compartidos en red, el gusano puede saturar de
información las impresoras compartidas lo que puede causar que
impriman información basura o interrumpan su operación normal.
SOLUCIONES
----------
El UNAM-CERT recomienda a todo usuario de cómputo llevar a cabo los
siguientes pasos prácticos a fin de reducir el grado de infección
por dicho gusano.
* Ejecutar un software antivirus, el cual debe estar actualizado
con las últimas firmas de virus.
* Detectar si esta abierto el puerto 1080, elimine el proceso
o Ctrl+Alt+Del [win95/98/Me]
o Ctrl+Shift+Esc [winNT/2000/XP]
o Seleccione la pestaña de procesos
o Termine el proceso del virus.
* Suspender la protección 'Restaurar el sistema' de los sistema
Windows ME/XP
* Sequir las instrucciones que el antivirus le de para vacunar
los archivos infectados.
* Herramientas de Limpieza Automática.
Puede utilizarse alguna de las herramientas:
* Antibugbear-es.exe [gratuito]
http://www.bitdefender.com/descarga/evaluacion/Antibugbear-es.exe
* Pqremove.com [gratuito]
http://updates.pandasoftware.com/pq/gen/bugbearb/pqremove.com
* tsc.zip [usuarios de TrenMicro]
http://www.trendmicro.com/ftp/products/tsc/tsc.zip
<http://www.trendmicro.com/ftp/products/tsc/tsc.zip>
* Sysclean.com [no usuarios de TrenMicro]
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
<http://www.trendmicro.com/ftp/products/tsc/sysclean.com>
* Recomendaciones Adicionales.
* Reactivar los mecanismos de seguridad que el gusano deshabilito.
* Activar el sistema 'Restaurar el sistema'.
* Aplicar la Actualización de Seguridad de Microsoft:
Microsoft Security Bulletin (MS01-020)
Incorrect MIME Header Can Cause IE to Execute E-mail
Attachment
* Implementar un Firewall de Perímetro de Red o un Firewall
Personal.
* No abrir correos electrónicos no solicitados en especial con
los patrones antes mencionados
APÉNDICE A. Información Adicional
---------------------------------
Para obtener mayor información acerca del gusano /W32/Bugbear.B/ se
pueden consultar los siguientes sitios Web:
# http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=39823&sind=0
# http://www.bitdefender-es.com/virusi/virusi_descrieri.php?virus_id=153
# http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_BUGBEAR.B
# http://esp.sophos.com/virusinfo/analyses/w32bugbearb.html
# http://www.ravantivirus.com/virus/showvirus.php?v=190
# http://securityresponse.symantec.com/avcenter/venc/data/w32 bugbear b en mm html
# http://www.viruslist.com/eng/viruslist.html?id=52245
APÉNDICE B. Reportar Información
---------------------------------
El UNAM-CERT ha puesto todo el esfuerzo posible para asegurar que la
información contenida en este documento sea confiable al momento de
su publicación. Sin embargo, la decisión de utilizar la información
descrita es responsabilidad de cada usuario u organización. La
adecuación de este documento para una organización o sistema
individual debería ser considerada antes su aplicación en conjunto
con las políticas y procedimientos locales. El UNAM-CERT no se hace
responsable de las consecuencias generadas por la aplicación del
contenido en este documento.
Si algún administrador o usuario de red detecta que su sistema ha
sido comprometido, puede contactar al UNAM-CERT en la siguiente
cuenta de correo electrónico:
*escaneos en seguridad unam mx <mailto:escaneos en seguridad unam mx>*
INFORMACIÓN
-----------
Este documento se encuentra disponible en su formato original en la
siguiente direccion:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx
Para mayor informacion acerca de esta nota de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBPt/sUHAvLUtwgRsVAQHQ1wgAnG3Mgx1gAMo1NUtxW2rx/TQ77QPWdWhb
Za9qAWRzlv+AzfFH+fKiiLsMeP1tAqB+gvD19gdxk/6hLF2pyLwAuQ2+F+QviIF9
tqHXRA7SQ1SabDhduy0FjYG4NQS06+WEP8s5RfD6mNlm4criTrqsCvZMIlNISARo
PwFhPs8wp1NBIU7n2N3Q3CPH2FuBUndfP6xoJIkatKA5Awv2Z0+nyYZPXu1R3wPt
HAMJK7G9Tg9LNlSF02Yj36dMpZF98K80GfGiJ1HMMIZM+a50U+/HOsWM9AsPmdds
grYMpx4sPR5tbwzGd1aqkuzIQNhIL2YpuJ1aripOcJuAHqDdIfruww==
=lOy/
-----END PGP SIGNATURE-----
_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/