[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM Nota de Seguridad UNAM-CERT 2003-003 Gusano W32/BugBear.B ------------------------------------------------------------------- En las ultimas horas el UNAM-CERT (Equipo de respuesta a Incidentes de Seguridad en Cómputo UNAM) ha recibido diversos reportes que indican la presencia de una nueva variante del gusano Bugbear conocida como W32.BugBear.B, el cual se esta propagando de forma rápida por Internet. Esta nueva variante, fue detectada el día Jueves 5 de Junio y contiene casi las mismas características que el primer virus Bugbear, el cual data de septiembre del 2002 y que también fue conocido como "Tanatos". SISTEMAS AFECTADOS ------------------ * Microsoft Windows 95 * Microsoft Windows 98 * Microsoft Windows Me * Microsoft Windows NT * Microsoft Windows 2000 * Microsoft Windows XP DESCRIPCIÓN ----------- W32.Bugbear.B es una variante del gusano de correo electrónico masivo Bugbear, referenciado como *"W32/BugBear.B"*, *"W32/Kijmo"* o *"W32/Shamur"*. Este gusano también se propaga a través de recursos de red compartidos. El gusano es polimórfico y puede también infectar una lista selecta de archivos ejecutables. Adicionalmente, este gusano tiene un programa de captura de teclado, una puerta trasera que escucha en el puerto 1080/tcp, e intenta terminar numerosos procesos de productos de seguridad (programas antivirus y firewalls) en el sistema. El gusano utiliza la vulnerabilidad reportada en el Boletín de Seguridad de Microsoft MS01-020: * Incorrect MIME Header Can Cause IE to Execute E-mail Attachment <http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp>* que causa que los sistemas no actualizados ejecuten automáticamente el gusano cuando un usuario lea o previsualice un mensaje infectado. Debido a que el gusano no maneja adecuadamente los tipos de recursos de red, puede saturar los recursos de impresoras compartidas, lo que causa que se imprima información basura o interrumpa su funcionamiento normal. El gusano llega en un archivo adjunto con extensión /.pif/, /.scr/, o /.exe/. Después de abrir el archivo, el gusano intenta enviarse por sí mismo por correo electrónico a todas las direcciones que encuentra en la bandeja de entrada y en los archivos con extensión /.dbx/, /.eml/, /.mbx/, /.mmf/, /.nch/, /.ocs/, o /.tbb/. El gusano también intenta propagarse copiándose a sí mismo a los siguientes directorios en la máquina local, así como en otras máquinas a las que tiene acceso utilizando un nombre de archivo aleatorio: * /Windows\Start Menu\Programs\Startup\[nombre_aleatorio].exe/ cuando es ejecutado en sistemas Windows 95/98/Me. * /Documents and Settings\<nombre de usuario actual>\Start Menu\Programs\Startup\[nombre_aleatorio].exe/ cuando es ejecutado en sistemas Windows NT/2000/XP. * Propagación Mediante Correo Electrónico Masivo El gusano se envía por sí mismo mediante correo electrónico masivo a las direcciones encontradas en el sistema. Busca las direcciones de correo en la bandeja de entrada actual y los archivos que tengan las extensiones: * .mmf * .nch * .mbx * .eml * .tbb * .dbx * .ocs El gusano obtiene la dirección de correo electrónico del usuario actual y el servidor SMTP de la llave de Registro: * HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts El gusano utiliza su propio motor SMTP para enviarse por sí mismo a todas las direcciones de correo que encentra falsificando la dirección /From:/. El gusano puede enviarse o reenviarse en un mensaje existente o crear un nuevo mensaje con uno de los siguientes temas: # Hello! # update # hmm.. # Payment notices # Just a reminder # Correction of errors # history screen # Announcement # various # Introduction # Interesting... # I need help about script!!! # Stats # Please Help... # Report # Membership Confirmation # Get a FREE gift! # Today Only # New Contests # Lost & Found # bad news # wow! # fantastic # click on this! # Market Update Report # empty account # My eBay ads # Cows # 25 merchants and rising # CALL FOR INFORMATION! # new reading # Sponsors needed # SCAM alert!!! # Warning! # its easy # free shipping! # News # Daily Email Reminder # Tools For Your Online Business # New bonus in your cash account # Your Gift # Re: # $150 FREE Bonus! # Your News Alert # Hi! # Get 8 FREE issues - no risk! # Greets! Como nombre de archivo para el archivo adjunto, el gusano utiliza nombres de archivo en localizados en el directorio /My Documents/, los cuales tienen una de las siguientes extensiones: # .reg # .ini # .bat # .diz # .txt # .cpp # .html # .htm # .jpeg # .jpg # .gif # .cpl # .dll # .vxd # .sys # .com # .exe # .bmp El nombre de archivo es concatenado con una de las siguientes extensiones: * .scr * .pif * .exe Además, el nombre de archivo puede consistir de una de las siguientes palabras: # readme # Setup # Card # Docs # news # image # images # pics # resume # photo # video # music # song # data El tipo de contenido del mensaje corresponde al tipo de archivo y puede ser uno de los siguientes: * text/html * text/plain * application/octet-stream * image/jpeg * image/gif * Infección de Archivos Locales y de Red El gusano también intenta infectar los archivos en los recursos compartidos en red y locales. El gusano se agrega por sí mismo y es polimórfico. Los archivos son los siguientes: * scandskw.exe * regedit.exe * mplayer.exe * hh.exe * notepad.exe * winhelp.exe * Internet Explorer\iexplore.exe * adobe\acrobat 5.0\reader\acrord32.exe * WinRAR\WinRAR.exe * Windows Media Player\mplayer2.exe * Real\RealPlayer\realplay.exe * Outlook Express\msimn.exe * Far\Far.exe * CuteFTP\cutftp32.exe * Adobe\Acrobat 4.0\Reader\AcroRd32.exe * ACDSee32\ACDSee32.exe * MSN Messenger\msnmsgr.exe * WS_FTP\WS_FTP95.exe * QuickTime\QuickTimePlayer.exe * StreamCast\Morpheus\Morpheus.exe * Zone Labs\ZoneAlarm\ZoneAlarm.exe * Trillian\Trillian.exe * Lavasoft\Ad-aware 6\Ad-aware.exe * AIM95\aim.exe * Winamp\winamp.exe * DAP\DAP.exe * ICQ\Icq.exe * kazaa\kazaa.exe * winzip\winzip32.exe * Infección Compartiendo a través de la Red El gusano lista todos los equipos que se encuentren compartiendo en red y así intenta copiarse por sí mismo a aquellos equipos que se encuentren compartiendo. De igual forma el gusano intenta copiarse a sí mismo al directorio /Windows Startup/ localizado en los equipos remotos. El gusano no diferencía entre computadoras e impresoras. Así, el gusano intentará inadvertidamente encolarse como un trabajo de impresión en las redes compartidas a través de la red. * Registro de Teclas (Troyano). El gusano contiene un registrador de teclas, nombrado de forma aleatoria con extensión DLL dentro de la ruta de los directorios /\Windows\System/. El archivo se compone de un tamaño de 5,632 bytes y es detectado como /PWS.Hooker.Trojan/. El gusano crea archivos cifrados adicionales bajo los directorios /Windows/ y /\Windows\System/ con nombres de archivos aleatorios, con extensiones .dll o .dat. Estos archivos almacenan información de la configuración y cifran los registros de teclas que el programa va registrando. Estos datos no son maliciosos y pueden ser eliminados. * Terminación de Procesos El gusano intenta terminar procesos de productos de seguridad que tienen los siguientes nombres: # ZONEALARM.EXE # WFINDV32.EXE # WEBSCANX.EXE # VSSTAT.EXE # VSHWIN32.EXE # VSECOMR.EXE # VSCAN40.EXE # VETTRAY.EXE # VET95.EXE # TDS2-NT.EXE # TDS2-98.EXE # TCA.EXE # TBSCAN.EXE # SWEEP95.EXE # SPHINX.EXE # SMC.EXE # SERV95.EXE # SCRSCAN.EXE # SCANPM.EXE # SCAN95.EXE # SCAN32.EXE # SAFEWEB.EXE # RESCUE.EXE # RAV7WIN.EXE # RAV7.EXE # PERSFW.EXE # PCFWALLICON.EXE # PCCWIN98.EXE # PAVW.EXE # PAVSCHED.EXE # PAVCL.EXE # PADMIN.EOUTPOST.EXE # NVC95.EXE # NUPGRADE.EXE # NORMIST.EXE # NMAIN.EXE # NISUM.EXE # NAVWNT.EXE # NAVW32.EXE # NAVNT.EXE # NAVLU32.EXE # NAVAPW32.EXE # N32SCANW.EXE # MPFTRAY.EXE # MOOLIVE.EXE # LUALL.EXE # LOOKOUT.EXE # LOCKDOWN2000.EXE # JEDI.EXE # IOMON98.EXE # IFACE.EXE # ICSUPPNT.EXE # ICSUPP95.EXE # ICMON.EXE # ICLOADNT.EXE # ICLOAD95.EXE # IBMAVSP.EXE # IBMASN.EXE # IAMSERV.EXE # IAMAPP.EXE # FRW.EXE # FPROT.EXE # FP-WIN.EXE # FINDVIRU.EXE # F-STOPW.EXE # F-PROT95.EXE # F-PROT.EXE # F-AGNT95.EXE # ESPWATCH.EXE # ESAFE.EXE # ECENGINE.EXE # DVP95_0.EXE # DVP95.EXE # CLEANER3.EXE # CLEANER.EXE # CLAW95CF.EXE # CLAW95.EXE # CFINET32.EXE # CFINET.EXE # CFIAUDIT.EXE # CFIADMIN.EXE # BLACKICE.EXE # BLACKD.EXE # AVWUPD32.EXE # AVWIN95.EXE # AVSCHED32.EXE # AVPUPD.EXE # AVPTC32.EXE # AVPM.EXE # AVPDOS32.EXE # AVPCC.EXE # AVP32.EXE # AVP.EXE # AVNT.EXE # AVKSERV.EXE # AVGCTRL.EXE # AVE32.EXE # AVCONSOL.EXE # AUTODOWN.EXE # APVXDWIN.EXE # ANTI-TROJAN.EXE # ACKWIN32.EXE # _AVPM.EXE # _AVPCC.EXE # _AVP32.EXE * Rutina de Puerta Trasera El gusano también abre un puerto para que escuche en el 1080/TCP. Un intruso puede conectarse a este puerto y realizar las siguientes acciones: * Eliminar archivos. * Terminar procesos. * Listar procesos y entregar la lista al intruso. * Copiar archivos. * Iniciar procesos. * Listar archivos y entregar la lista al intruso. * Entregar lo escrito mediante el teclado a un intruso en forma cifrada. Esta acción podría revelar información confidencial escrita en una computadora (passwords, detalles de inicio de sesión, etc.). * Entregar información del sistema al creador de gusano en la siguiente forma: o Usuario: <nombre de usuario> o Procesador: <tipo de procesador utilizado> o Versión de Windows: <versión de Windows, número> o Información de memorias: <memoria disponible, etc.> o Unidades locales, tipos y sus características físicas. * Lista los recursos de red y sus tipos, y entrega la lista al creador del gusano. IMPACTO ------- El gusano W32/Bugbear.B pone en riesgo el sistema infectado debido a lo siguiente: * Intenta determinar los programas de seguridad instalados como antivirus y firewalls para deshabilitarlos. * Abre una puerta trasera en el puerto 1080 en espera de comandos de una máquina remota. * Adicionalmente, mantiene un registro de la entrada de información en el teclado por el usuario. * Debido a que no puede controlar correctamente los tipos de recursos compartidos en red, el gusano puede saturar de información las impresoras compartidas lo que puede causar que impriman información basura o interrumpan su operación normal. SOLUCIONES ---------- El UNAM-CERT recomienda a todo usuario de cómputo llevar a cabo los siguientes pasos prácticos a fin de reducir el grado de infección por dicho gusano. * Ejecutar un software antivirus, el cual debe estar actualizado con las últimas firmas de virus. * Detectar si esta abierto el puerto 1080, elimine el proceso o Ctrl+Alt+Del [win95/98/Me] o Ctrl+Shift+Esc [winNT/2000/XP] o Seleccione la pestaña de procesos o Termine el proceso del virus. * Suspender la protección 'Restaurar el sistema' de los sistema Windows ME/XP * Sequir las instrucciones que el antivirus le de para vacunar los archivos infectados. * Herramientas de Limpieza Automática. Puede utilizarse alguna de las herramientas: * Antibugbear-es.exe [gratuito] http://www.bitdefender.com/descarga/evaluacion/Antibugbear-es.exe * Pqremove.com [gratuito] http://updates.pandasoftware.com/pq/gen/bugbearb/pqremove.com * tsc.zip [usuarios de TrenMicro] http://www.trendmicro.com/ftp/products/tsc/tsc.zip <http://www.trendmicro.com/ftp/products/tsc/tsc.zip> * Sysclean.com [no usuarios de TrenMicro] http://www.trendmicro.com/ftp/products/tsc/sysclean.com <http://www.trendmicro.com/ftp/products/tsc/sysclean.com> * Recomendaciones Adicionales. * Reactivar los mecanismos de seguridad que el gusano deshabilito. * Activar el sistema 'Restaurar el sistema'. * Aplicar la Actualización de Seguridad de Microsoft: Microsoft Security Bulletin (MS01-020) Incorrect MIME Header Can Cause IE to Execute E-mail Attachment * Implementar un Firewall de Perímetro de Red o un Firewall Personal. * No abrir correos electrónicos no solicitados en especial con los patrones antes mencionados APÉNDICE A. Información Adicional --------------------------------- Para obtener mayor información acerca del gusano /W32/Bugbear.B/ se pueden consultar los siguientes sitios Web: # http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=39823&sind=0 # http://www.bitdefender-es.com/virusi/virusi_descrieri.php?virus_id=153 # http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_BUGBEAR.B # http://esp.sophos.com/virusinfo/analyses/w32bugbearb.html # http://www.ravantivirus.com/virus/showvirus.php?v=190 # http://securityresponse.symantec.com/avcenter/venc/data/w32 bugbear b en mm html # http://www.viruslist.com/eng/viruslist.html?id=52245 APÉNDICE B. Reportar Información --------------------------------- El UNAM-CERT ha puesto todo el esfuerzo posible para asegurar que la información contenida en este documento sea confiable al momento de su publicación. Sin embargo, la decisión de utilizar la información descrita es responsabilidad de cada usuario u organización. La adecuación de este documento para una organización o sistema individual debería ser considerada antes su aplicación en conjunto con las políticas y procedimientos locales. El UNAM-CERT no se hace responsable de las consecuencias generadas por la aplicación del contenido en este documento. Si algún administrador o usuario de red detecta que su sistema ha sido comprometido, puede contactar al UNAM-CERT en la siguiente cuenta de correo electrónico: *escaneos en seguridad unam mx <mailto:escaneos en seguridad unam mx>* INFORMACIÓN ----------- Este documento se encuentra disponible en su formato original en la siguiente direccion: http://www.seguridad.unam.mx http://www.unam-cert.unam.mx Para mayor informacion acerca de esta nota de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : unam-cert en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 - -- Juan Carlos Guel Lopez UNAM-CERT Equipo de Respuesta a Incidentes UNAM DGSCA, UNAM E-mail: unam-cert en seguridad unam mx Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43 Del. Coyoacan WWW: http://www.seguridad.unam.mx 04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBPt/sUHAvLUtwgRsVAQHQ1wgAnG3Mgx1gAMo1NUtxW2rx/TQ77QPWdWhb Za9qAWRzlv+AzfFH+fKiiLsMeP1tAqB+gvD19gdxk/6hLF2pyLwAuQ2+F+QviIF9 tqHXRA7SQ1SabDhduy0FjYG4NQS06+WEP8s5RfD6mNlm4criTrqsCvZMIlNISARo PwFhPs8wp1NBIU7n2N3Q3CPH2FuBUndfP6xoJIkatKA5Awv2Z0+nyYZPXu1R3wPt HAMJK7G9Tg9LNlSF02Yj36dMpZF98K80GfGiJ1HMMIZM+a50U+/HOsWM9AsPmdds grYMpx4sPR5tbwzGd1aqkuzIQNhIL2YpuJ1aripOcJuAHqDdIfruww== =lOy/ -----END PGP SIGNATURE----- _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/