[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Nota de Seguridad UNAM-CERT 2003-004
Incremento de Sistemas Windows Comprometidos en Redes MX
------------------------------------------------------------------------
En las ultimas semanas el UNAM-CERT (Equipo de respuesta a
Incidentes de Seguridad en Cómputo UNAM) ha recibido diversos
reportes que indican un alto índice de equipos con sistemas Windows
2000 comprometidos en redes MX. De acuerdo a análisis preliminares
ocurren principalmente en sistemas que presentan características de
passwords débiles o nulos y a su vez a la falta de actualizaciones
de seguridad.
SISTEMAS AFECTADOS
------------------
* Microsoft Windows 2000
DESCRIPCIÓN DETALLADA DE ARCHIVOS Y POSIBLES LOCALIZACIONES
-----------------------------------------------------------
Los sistemas Windows Comprometidos han sido analizados y han
presentado distintos patrones de comportamiento entre los que se
encuentran:
1. Compromiso mediante el Gusano Payload.dat (W32.Randex.C)
En los sistemas comprometidos este archivo esta alojado en el
directorio /C:\/ y en el directorio de Sistema (%System% es
usualmente C:\WINNT\system32) bajo los nombres: /payload.dat/,
/gesfm32.exe/ o /msmonk32.exe/ y es un gusano de propagación
mediante red detectado por Norton Antivirus como: W32.Randex.C.
Este gusano se copia por sí mismo a los recursos administrativos
compartidos en sistemas con passwords débiles a los siguientes
archivos:
\Admin$\system32\msmonk32.exe
\c$\winnt\system32\msmonk32.exe
El gusano puede recibir instrucciones de forma remota, alguna de
las cuales disparará la propagación antes mencionada.
Cuando el gusano se ejecuta realiza lo siguiente:
* Se copia a sí mismo a %System%\gesfm32.exe. De forma
predeterminada %System% es C:\Windows\System (Windows
95/98/Me), C:\Winnt\System32 (Windows NT/2000), o
C:\Windows\System32 (Windows XP).
* Calcula una dirección IP aleatoria de algún sistema a
infectar.
* Intenta autenticarse en la dirección IP generada
aleatoriamente utilizando uno de los siguientes passwords:
o <blank>
o admin
o root
o 1
o 111
o 123
o 1234
o 123456
o 654321
o !@#$
o asdf
o asdfgh
o !@#$%
o !@#$%^
o !@#$%^&
o !@#$%^&*
o server
* Se copia a sí mismo a los sistemas con password de
administrador débil, como:
o \\\Admin$\system32\msmonk32.exe
o \\c$\winnt\system32\msmonk32.exe
* Programa un Trabajo de Red para que se ejecute el gusano.
* Agrega el siguiente valor:
/"Microsoft Netview"="%System%\gesfm32.exe"/
a la clave de Registro:
/HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/
para que el gusano se ejecute automáticamente.
* El gusano puede recibir instrucciones remotas, como lo son:
o /ntscan/: Realiza el escaneo de sistemas con
passwords de administrador débiles y se copia a
dichos sistemas.
o / syn/: Realiza un ataque /syn flood/ con un tamaño
de datos de 55808 bytes.
o /sysinfo/: Obtiene información de los sistemas
infectados, como lo es velocidad del CPU, memoria, etc.
* En gusano se copia al directorio raíz del sistema
comprometido:
Directorio de C:\
...
04/29/2003 05:27p 37,376 payload.dat
...
* De igual forma, el gusano se copia al directorio de
Sistema (usualmente C:\Winnt\System32):
Directorio de C:\Winnt\Sistem32
...
04/29/2003 05:27p 37,376 gesfm32.exe
...
04/29/2003 05:27p 37,376 msmonk32.exe
...
Los sistemas comprometidos mediante éste patrón pueden presentar
una variedad de programas instalados comúnmente en
/C:\Winnt\System32/ o en un subdirectorio con atributo de oculto
dentro del mismo directorio. Algunos de estos programas pueden
ser los siguientes:
Archivo Node.exe
-----------------
El directorio /C:\/ y el directorio de Sistema (usualmente
C:\WINNT\System32) contiene el troyano */node.exe/*:
Directorio de C:\
...
21/05/2003 04:46p 110,592 node.exe
19/05/2003 05:59p 34,724 NTDETECT.COM
19/05/2003 05:59p 215,552 ntldr
...
Este troyano es detectado como /*Backdoor.Trojan*/ por
Norton Antivirus de Symantec.
El troyano agrega una entrada en el Registro del sistema
con el valor:
/"Services"="C:\node.exe"/
A la clave de Registro:
/HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/
De esta forma, el troyano se ejecutará cada vez que inicie
el sistema.
El troyano abre una puerta trasera en el puerto 7441/TCP y
en algunos casos el puerto 123/UDP en espera de ordenes
por parte de un intruso.
...
884 svchost -> 3003 TCP G:\WINDOWS\System32\svchost.exe
1052 -> 5000 TCP
1612 node -> 7441 TCP C:\node.exe
1612 node -> 123 UDP C:\node.exe
884 svchost -> 123 UDP G:\WINDOWS\System32\svchost.exe
820 svchost -> 135 UDP G:\WINDOWS\system32\svchost.exe
...
FireDaemon (FireDaemon.EXE)
----------------------------
FireDaemon es una utilería que permite que se instalen y
ejecuten virtualmente cualquier aplicación o script nativo
de Win32 (por ejemplo Batch/Cmd, Perl, Java, Python,
TCL/TK) como un servicio de Windows NT/2K/XP/2K3.
A continuación se muestra un ejemplo:
Directory of C:\Winnt\System32\com\c0m1\lib
...
03/07/2003 12:01p 81,920 firedaemon.exe
...
Iroffer
-------
Iroffer es un servidor de archivos para irc (comúnmente
referenciado como DDC bot). Utiliza la característica de
irc para enviar archivos a otros usuarios. Iroffer se
conecta a un servidor irc y permite a los usuarios
requerir archivos del mismo.
Este archivo fue encontrado en los sistemas comprometidos
con el nombre de /*encrypt.EXE*/ o */winmgnt.exe/*.
Este irc se ejecuta en los puertos 1311/TCP y 1435/TCP.
...
860 encrypt -> 1311 TCP c:\winnt\system32\Com\C0M1\LIB\encrypt.exe
...
860 encrypt -> 1435 TCP c:\winnt\system32\Com\C0M1\LIB\encrypt.exe
...
Algunos ejemplos de conexión son los siguientes:
...
** 2003-05-27-19:55:46: iroffer started v1.2b13 [November 10th, 2001]
** 2003-05-27-19:55:46: WARNING: Empty XDCC File, Starting With No Packs Offered
** 2003-05-27-19:55:46: Writing pid file...
** 2003-05-27-19:55:46: Attempting Connection to geneva.ch.eu.undernet.org (direct)
** 2003-05-27-19:55:47: Server Connection Established, Logging In
** 2003-05-27-19:55:47: Closing Server Connection: Connection Lost.
** 2003-05-27-19:55:47: Attempting Connection to geneva.ch.eu.undernet.org (direct)
** 2003-05-27-19:55:47: Server Connection Established, Logging In
** 2003-05-27-19:56:09: Joined #XDCCQUEBEC
** 2003-05-27-19:56:14: DCC Chat Requested
** 2003-05-27-19:56:20: ADMIN ADD Requested (DCC Chat)
** 2003-05-27-19:56:27: ADMIN SEND Requested (DCC Chat)
** 2003-05-27-19:56:29: XDCC [00:{morpheus]: Resumed at 4866K
** 2003-05-27-19:56:31: XDCC [00:{morpheus]: Connection established (24.122.2.164:2193 -> 132.248.X.X:1384)
** 2003-05-27-19:56:32: ADMIN SEND Requested (DCC Chat)
** 2003-05-27-19:56:33: XDCC [00:{morpheus]: Transfer Completed (16 kbytes, 0 min 1 sec, 16.0 kbytes/sec)
** 2003-05-27-19:56:33: XDCC [01:tiguypala]: Resumed at 4866K
** 2003-05-27-19:56:34: XDCC [01:tiguypala]: Connection established (66.36.140.173:4796 -> 132.248.X.X:1637)
** 2003-05-27-19:56:36: ADMIN DCLD Requested (DCC Chat)
** 2003-05-27-19:56:37: XDCC [01:tiguypala]: Transfer Completed (16 kbytes, 0 min 2 sec, 8.0 kbytes/sec)
** 2003-05-27-19:56:43: ADMIN SEND Requested (DCC Chat)
** 2003-05-27-19:56:44: ADMIN DCLD Requested (DCC Chat)
** 2003-05-27-19:56:45: XDCC [00:tiguypala]: Connection established (66.36.140.173:4797 -> 132.248.X.X:2320)
** 2003-05-27-19:56:49: ADMIN DCLD Requested (DCC Chat)
** 2003-05-27-19:57:32: ADMIN SEND Requested (DCC Chat)
** 2003-05-27-19:57:33: XDCC [01:{morpheus]: Connection established (24.122.2.164:2194 -> 132.248.X.X:1981)
** 2003-05-27-19:57:33: ADMIN DCLD Requested (DCC Chat)
...
Serv-U FTP Server
-----------------
Serv-u es un servidor de FTP con características completas
que se ejecuta en sistemas Windows para la compartición de
archivos en Internet.
Este servidor FTP fue encontrado en los sistemas como
/*svchost.exe*/. El puerto que abre dicho servidor FTP es
el 1337/TCP:
...
868 svchost -> 1337 TCP c:\winnt\system32\Com\C0M1\LIB\svchost.exe
...
Al realizar una conexión telnet o ftp a un sistema con
este servicio en ejecución, podría observarse lo siguiente:
...
ftp> open 132.248.X.X 1337
Connected to 132.248.X.X.
220-Serv-U FTP Server v3.1 for WinSock ready...
220-::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
:::::::::
220-::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
:::::::
...
2. Compromiso mediante Ataques de Fuerza Bruta
Otra forma de explotación de sistemas Windows reportada en las
últimas semanas en diversos equipos dentro de redes MX, es a través
de la explotación de passwords y nombres de usuarios débiles o nulos
utilizando mecanismos de fuerza bruta.
Utilizando mecanismos automáticos para acceder a tráves de fuerza
bruta, y a su vez teniendo acceso al sistema, éste puede recibir
instrucciones para ser controlado de forma remota y de esta forma
lanzar ataques contra otras redes y sistemas mediante una serie de
herramientas y troyanos que a continuacion se describen:
Dameware
--------
Dameware NT Utilities es una aplicación de administración de
sistemas empresarial para Windows NT/2000/XP, que proporciona
una colección integrada de utilerias de administración remota
para dichos sistemas.
Los siguientes archivos corresponden al servicio *Dameware Mini
Remote Control* que es ejecutado en los sistemas comprometidos y
que permite la administración remota del sistema. Estos archivos
fueron encontrados en el directorio /C:\Winnt\System32\/:
...
Directorio de C:\WINNT\system32
11/26/2002 03:56p 53,248 DWRCK.DLL
12/16/2002 09:53a 233,472 DWRCS.EXE
03/26/2003 10:46a 2,277 DWRCS.INI
11/26/2002 03:56p 110,592 DWRCSET.DLL
11/26/2002 04:29p 65,536 DWRCShell.dll
...
El servicio de *Dameware Mini Remote Control (DWRCS.EXE)* se
ejecuta en el puerto 6129 en espera de un inicio de sesión remoto.
...
492 DWRCS -> 6129 TCP C:\WINNT\SYSTEM32\DWRCS.EXE
...
Rootkit STDE9.exe
------------------
Este archivo esta presente en el directorio /C:\Winnt\System32/
y descomprime los siguientes archivos en el directorio
C:\Winnt\Web\printers\images\.
Directorio de C:\Winnt\Web\printers\images\
08/25/2002 09:22p 39,424 bootdrv.dll
01/05/2003 10:06p 24 boywonder.dat
11/16/2002 11:10p 59 explore.DAT
03/04/2003 02:47p 20,257 explore.EXE
11/28/2002 07:21p 562,688 explorer.exe
03/31/2003 06:15p 29,696 hidden32.exe
05/18/2003 11:50p 26,310 iiscache.dll
05/02/2002 12:32a 25,600 Libparse.exe
06/10/2002 08:41a 106,496 moo.dll
01/05/2003 06:46p 133,113 navdb.dbx
07/10/2002 05:15p 37,376 psexec.exe
06/19/2003 05:58p 5,320 rcfg.ini
11/14/2002 12:06a 320 rconnect.conf
07/31/2002 09:08p 18,944 rconnect.exe
04/06/2003 09:07p 127 regkeyadd.bat
04/06/2003 09:06p 642 regkeyadd.reg
03/04/2003 02:43p 444 SECURE.BAT
05/11/2003 10:50p 377 server.txt
05/18/2003 05:29p 109 start.bat
10/04/2002 01:44p 63,140 str.vxd
11/28/2002 07:19p 19,968 svchost.exe
05/17/2003 01:53a 3,035 v32driver.bat
11/22/2002 12:48a 2,390 web.swf
07/02/1999 03:36a 162,816 wget.exe
05/05/2002 04:17a 6,656 win32.exe
01/05/2003 06:35p 11 win32.vxd
Este archivo es un troyano que contiene una puerta trasera con
múltiples componentes:
* navdb.dbx: Archivo de texto no malicioso que contiene
una lista de palabras que serán utilizadas por las
aplicaciones mIRC modificadas como nicks IRC.
* boywonder.dat: Archivo de texto no malicioso.
* explore.DAT: Archivo de texto no malicioso.
* explore.EXE: Archivo que carga el componente,
explorer.exe, cuando es ejecutado (detectado como
TROJ_GLITCH.B por Trend Micro).
* explorer.exe: Este archivo es una aplicación mIRC
modificada que actúa como parte del servidor de todo el
paquete de puerta trasera (detectado como BKDR_IRCFLOOD.BI
por Tren Micro).
* hidden32.exe: Permite iniciar cualquier programa sin que
aparezca su ventana principal, permitiendo su ejecución en
segundo plano.
* iiscache.dll: Script IRC que es utilizado por el
servidor de puerta trasera. (detectado como IRC_ZCREW.A
por Trend Micro).
* Libparse.exe: Utilidad no maliciosa que permite al
usuario mostrar y terminar los procesos en ejecución.
* moo.dll: .DLL utilizado por la puerta trasera.
* bootdrv.dll: Una utilidad mIRC no maliciosa que muestra
información del sistema.
* psexec.exe: Utilidad no maliciosa para sistemas Windows
NT y 2000 que permite al usuario ejecutar procesos en
sistemas remotos sin haber instalado un componente para el
cliente. Sin embargo, para ser capaz de ejecutar procesos,
se deben suministrar credenciales de inicio de sesión.
* rcfg.ini: Archivo script IRC utilizado por la puerta
trasera.
* rconnect.conf: Script de inicio de sesión utilizado con
"rconnect.exe".
* rconnect.exe: Utilidad no maliciosa que es una
implementación completa de servidor FTP.
* regkeyadd.bat: Archivo que ejecuta a "regkeyadd.REG" y
establece atributos de ocultos a los archivos en
C:\winnt\web\printers\images\
* regkeyadd.reg: Agrega el valor "print sharing" al
registro para que se ejecute el archivo "start.bat" cada
vez que se inicie el sistema.
* SECURE.BAT: Archivo batch que remueve todos los recursos
compartidos de red predeterminados, y detiene los
servicios de sistema como lo son Remote Access Connection
Manager, telnet, messenger, y netbios.
* server.txt: Archivo de registro no malicioso.
* start.bat: Archivo batch que utiliza "hidden32.exe" para
ocultar la ejecución de "secure.bat", "explorer.exe" y
"regkeyadd.bat"
* str.vxd: Archivo de texto no malicioso.
* svchost.exe: Utilidad no maliciosa utilizada para
ocultar la ventana de un programa.
* v32driver.bat: Archivo batch que intenta iniciar un
sesión en otros sistemas dentro de la red de área local
con el nombre de usuario "Administrator" utilizando una
lista de passwords. Si el inicio de sesión es
satisfactorio, se copia y se ejecuta el Troyano en el
sistema remoto comprometido (detectado como BAT_ZCREW.A
por Trend Micro).
* web.swf: Script IRC utilizado por la puerta trasera
(detectado como IRC_ZCREW.A por Trend Micro).
* wget.exe: Utilidad no maliciosa utilizada para descargar
archivos desde la WWW.
* win32.exe: Programa de puerta trasera que permite que en
un intruso remoto cargue y ejecute archivos en un sistema
comprometido (detectado como BKDR_SHIZNAT.A por Trend Mcro).
* win32.vxd: Archivo de texto no malicioso conteniendo la
cadena "explore.EXE".
Estos archivos son conocidos en conjunto como el troyano
Zcrew, el cual se propaga a través del Internet,
comprometiendo sistemas basados en NT con combinaciones de
password y nombres de usuario débiles.
El troyano agrega valor:
/"EXPLORE"="C:\%System%\EXPLORE.exe"/
a la clave de Registro:
/HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/
para que el gusano se ejecute automáticamente cuando se inicie
Windows.
También modifica las entradas predeterminadas en las siguientes
claves del Registro para que otro archivo EXPLORER.EXE se
ejecute cuando un archivo .CHA o .CHAT sea ejecutado en el
sistema comprometido:
/HKEY_LOCAL_MACHINE\ChatFile\Shell\open\command/
/HKEY_LOCAL_MACHINE\irc\Shell\open\command/
/HKEY_LOCAL_MACHINE\APD\Shell\open\command/
Rootkit windows.exe
-------------------
Este archivo fue encontrado en el directorio /C:\Winnt\System32/
y descomprime los siguientes archivos en el directorio donde se
encuentre ubicado.
Al ejecutar el archivo se crean los siguientes archivos:
* ipcpass.dic: Archivo de texto que contiene una lista de
posibles passwords utilizados en un ataque de fuerza bruta.
* IpcScan.txt: Contiene una lista de direcciones IP que
han sido escaneadas.
* release.exe: Archivo troyano que se copia en
C:\winnnt\system32 como "svhost.exe" y crea un proceso en
memoria con el mismo nombre, además abre una puerta
trasera en el puerto 113/TCP. El troyano crea una entrada
en el registro
(/HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/y
/HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices/)
denominada "Configuration Loader" con el valor de
"svhost.exe".
* rscan.exe: Escaner de cuentas NT de línea de comando
(IPScan).
* msnp.exe: Archivo troyano que se copia en
C:\winnnt\system32 como "msnp.exe" y crea un proceso en
memoria con el mismo nombre, además abre una puerta
trasera en los puertos 113/TCP y 2138/TCP. El troyano crea
una entrada en el registro
(/HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/
y
/HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices/)
denominada "Configuration Loader" con el valor de "msnp.exe".
* afdx.exe: Similar al archivo "msnp.exe".
* PSEXEC.EXE: Utilidad no maliciosa para sistemas Windows
NT y 2000 que permite al usuario ejecutar procesos en
sistemas remotos sin haber instalado un componente para el
cliente. Sin embargo, para ser capaz de ejecutar procesos,
se deben suministrar credenciales de inicio de sesión.
RECOMENDACIONES
---------------
El UNAM-CERT recomienda a todo usuario de cómputo llevar a cabo los
siguientes pasos para verificar que los sistemas Windows no estén
comprometidos:
* Monitorear la existencia de puertos abiertos en el sistema y
compararlos con los mencionados en este análisis. Algunas de
las herramientas que pueden emplearse son las siguientes:
o netstat (incluida en el sistema operativo Windows).
o fport (www.foundstone.com).
o aports (http://www.ntutility.com).
* Ejecutar y administrar de forma periódica algún software
antivirus.
* Verificar y aplicar las Actualizaciones de Seguridad de
Microsoft.
* HotFix & Security Bulletin Service
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp
Algunas de las herramientas utilizadas para la verificación de
actualizaciones son:
o Microsoft Baseline Security Analyzer 1.1
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/Tools/MBSAhome.asp
o HfnetchkLT
http://www.shavlik.com/ <http://www.shavlik.com/
o Windows Update
http://v4.windowsupdate.microsoft.com/en/default.asp
* Implementar un Firewall de Perímetro de Red o un Firewall
Personal. Entre los denominados Personal Firewalls, se
encuentran:
o Norton Personal Firewall 2003 (Symantec)
http://www.symantec.com/sabu/nis/npf/
o ZoneAlarm (ZoneLabs)
http://www.zonelabs.com/store/content/home.jsp
o Sygate Personal Firewall PRO (Sygate)
http://smb.sygate.com/support/documents/pspf/default.htm
o McAffe Personal Firewall (McAffe)
http://www.mcafee.com/myapps/firewall/default.asp
o Tiny Personal Firewall (ViruScan Software)
http://www.virus-scan-software.com/index.shtml
APÉNDICE A. Información Adicional
---------------------------------
# Gusano W32.Randex.C
<http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.c.html>
# Backdoor.Trojan
<http://securityresponse.symantec.com/avcenter/venc/data/backdoor.trojan.html>
# Troyano Zcrew
<http://www.sophos.com/virusinfo/analyses/trojzcrew.html>
# FireDamon <http://www.firedaemon.com >
# Iroffer <http://iroffer.org/>
# Serv-U FTP Server <http://www.ftpserv-u.com/>
# Dameware <http://www.dameware.com/>
A continuación se muestran algunos distribuidores antivirus:
# http://www.pandasoftware.es
# http://www.bitdefender-es.com
# http://www.trendmicro.com <http://www.trendmicro.com/>
# http://esp.sophos.com
# http://www.ravantivirus.com
# http://securityresponse.symantec.com
# http://www.viruslist.com
APÉNDICE B. Reportar Información
--------------------------------
El UNAM-CERT ha puesto todo el esfuerzo posible para asegurar que la
información contenida en este documento sea confiable al momento de
su publicación. Sin embargo, la decisión de utilizar la información
descrita es responsabilidad de cada usuario u organización. La
adecuación de este documento para una organización o sistema
individual debería ser considerada antes de su aplicación en
conjunto con las políticas y procedimientos locales. La aplicación
de las recomendaciones mencionadas en éste documento son
responsabilidad absoluta del administrador del sistema.
Si algún administrador o usuario de red detecta que su sistema ha
sido comprometido, puede contactar al UNAM-CERT en la siguiente
cuenta de correo electrónico:
escaneos en seguridad unam mx
------------------------------------------------------------------------
El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el
apoyo en la elaboración, revisión y análisis de esta Nota de
Seguridad a:
* Jesús Ramón Jiménez Rojas (jrojas en seguridad unam mx)
* Nancy Fabiola García Fones (ngarcia en seguridad unam mx)
------------------------------------------------------------------------
INFORMACIÓN
-----------
Este documento se encuentra disponible en su formato original en la
siguiente direccion:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx
Para mayor informacion acerca de esta nota de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBPvTYE3AvLUtwgRsVAQEnZgf+K8Wmo5gsFNxkrUHR5Dz+MH10L+KVkTcl
/evtMDY7/EtiBgqPesrw2Sw5PcYj+zbewJ3o6MIKjlZCXyminZ2b7x7umJo9qi4C
Q78Kw9lL6UkWlKsS/JAQ3/IK/kWn6kd3kAnw5IHp+tBZ0WSUs9ABo5z7EkHTluNH
rIFUtAX4Vx6dIqltygeJD7yqACI0BwMgKl3n/hAsWmblYJqNV0sKLmqnDTxJrDcj
qnSjNqB7bVYUrByAQJypyd9MUU1/SPHoo2PUt4D8SaAJSAtGbxUu9Xfe7y3bKXV7
9/EDMuaduMPc7Z2hlsdRMbJnAHJRDmnA5E6jOsvIyK6gOzEj6fuoNA==
=kkAY
-----END PGP SIGNATURE-----
_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/