[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- -------------------------------------------------------------------- UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM Nota de Seguridad UNAM-CERT 2004-007 Propagacion de Gusano SASSER ---------------------------------------------------------------------- En las ultimas Horas UNAM-CERT ha recibido información a través de diversos foros y listas de discusión de los principales Equipos de Respuesta a incidentes del Mundo acerca de la propagación de un nuevo gusano que intenta explotar las vulnerabilidades descritas en el Boletín de Seguridad de Microsoft MS04-011: *Actualización de Seguridad para Microsoft Windows (835732)* http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx El gusano trata de propagarse escaneando direcciones IP escogidas de forma aleatoria en lo sistemas vulnerables. Fecha de Liberación: 1 de Mayo de 2004 Ultima Revisión: --- Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes, así como Foros y Listas de Discusión. Sistemas Afectados ================== * Windows 2000 * Windows XP * Windows 2003 Descripción ============ De acuerdo con los últimos reportes de diversos Equipos de Respuesta a Incidentes de Cómputo, el gusano Sasser podría ser comparado con el gusano Blaster o Lovsan aparecido en Agosto del año pasado. El gusano Sasser al igual que el gusano Blaster es un gusano de red que se propaga de forma automática afectando sistemas Windows 2000, XP y 2003, escaneando direcciones IP aleatorias y utilizando un FTP para transferir el archivo del gusano al servidor infectado. De forma similar, Sasser causa que las máquinas no actualizadas se reinicien, apareciendo una pantalla similar a la que aparecía con el gusano Blaster, solo que ahora hace referencia al archivo de sistema /C:\WINNT\system32\lsass.exe/. Detalles Técnicos ================= 1. Intenta crear un mutex llamado /Jobaka3l/ y termina si el intento falla. Esto asegura que exista más de una instancia del gusano en ejecución en la computadora. 2. Se copia a sí mismo como %Windir%\avserve.exe. La variable %Windir% se refiere al directorio de instalación predeterminado C:\Windows (Windows XP/2003) o C:\Winnt (Windows 2000). 3. Agrega el valor: "avserve.exe"="%Windir%\avserve.exe" a la clave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run para que el gusano se ejecute cuando inicie Windows. 4. Utiliza el API /AbortSystemShutdown/ para intentar apagar o reiniciar los sistemas infectados. 5. Inicia un servidor FTP en el puerto 5554. Este servidor es utilizado para propagar el gusano a los servidores. 6. Intenta conectarse de forma aleatoria a direcciones IP a través del puerto TCP 445. Cuando una conexión es realizada a un equipo de cómputo, el gusano envía el código de explotación para que la computadora víctima pueda ejecutar un shell de forma remoto a través del puerto TCP 9996. Enseguida el gusano usa la conexión a través del shell en la computadora víctima para conectarse de a través del protocolo FTP estableciendo una conexión a un servidor FTP mediante del puerto 5554 y así obtener la copia del gusano. Esta copia tendrá un nombre que consiste de 4 o 5 dígitos seguido de la leyenda by_up.exe(por ejemplo: 74353_up.exe). Las direcciones IP generadas por el gusano son distribuidas de la siguiente forma: * El 50% son completamente aleatorias. * El 25% tienen el primer octeto igual a la dirección IP del servidor infectado. * El 25% tienen el primero y segundo octeto igual a la dirección IP del servidor infectado. El gusano inicia 128 subprocesos que escanean direcciones escogidas de forma aleatoria. Esto consume una gran cantidad de CPU y como resultado una computadora infectada podría disminuir su desempeño considerablemente. Solución ========= * Aplicar una Actualización del Distribuidor Se recomienda instalar la actualización de seguridad que soluciona la vulnerabilidad que explota este gusano. *Microsoft Security Bulletin MS04-011 Security Update for Microsoft Windows (835732)* http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx <http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx> *Departamento de Seguridad en Cómputo/UNAM-CERT Actualización de Seguridad para Microsoft Windows (835732) * http://www.seguridad.unam.mx/vulnerabilidades/vulnerabilidad.microsoft11-20040413.html <http://www.seguridad.unam.mx/vulnerabilidades/vulnerabilidad.microsoft11-20040413.html> * Ejecutar, administrar y actualizar un software antivirus Aunque un paquete de software antivirus actualizado no puede brindar protección contra todos los códigos maliciosos, para la mayoría de los usuarios representa la primera línea de defensa contra ataques de código malicioso. La mayoría de los distribuidores antivirus liberan frecuentemente información actualizada, herramientas, o bases de datos de virus para ayudar a detectar y recuperar un sistema que ha sido infectado mediante un código malicioso, incluyendo Sasser. De esta forma, es importante que los usuarios mantengan su software antivirus actualizado. * Utilizar un Firewall Personal El primer paso que se debe tomar para proteger su computadora de posibles infecciones es tener instalado y activado un firewall. Si su computadora ya ha sido infectada, el activar o instalar un firewall ayudará a limitar los efectos del gusano en su computadora. Si su computadora se reinicia constantemente, desconécte la computadora del Internet antes de activar o instalar un firewall. Los sistemas operativos *Windows XP* y *Windows 2003* ya cuentan con un Firewall incorporado (Internet Connection Firewall) y puede ser habilitado de forma sencilla. Muchos firewall personales están disponibles en versiones gratuitas o de prueba. Algunos distribuidores de firewalls personales son los siguientes: o ZoneAlarm Pro (Zone Labs) <http://www.zonelabs.com/store/content/catalog/products/zap/zap_details.jsp> o Norton Personal Firewall (Symantec) <http://www.symantec.com/sabu/nis/npf/> o McAffe Personal Firewall (McAffe) <http://us.mcafee.com/root/package.asp?pkgid=103&cid=8391> o Tiny Personal Firewall (Tiny Software) <http://www.tinysoftware.com/home/tiny2?la=EN> o Outpost Firewall (Agnitum) <http://www.agnitum.com/download/outpostfree.html> o Kerio Personal Firewall (Kerio Technologies) <http://www.kerio.com/us/kpf_download.html> o BlackICE PC Protection (Internet Security Systems) <http://blackice.iss.net/product_pc_protection.php> * Eliminación Manual o Finalizar el proceso malicioso. Para finalizar el proceso: 1. Presione Ctrl+Alt+Delete una sola vez. 2. De clic en el Administrador de Tareas. 3. De clic en la pestaña Procesos. 4. De doble clic en la columna Nombre de Imagen para ordenar alfabéticamente los procesos. 5. Localice en la lista los siguientes procesos: + avserve.exe + cualquier proceso con un nombre consistente de 4 o 5 dígitos seguidos por _up.exe. 6. Si se encuentran dichos procesos, de clic en ellos, y después en Terminar Proceso. 7. Salga del Administrador de Tareas. o Deshabilitar System Restore (Windows XP). + Windows XP 1. Haga clic en Inicio. 2. Haga clic con el botón secundario en el icono Mi PC y, a continuación, haga clic en Propiedades. 3. Haga clic en la pestaña Restaurar sistema. 4. Marque la casílla Desactivar Restaurar sistema o la casílla Desactivar Restaurar sistema en todas las unidades. 5. Haga clic en Aplicar y a continuación, en Aceptar. 6. Como verá en el mensaje, esta acción eliminará todos los puntos de restauración existentes. Haga clic en Sí para llevar a cabo esta acción. 7. Haga clic en Aceptar y reinice el sistema. o Actualizar las definiciones de Antivirus. Independientemente del software antivirus que este utilizando, actualice su base de datos de firmas antivirus para poder eliminar el gusano Sasser. o Escanee su sistema y elimine los archivos infectados. Ejecute su software antivirus actualizado en su sistema con el propósito de buscar los archivos correspondientes al gusano Sasser. o Eliminar los valores que fueron agregados al registro y reiniciar el equipo. 1. Dar clic en Inicio y después en Ejecuta. 2. Escribir regedit y presionar Aceptar. 3. Buscar la siguiente llave: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 4. En el panel de la derecha eliminar el siguiente valor: "avserve.exe"="%Windir%\avserve.exe" 5. Salir del editor del registro. 6. Reiniciar el equipo. Apéndice A. Referencias ======================= * F-Secure - http://www.f-secure.com/weblog/ * Sophos - http://www.sophos.com/virusinfo/analyses/w32sassera.html * Symantec Corp. - http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html * Trend Micro - http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A * Panda Software - http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46865&sind=0 * McAffe - http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=125007 * Computer Associates - http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012 ------------------------------------------------------------------------ El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el apoyo en la elaboración y revisión de éste Nota de Seguridad a: * Juan Carlos Guel López (cguel en seguridad unam mx) * Jesus Ramón Jiménez Rojas(jrojas en seguridad unam mx) ------------------------------------------------------------------------ Información =========== Éste documento se encuentra disponible en: http://www.seguridad.unam.mx http://www.unam-cert.unam.mx/Notas/Notas2004/nota-UNAM-CERT-2004-007.html Para mayor información acerca de éste boletín de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : unam-cert en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBQJQwVnAvLUtwgRsVAQFDdQf/WKlW4S0rfxVGZjgFPoPGLvy20FwVi8PH oE/DQs2PqEFYBTlBlmsZOrBrthg1TIk2kudx3WQnqriVVg7QCXG/cTIV+6iDqP3W jBQjFJGN/G6/wLDq6R6gtheMKXhZkzGr+4JwARsfBdZDZzNEei+HDDLFf+fAIVaS fLv0heAVGMcD9KFvSQiOIi7oNdp7y8RqWUP38OS9HZdAuTH57aoP79bMoZoNQTb5 9OzTOX4IwXsci05HosQXHvRomOlvReejRJtbvxoJ+Le3swPtwaer3NkcR04LsRDM XTzMu1cElmSYrhCCFIdYzDT8BQ77pAI5h9M9tq4cmQgWhBPv8MIH7w== =4JPG -----END PGP SIGNATURE-----