[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
En las últimas horas se han reportado diversos indicios de la
existencia de un nuevo gusano de correo electrónico denominado
W32.Sircam.Worm@mm que afecta a los sistemas del dominio .mx y de
la red mundial.
Ante esto el Equipo de Respuesta a Incidentes UNAM-CERT recomienda
llevar a cabo las siguientes acciones para poder minimizar el daño
al cual puede estar expuesto nuestros equipos al ser restreados y
escaneados por diversos sitios y reportarlos.
DESCRIPCION
- ------------
Este gusano llega en un mensaje de correo electrónico con el
siguiente contenido:
Tema: El tema del correo electrónico es aleatorio, y será el mismo
que el del nombre del archivo adjunto en correo.
Mensaje: El cuerpo del mensaje es semi-aleatorio, pero siempre
contendrá una de las siguientes dos líneas (En Inglés o en
Español) como la primera y última sentencia del mensaje.
Versión Español:
First line: Hola como estas ?
Last line: Nos vemos pronto, gracias.
Versión Inglés:
First line: Hi! How are you?
Last line: See you later. Thanks
Entre estas dos sentencias algunos de los siguientes textos
podrían aparecer:
Versión Español:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaci=n que me pediste
Versión Inglés:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
Los nombres de archivo bajo los cuales esta amenaza se ha
presentado son:
* SirC32.exe
* Tech Specs y Financials.doc.com
Cuando es ejecutado, este gusano realiza las siguientes acciones:
1. Crea una copia de sí mismo como %TEMP%\< File name > y
C:\Recycled\< file name > , la cual contiene el documento
adjunto. Este documento es entonces lanzado utilizando el
programa registrado para manejar el tipo de archivo
específico (por ejemplo, si es es guardado con la extensión
.doc, éste se ejecutara utilzando Microsoft Word ó Wordpad.
Una archivo con la extensión .xls se abrirá con Excel, y con
la extensión .zip se abrirá con un programa de compresión,
tal como Winzip).
NOTA: El termino %TEMP% es la variable Temp, y significa que
el gusano se guardara por sí mismo en el directorio Temp de
Windows, independientemente de donde se encuentre. El
directorio por default es C:\Windows\Temp.
2. Se copia asímismo en C:\Recycled\Sirc32.exe y
%System%\Scam32.exe.
NOTA: El termino %TEMP% es también una variable. El gusano
localizará el directorio \System (por default este se
encuetra en C:\Windows\System) y se copia asimismo en este
lugar.
3. Agrega el valor
Driver32=%System%\scam32.exe
a la clave de registro.
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\RunServices
4. Crea la clave de registro
HKEY_LOCAL_MACHINE\Software\SirCam
con los siguientes valores:
FB1B - Almacena el nombre de archivo del gusano como fue
almacenado en directorio Recycled.
FB1BA - Almacena la dirección IP del SMTP.
FB1BB - Almancena la dirección de correo electrónico del
remitente.
FC0 - Almacena el número de veces que el gusano se ha
ejecutado.
FC1 - Almacena lo que parece ser el número de versión del
gusano.
FD1 - Alamacena el nombre del archivo del gusano que ha sido
ejecutado, si el sufijo.
5. El valor (por Default) del la clave de registro.
HKEY_CLASSES_ROOT\exefile\shell\open\command
es establecido a:
C:\recycled\sirc32.exe "%1" %*"
Esto habilita el gusano para que se puede ejecutar por sí
mismo cada vez que se ejecute una archivo .exe.
6. El gusano detecta la red, y enumerá los recursos de la red
para infectar parte de los sistemas. Si alguno de ellos es
encontrado, el gusano hará lo siguiente:
o Intenta copiarse el mismo en: < Computer
>\Recycled\Sirc32.exe
o Agrega la línea "@win \recycled\sirc32.exe" al archivo <
Computer >\Autoexec.bat.
o Copia < Computer >\Windows\Rundll32.exe a < Computer
>\Windows\Run32.exe.
o Reemplaza < Computer >\Windows\rundll32.exe con
C:\Recycled\Sirc32.exe.
7. Existe una de 33 oportunidades de que las siguientes acciones
ocurran:
o El gusano se copie el mismo de C:\Recycled\Sirc32.exe a
%Windows%\Scmx32.exe.
o El gusano se copie el mismo como "Microsoft Internet
Office.exe" al directorio referenciado por la clave de
registro.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders\Startup
8. Si éta primera carga útil se activa, el archivo
C:\recycled\Sircam.sys es creado y llenado con el texto hasta
que no quede espacio libre en el disco. El texto es uno de
las siguientes cadenas:
[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
ó
[SirCam Version 1.0 Copyright ¬ 2000 2rP Made in / Hecho en -
Cuitzeo, Michoacan México]
9. Existe una de 20 oportunidades de que el 16 de Octubre de
cualquier año, el gusano borre recursivamente todas las
carpetas y archivos de la unidad C.
Esta carga útil funciona solamente en sistemas que utilizan
el formato D/M/Y (a diferencia de M/D/Y o formatos
similares).
10. El gusano contiene su propio servidor SMTP el cual es
utilizado para rutinas de correo electrónico. Éste obtiene
direcciones de correo a través de dos métodos diferentes:
o Busca el directorio que está referenciado por la clave
de registro.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders\Startup\Cache
para los archivos sho*., get*., hot*., *.htm, y copias
de direcciones de correo dentro del archivo
%Windows%\sc??.dll (donde ? es una letra y número
aleatorio).
o Busca en la unidad completa archivos *.wab (Todas las
Address Books de Windows) y copia las direcciones ahí.
11. Busca los directorios referenciados por las claves de
registro: HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders\Startup\Personal
y
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders\Startup\Desktop
para los archivos de tipo .doc, .xls, .zip, y .exe. Si
encuentra alguno de ellos, el archivo correspondiente será
añadido al gusano original ejecutable y este nuevo archivo
será enviado como el archivo adjunto del correo.
12. Después de 8000 ejecuciones, el gusano se detendrá.
SOLUCIONES
- ---------
El UNAM-CERT y el Departamento de Seguridad en Cómputo de la UNAM
recomiendan a todos los Administradores, responsables de las
Redes, equipos y de la Seguridad de los sistemas seguir las
siguientes instrucciones para remover el gusano
W32.Sircam.Worm@mm.
Para remover éste gusano, de debe hacer lo siguiente:
* Borre todos los archivos detectados como W32.Sircam.Worm@mm.
* Vacíe la Papelera de Reciclaje para borrar el archivo
Sircam.sys (si existe).
* Remueva la entrada que este hace al archivo Autoexec.bat.
* Revierta el cambio que hizo el gusano a la clave de registro
HKEY_CLASSES_ROOT\exefile\shell\open\command.
El Departamento de Seguridad en Cómputo propone aplicar el
siguiente filtro para correo electrónico para procmail:
# Filtro para el gusano W32Sircam
# Departamento de Seguridad en Computo, DGSCA,UNAM.
# UNAM-CERT.
#
# Desarrolló: Rubén Aquino Luna
#
# Se filtran lo correos que en el encabezado contengan la cadena
"32"
# y en el cuerpo del mensaje contengan alguno de los siguientes
mensajes:
#
# Hola como estas ?
# Nos vemos pronto, gracias.
# Hi! How are you?
# Lo que hace es enviar a una cuenta el correo y hacer una copia
del mismo
# en el archivo /etc/w32sircam
:0 H B
* ^Subject:.*32
* Hola como estas
{
:0 c
! seguridad en seguridad unam mx
:0
/etc/w32sircam
}
:0 H B
* ^Subject:.*32
* Nos vemos pronto, gracias.
{
:0 c
! seguridad en seguridad unam mx
:0
/etc/w32sircam
}
:0 H B
* ^Subject:.*32
* Hi! How are you
{
:0 c
! seguridad en seguridad unam mx
:0
/etc/w32sircam
}
---------------------------------------------------------------------
Lista de soporte de LinuxPPP
Reglas de la lista en http://linuxppp.com/reglas.html