[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Nota de Seguridad UNAM-CERT 2004-02
Propagacion del Virus Virus W32.Beagle.K
----------------------------------------------------------------------
En las ultimas horas el Departamento de Seguridad en Computo y el
UNAM-CERT han recibido reportes de diversos dominios, usuarios y
foros de discusión acerca de correos que se distribuyen de forma
masíva en los segmentos pertenecientes a redes .mx en los cuales se
invita a los usuarios desde una cuenta falsa a renovar las
suscripción de correo de sitios considerados validos y aparentemente
firmados por el equipo de la organización.
En los análisis de dichos correos y de acuerdo a firmas de compañías
de antivirus este correo es catalogado de acuerdo a sus
funcionalidades como gusano (por la forma de propagarse), así como
Backdoor (puerta Trasera, por lo que instala al ejecutarse).
Recomendamos a los usuarios tomar las medidas de precaución al abrir
mensajes de correo que cumplan con las características señaladas en
esta nota de seguridad, así como las formas de erradicar dicho
problema.
Fecha de Liberación: 3 de Marzo de 2004
Ultima Revisión: ---
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes, así como Foros y
Listas de Discusión.
SISTEMAS AFECTADOS
==================
* Windows 2000
* Windows 95
* Windows 98
* Windows Me
* Windows NT
* Windows Server 2003
* Windows XP
I. DESCRIPCIÓN
===============
Beagle.K utiliza su propio motor SMTP para enviarse por sí mismo a
todas las direcciones de correo encontradas en el sistema.
El gusano contiene su propia rutina de codificación MIME y elaborará
el correo electrónico en memoria.
Un correo con el virus *W32.Beagle.K* tendrá la siguiente apariencia:
Date: Wed, 03 Mar 2004 11:11:30 -0500
To: unam-cert en seguridad unam mx
Subject: Email account utilization warning.
From: administration en unam mx
X-RAVMilter-Version: 8.3.3(snapshot 20020312) (ds5000.seguridad.unam.mx)
X-Spam-Checker-Version: SpamAssassin 2.60 (1.212-2003-09-23-exp) on
ds5000.seguridad.unam.mx
X-Spam-Status: No, hits=2.2 required=6.0 tests=DATE_IN_FUTURE_06_12,
NO_REAL_NAME autolearn=no version=2.60
X-Spam-Level: **
Dear user, the management of Unam.mx mailing system wants to let you
now that,
We warn you about some attacks on your e-mail account. Your computer may
contain viruses, in order to keep your computer and e-mail account safe,
please, follow the instructions.
Please, read the attach for further details.
In order to read the attach you have to use the following password:
07515.
Sincerely,
The Unam.mx team http://www.unam.mx
* *Campo From* - Puede ser uno de los siguientes:
o management@<dominio del destinatario>
o administration@<dominio del destinatario>
o staff@<dominio del destinatario>
o noreply@<dominio del destinatario>
o support@<dominio del destinatario>
* *Campo Subject* - Puede ser uno de los siguientes:
o E-mail account disabling warning.
o E-mail account security warning.
o Email account utilization warning.
o Important notify about your e-mail account.
o Notify about using the e-mail account.
o Notify about your e-mail account utilization.
o Warning about your e-mail account.
* *Mensaje* - Puede ser uno de los siguientes:
o Dear user of <dominio>,
o Dear user of <dominio> gateway e-mail server,
o Dear user of e-mail server "<dominio>",
o Hello user of <dominio> e-mail server,
o Dear user of "<dominio>" mailing system,
o Dear user, the management of <dominio> mailing system
wants to let you know that,
Seguido por uno de los siguiente párrafos:
o Your e-mail account has been temporary disabled because
of unauthorized access.
o Our main mailing server will be temporary unavaible for
next two days, to continue receiving mail in these days
you have to configure our free auto-forwarding service.
o Your e-mail account will be disabled because of improper
using in next three days, if you are still wishing to
use it, please, resign your account information.
o We warn you about some attacks on your e-mail account.
Your computer may contain viruses, in order to keep your
computer and e-mail account safe, please, follow the
instructions.
o Our antivirus software has detected a large ammount of
viruses outgoing from your email account, you may use
our free anti-virus tool to clean up your computer
software.
o Some of our clients complained about the spam (negative
e-mail content) outgoing from your e-mail account.
Probably, you have been infected by a proxy-relay trojan
server. In order to keep your computer safe, follow the
instructions.
Seguido por una de las siguiente líneas:
o For more information see the attached file.
o Further details can be obtained from attached file.
o Advanced details can be found in attached file.
o For details see the attach.
o For details see the attached file.
o For further details see the attach.
o Please, read the attach for further details.
o Pay attention on attached file.
Seguido por:
o The team
http://www. <http://www><dominio>
Seguido por una de las siguiente líneas:
o The Management,
o Sincerely,
o Best wishes,
o Have a good day,
o Cheers,
o Kind regards,
En el caso de que el archivo adjunto sea un archivo ZIP, el
mensaje incluirá una de las siguientes líneas:
o For security reasons attached file is password
protected. The password is "<caracteres de la contraseña>".
o For security purposes the attached file is password
protected. Password is "<caracteres de la contraseña>".
o Attached file protected with the password for security
reasons. Password is <caracteres de la contraseña>.
o In order to read the attach you have to use the
following password: <caracteres de la contraseña>.
Los *"caracteres de la contraseña"* es un número aleatorio de
5 dígitos que el gusano utiliza para cifrar el archivo .zip
adjunto.
El *"dominio"* es la parte del nombre de dominio de la
dirección de correo.
* *Archivo Adjunto* - Puede ser uno de los siguientes nombre con
extensión .zip ó .pif.
o Attach
o Information
o Readme
o Document
o Info
o TextDocument
o TextFile
o MoreInfo
o Message
El gusano no enviará mensajes a las direcciones conteniendo
cualquiera de las siguientes cadenas:
o @hotmail.com
o @msn.com
o @microsoft
o @avp.
o noreply
o local
o root@
o postmaster@
* Detalles Técnicos
1. Beagle.K se copia a sí mismo en los siguientes archivos:
* %System%\winsys.exe
* %System%\winsys.exeopen
* %System%\winsys.exeopenopen
*Nota: *%System% es una variable. El gusano localiza el
directorio de Sistema y se copia por sí mismo a esta
localidad. De forma predeterminada, esto es
C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32
(Windows NT/2000), o C:\Windows\System32 (Windows XP).
2. Agrega el valor:
"ssate.exe"="%System%\winsys.exe"
a la llave del registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
para que W32.Beagle.K se ejecute cuando inicie Windows.
3. Abre una puerta trasera en el puerto 2745 TCP.
Si un intruso envía un mensaje de datos formateado
especialmente al puerto, el gusano permitirá que un archivo
arbitrario sea descargado en el directorio %windir%. Este
archivo será guardado como %Windir%\iuplda<x>.exe, donde <x>
es una cadena aleatoria de caracteres.
4. Envía un requerimiento HTTP GET a los siguiente sitios Web en
el puerto 80 TCP:
* postertog.de
* www.gfotxt.net
* www.maiklibis.de
El requerimieto GET envía el número de puerto en el cual
la computadora infectada esta en escucha, así como la
dirección IP.
5. Intenta finalizar los siguientes procesos, los cuales son
responsables de actualizar las firmas de varios programas
antivirus:
* Atupdater.exe
* Aupdate.exe
* Autodown.exe
* Autotrace.exe
* Autoupdate.exe
* Avltmain.exe
* Avpupd.exe
* Avwupd32.exe
* Avxquar.exe
* Cfiaudit.exe
* Drwebupw.exe
* Icssuppnt.exe
* Icsupp95.exe
* Luall.exe
* Mcupdate.exe
* Nupgrade.exe
* Outpost.exe
* Update.exe
6. Escanea los archivos en las unidades locales con las
siguientes extensiones:
* .wab
* .txt
* .msg
* .htm
* .xml
* .dbx
* .mdx
* .eml
* .nch
* .mmf
* .ods
* .cfg
* .asp
* .php
* .pl
* .adb
* .tbb
* .sht
* .uin
* .cgi
y colecciona cualquier dirección de correo electrónico
que encuentra.
7. Para propagarse a través de redes de compartición de archivos,
como Kazaa e iMesh, W32.Beagle.K se copia a sí mismo a los
directorios que contienen la cadena "shar" en sus nombres. El
gusano utiliza los nombres de archivos de la siguiente lista:
* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Office XP working Crack, Keygen.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Opera 8 New!.exe
* Porno pics arhive, xxx.exe
* Porno Screensaver.scr
* Porno, sex, oral, anal cool, awesome!!.exe
* Serials.txt.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* Windows Sourcecode update.doc.exe
* XXX hardcore images.exe
III. SOLUCIÓN
=============
* *Ejecutar, administrar y actualizar un software antivirus*
Aunque un paquete de software antivirus actualizado no puede
brindar protección contra todos los códigos maliciosos, para
la mayoría de los usuarios representa la primera línea de
defensa contra ataques de código malicioso.
La mayoría de los distribuidores antivirus liberan
frecuentemente información actualizada, herramientas, o bases
de datos de virus para ayudar a detectar y recuperar un
sistema que ha sido infectado mediante un código malicioso,
incluyendo Beagle.K. De esta forma, es importante que los
usuarios mantengan su software antivirus actualizado.
Mucho software antivirus se apoya en las actualizaciones
automáticas de las definiciones de virus. El CERT/UNAM-CERT
recomienda utilizar estas actualizaciones automáticas cuando
estén disponibles.
* *No ejecutar programas de origen desconocido*
Nunca descargue, instale o ejecute un programa a menos que
sepa que es autorizado por una persona o compañía en la que se
confía. Los usuarios de correo electrónico deben estar
concientes de archivos adjuntos inesperados, mientras que los
usuarios de Internet Relay Chat (IRC), de la mensajería
instantánea (IM), y de servicios de compartición de archivos
deben ser muy cuidadosos al dar clic en vínculos o links
desconocidos o al ejecutar software enviado por otros usuarios
debido a que son los métodos más utilizados entre los intrusos
para intentar crear redes de agentes DDoS.
* *Eliminación Manual*
o Deshabilitar System Restore (Windows Me/XP).
+ Windows Me
1. Haga clic en Inicio, seleccione
Configuración y, a continuación, haga clic
en Panel de control.
2. Haga doble clic en Sistema. Se abrirá la
ventana de Propiedades del sistema.
*Nota:* Si no es visible el ícono de Sistema
haga clic en "Ver todas las opciones de
Panel de control".
3. Haga clic en la pestaña Rendimiento y haga
clic en el botón "Archivos de sistema". La
ventana de Archivos de sistema se abrirá.
4. Haga clic en Sistema de archivos y, a
continuación, haga clic en la pestaña
Solución de problemas.
5. Marque la casílla de la opción Deshabilitar
Restaurar sistema.
6. Haga clic en Aceptar y, por último, en
Cerrar. Haga clic en Sí cuando se le
pregunte si desea reiniciar Windows.
+ Windows XP
1. Haga clic en Inicio.
2. Haga clic con el botón secundario en el
icono Mi PC y, a continuación, haga clic en
Propiedades.
3. Haga clic en la pestaña Restaurar sistema.
4. Marque la casílla Desactivar Restaurar
sistema o la casílla Desactivar Restaurar
sistema en todas las unidades.
5. Haga clic en Aplicar y a continuación, en
Aceptar.
6. Como verá en el mensaje, esta acción
eliminará todos los puntos de restauración
existentes. Haga clic en Sí para llevar a
cabo esta acción.
7. Haga clic en Aceptar y reinice el sistema.
o Actualizar las definiciones de Antivirus.
Independientemente del software antivirus que este
utilizando, actualice su base de datos de firmas
antivirus para poder eliminar el virus Beagle.K.
o Eliminar los valores que fueron agregados al registro y
reiniciar el equipo.
1. Dar clic en Inicio y después en Ejecuta.
2. Escribir regedit y presionar Aceptar.
3. Buscar la siguiente llave:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. En el panel de la derecha eliminar el siguiente
valor:
"ssate.exe"="%System%\winsys.exe"
5. Salir del editor del registro.
6. Localizar y eliminar los archivos ejecutables
winsys.exe, winsys.exeopen y winsys.exeopenopen
del directorio (en el caso de que existan):
+ C:\Windows\System (Win 95/98/ME)
+ C:\Winnt\System32 (Win NT/2000)
+ C:\Windows\System32 (Win XP)
7. Reiniciar el equipo.
o Analizar el sistema mediante el software antivirus
actualizado para eliminar los archivos infectados.
APÉNDICE A. Referencias
=======================
* Virus y Gusanos UNAM-CERT -
http://www.unam-cert.unam.mx/gusanos/index.html
* F-Secure - http://www.f-secure.com/v-descs/bagle_k.shtml
* McAffe -
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=10107
* Panda Software -
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=45304&sind=0
* Sophos - http://www.sophos.com/virusinfo/analyses/w32baglek.html
* Symantec Corp. -
http://www.symantec.com/avcenter/venc/data/w32 beagle k en mm html
target=>
* Trend Micro -
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.K
* Enciclopedia Virus -
http://www.enciclopediavirus.com/virus/vervirus.php?id=757
* Compueter Associates -
http://www3.ca.com/virusinfo/virus.aspx?ID=38480
------------------------------------------------------------------------
El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el
apoyo en la elaboración, revisión y traducción de éste boletín a:
* Jesus Ramón Jiménez Rojas (jrojas en seguridad unam mx)
* Omar Landa Alfán (olanda en correo seguridad unam mx)
------------------------------------------------------------------------
INFORMACIÓN
===========
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx/Notas/Notas2004/nota-UNAM-CERT-2004-002.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQEZOu3AvLUtwgRsVAQHd0AgAp4Qu/ZDyN8CPgmbUuGLEXTJI/gfH8lok
erd3s7NS4ZqUzHEDIxBQ7a/K/pNybiqWl85XcJZ2ppMemJTPDXZ/CJ8hKS2V//Vb
aIf1AWst3ckHcNe1sn10YzWdVIQAbXp5yEsPzbk9N0jlrZJmwu/ywYPQ8O7bawZ1
Ee5xMV9SRCJSJoAiuVBbltomMd3kGYnEJnzCdw2fWywhevwxFkl6rmjZ7/lXYFOW
Z3K3h2QCGKC2h9GZLMg15QVV6y156tGXlYNxmaasp/84xGcanGY29xmUza7X9R3Q
xRx53TD4WP1ggZ4OVD9huJ0T3uOWsFAVH0bVA4RyNwjsVfjstFrYfg==
=UXGK
-----END PGP SIGNATURE-----
--
Lista de soporte de LinuxPPP
Dirección email: Linux en linuxppp com
Dirección web: http://mail.linuxppp.com/mailman/listinfo/linux
Reglas de la lista: http://linuxppp.net/reglas.html