[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Nota de Seguridad UNAM-CERT 2004-02
Propagacion del Virus Virus W32.Beagle.K
----------------------------------------------------------------------
En las ultimas horas el Departamento de Seguridad en Computo y el
UNAM-CERT han recibido reportes de diversos dominios, usuarios y
foros de discusión acerca de correos que se distribuyen de forma
masÃva en los segmentos pertenecientes a redes .mx en los cuales se
invita a los usuarios desde una cuenta falsa a renovar las
suscripción de correo de sitios considerados validos y aparentemente
firmados por el equipo de la organización.
En los análisis de dichos correos y de acuerdo a firmas de compañÃas
de antivirus este correo es catalogado de acuerdo a sus
funcionalidades como gusano (por la forma de propagarse), asà como
Backdoor (puerta Trasera, por lo que instala al ejecutarse).
Recomendamos a los usuarios tomar las medidas de precaución al abrir
mensajes de correo que cumplan con las caracterÃsticas señaladas en
esta nota de seguridad, asà como las formas de erradicar dicho
problema.
Fecha de Liberación: 3 de Marzo de 2004
Ultima Revisión: ---
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes, asà como Foros y
Listas de Discusión.
SISTEMAS AFECTADOS
==================
* Windows 2000
* Windows 95
* Windows 98
* Windows Me
* Windows NT
* Windows Server 2003
* Windows XP
I. DESCRIPCIÃ?N
===============
Beagle.K utiliza su propio motor SMTP para enviarse por sà mismo a
todas las direcciones de correo encontradas en el sistema.
El gusano contiene su propia rutina de codificación MIME y elaborará
el correo electrónico en memoria.
Un correo con el virus *W32.Beagle.K* tendrá la siguiente apariencia:
Date: Wed, 03 Mar 2004 11:11:30 -0500
To: unam-cert en seguridad unam mx
Subject: Email account utilization warning.
From: administration en unam mx
X-RAVMilter-Version: 8.3.3(snapshot 20020312) (ds5000.seguridad.unam.mx)
X-Spam-Checker-Version: SpamAssassin 2.60 (1.212-2003-09-23-exp) on
ds5000.seguridad.unam.mx
X-Spam-Status: No, hits=2.2 required=6.0 tests=DATE_IN_FUTURE_06_12,
NO_REAL_NAME autolearn=no version=2.60
X-Spam-Level: **
Dear user, the management of Unam.mx mailing system wants to let you
now that,
We warn you about some attacks on your e-mail account. Your computer may
contain viruses, in order to keep your computer and e-mail account safe,
please, follow the instructions.
Please, read the attach for further details.
In order to read the attach you have to use the following password:
07515.
Sincerely,
The Unam.mx team http://www.unam.mx
* *Campo From* - Puede ser uno de los siguientes:
o management@<dominio del destinatario>
o administration@<dominio del destinatario>
o staff@<dominio del destinatario>
o noreply@<dominio del destinatario>
o support@<dominio del destinatario>
* *Campo Subject* - Puede ser uno de los siguientes:
o E-mail account disabling warning.
o E-mail account security warning.
o Email account utilization warning.
o Important notify about your e-mail account.
o Notify about using the e-mail account.
o Notify about your e-mail account utilization.
o Warning about your e-mail account.
* *Mensaje* - Puede ser uno de los siguientes:
o Dear user of <dominio>,
o Dear user of <dominio> gateway e-mail server,
o Dear user of e-mail server "<dominio>",
o Hello user of <dominio> e-mail server,
o Dear user of "<dominio>" mailing system,
o Dear user, the management of <dominio> mailing system
wants to let you know that,
Seguido por uno de los siguiente párrafos:
o Your e-mail account has been temporary disabled because
of unauthorized access.
o Our main mailing server will be temporary unavaible for
next two days, to continue receiving mail in these days
you have to configure our free auto-forwarding service.
o Your e-mail account will be disabled because of improper
using in next three days, if you are still wishing to
use it, please, resign your account information.
o We warn you about some attacks on your e-mail account.
Your computer may contain viruses, in order to keep your
computer and e-mail account safe, please, follow the
instructions.
o Our antivirus software has detected a large ammount of
viruses outgoing from your email account, you may use
our free anti-virus tool to clean up your computer
software.
o Some of our clients complained about the spam (negative
e-mail content) outgoing from your e-mail account.
Probably, you have been infected by a proxy-relay trojan
server. In order to keep your computer safe, follow the
instructions.
Seguido por una de las siguiente lÃneas:
o For more information see the attached file.
o Further details can be obtained from attached file.
o Advanced details can be found in attached file.
o For details see the attach.
o For details see the attached file.
o For further details see the attach.
o Please, read the attach for further details.
o Pay attention on attached file.
Seguido por:
o The team
http://www. <http://www><dominio>
Seguido por una de las siguiente lÃneas:
o The Management,
o Sincerely,
o Best wishes,
o Have a good day,
o Cheers,
o Kind regards,
En el caso de que el archivo adjunto sea un archivo ZIP, el
mensaje incluirá una de las siguientes lÃneas:
o For security reasons attached file is password
protected. The password is "<caracteres de la contraseña>".
o For security purposes the attached file is password
protected. Password is "<caracteres de la contraseña>".
o Attached file protected with the password for security
reasons. Password is <caracteres de la contraseña>.
o In order to read the attach you have to use the
following password: <caracteres de la contraseña>.
Los *"caracteres de la contraseña"* es un número aleatorio de
5 dÃgitos que el gusano utiliza para cifrar el archivo .zip
adjunto.
El *"dominio"* es la parte del nombre de dominio de la
dirección de correo.
* *Archivo Adjunto* - Puede ser uno de los siguientes nombre con
extensión .zip ó .pif.
o Attach
o Information
o Readme
o Document
o Info
o TextDocument
o TextFile
o MoreInfo
o Message
El gusano no enviará mensajes a las direcciones conteniendo
cualquiera de las siguientes cadenas:
o @hotmail.com
o @msn.com
o @microsoft
o @avp.
o noreply
o local
o root@
o postmaster@
* Detalles Técnicos
1. Beagle.K se copia a sà mismo en los siguientes archivos:
* %System%\winsys.exe
* %System%\winsys.exeopen
* %System%\winsys.exeopenopen
*Nota: *%System% es una variable. El gusano localiza el
directorio de Sistema y se copia por sà mismo a esta
localidad. De forma predeterminada, esto es
C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32
(Windows NT/2000), o C:\Windows\System32 (Windows XP).
2. Agrega el valor:
"ssate.exe"="%System%\winsys.exe"
a la llave del registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
para que W32.Beagle.K se ejecute cuando inicie Windows.
3. Abre una puerta trasera en el puerto 2745 TCP.
Si un intruso envÃa un mensaje de datos formateado
especialmente al puerto, el gusano permitirá que un archivo
arbitrario sea descargado en el directorio %windir%. Este
archivo será guardado como %Windir%\iuplda<x>.exe, donde <x>
es una cadena aleatoria de caracteres.
4. EnvÃa un requerimiento HTTP GET a los siguiente sitios Web en
el puerto 80 TCP:
* postertog.de
* www.gfotxt.net
* www.maiklibis.de
El requerimieto GET envÃa el número de puerto en el cual
la computadora infectada esta en escucha, asà como la
dirección IP.
5. Intenta finalizar los siguientes procesos, los cuales son
responsables de actualizar las firmas de varios programas
antivirus:
* Atupdater.exe
* Aupdate.exe
* Autodown.exe
* Autotrace.exe
* Autoupdate.exe
* Avltmain.exe
* Avpupd.exe
* Avwupd32.exe
* Avxquar.exe
* Cfiaudit.exe
* Drwebupw.exe
* Icssuppnt.exe
* Icsupp95.exe
* Luall.exe
* Mcupdate.exe
* Nupgrade.exe
* Outpost.exe
* Update.exe
6. Escanea los archivos en las unidades locales con las
siguientes extensiones:
* .wab
* .txt
* .msg
* .htm
* .xml
* .dbx
* .mdx
* .eml
* .nch
* .mmf
* .ods
* .cfg
* .asp
* .php
* .pl
* .adb
* .tbb
* .sht
* .uin
* .cgi
y colecciona cualquier dirección de correo electrónico
que encuentra.
7. Para propagarse a través de redes de compartición de archivos,
como Kazaa e iMesh, W32.Beagle.K se copia a sà mismo a los
directorios que contienen la cadena "shar" en sus nombres. El
gusano utiliza los nombres de archivos de la siguiente lista:
* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Office XP working Crack, Keygen.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Opera 8 New!.exe
* Porno pics arhive, xxx.exe
* Porno Screensaver.scr
* Porno, sex, oral, anal cool, awesome!!.exe
* Serials.txt.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* Windows Sourcecode update.doc.exe
* XXX hardcore images.exe
III. SOLUCIÃ?N
=============
* *Ejecutar, administrar y actualizar un software antivirus*
Aunque un paquete de software antivirus actualizado no puede
brindar protección contra todos los códigos maliciosos, para
la mayorÃa de los usuarios representa la primera lÃnea de
defensa contra ataques de código malicioso.
La mayorÃa de los distribuidores antivirus liberan
frecuentemente información actualizada, herramientas, o bases
de datos de virus para ayudar a detectar y recuperar un
sistema que ha sido infectado mediante un código malicioso,
incluyendo Beagle.K. De esta forma, es importante que los
usuarios mantengan su software antivirus actualizado.
Mucho software antivirus se apoya en las actualizaciones
automáticas de las definiciones de virus. El CERT/UNAM-CERT
recomienda utilizar estas actualizaciones automáticas cuando
estén disponibles.
* *No ejecutar programas de origen desconocido*
Nunca descargue, instale o ejecute un programa a menos que
sepa que es autorizado por una persona o compañÃa en la que se
confÃa. Los usuarios de correo electrónico deben estar
concientes de archivos adjuntos inesperados, mientras que los
usuarios de Internet Relay Chat (IRC), de la mensajerÃa
instantánea (IM), y de servicios de compartición de archivos
deben ser muy cuidadosos al dar clic en vÃnculos o links
desconocidos o al ejecutar software enviado por otros usuarios
debido a que son los métodos más utilizados entre los intrusos
para intentar crear redes de agentes DDoS.
* *Eliminación Manual*
o Deshabilitar System Restore (Windows Me/XP).
+ Windows Me
1. Haga clic en Inicio, seleccione
Configuración y, a continuación, haga clic
en Panel de control.
2. Haga doble clic en Sistema. Se abrirá la
ventana de Propiedades del sistema.
*Nota:* Si no es visible el Ãcono de Sistema
haga clic en "Ver todas las opciones de
Panel de control".
3. Haga clic en la pestaña Rendimiento y haga
clic en el botón "Archivos de sistema". La
ventana de Archivos de sistema se abrirá.
4. Haga clic en Sistema de archivos y, a
continuación, haga clic en la pestaña
Solución de problemas.
5. Marque la casÃlla de la opción Deshabilitar
Restaurar sistema.
6. Haga clic en Aceptar y, por último, en
Cerrar. Haga clic en SÃ cuando se le
pregunte si desea reiniciar Windows.
+ Windows XP
1. Haga clic en Inicio.
2. Haga clic con el botón secundario en el
icono Mi PC y, a continuación, haga clic en
Propiedades.
3. Haga clic en la pestaña Restaurar sistema.
4. Marque la casÃlla Desactivar Restaurar
sistema o la casÃlla Desactivar Restaurar
sistema en todas las unidades.
5. Haga clic en Aplicar y a continuación, en
Aceptar.
6. Como verá en el mensaje, esta acción
eliminará todos los puntos de restauración
existentes. Haga clic en SÃ para llevar a
cabo esta acción.
7. Haga clic en Aceptar y reinice el sistema.
o Actualizar las definiciones de Antivirus.
Independientemente del software antivirus que este
utilizando, actualice su base de datos de firmas
antivirus para poder eliminar el virus Beagle.K.
o Eliminar los valores que fueron agregados al registro y
reiniciar el equipo.
1. Dar clic en Inicio y después en Ejecuta.
2. Escribir regedit y presionar Aceptar.
3. Buscar la siguiente llave:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. En el panel de la derecha eliminar el siguiente
valor:
"ssate.exe"="%System%\winsys.exe"
5. Salir del editor del registro.
6. Localizar y eliminar los archivos ejecutables
winsys.exe, winsys.exeopen y winsys.exeopenopen
del directorio (en el caso de que existan):
+ C:\Windows\System (Win 95/98/ME)
+ C:\Winnt\System32 (Win NT/2000)
+ C:\Windows\System32 (Win XP)
7. Reiniciar el equipo.
o Analizar el sistema mediante el software antivirus
actualizado para eliminar los archivos infectados.
APÃ?NDICE A. Referencias
=======================
* Virus y Gusanos UNAM-CERT -
http://www.unam-cert.unam.mx/gusanos/index.html
* F-Secure - http://www.f-secure.com/v-descs/bagle_k.shtml
* McAffe -
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=10107
* Panda Software -
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=45304&sind=0
* Sophos - http://www.sophos.com/virusinfo/analyses/w32baglek.html
* Symantec Corp. -
http://www.symantec.com/avcenter/venc/data/w32 beagle k en mm html
target=>
* Trend Micro -
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.K
* Enciclopedia Virus -
http://www.enciclopediavirus.com/virus/vervirus.php?id=757
* Compueter Associates -
http://www3.ca.com/virusinfo/virus.aspx?ID=38480
------------------------------------------------------------------------
El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el
apoyo en la elaboración, revisión y traducción de éste boletÃn a:
* Jesus Ramón Jiménez Rojas (jrojas en seguridad unam mx)
* Omar Landa Alfán (olanda en correo seguridad unam mx)
------------------------------------------------------------------------
INFORMACIÃ?N
===========
Ã?ste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx/Notas/Notas2004/nota-UNAM-CERT-2004-002.html
Para mayor información acerca de éste boletÃn de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQEZOu3AvLUtwgRsVAQHd0AgAp4Qu/ZDyN8CPgmbUuGLEXTJI/gfH8lok
erd3s7NS4ZqUzHEDIxBQ7a/K/pNybiqWl85XcJZ2ppMemJTPDXZ/CJ8hKS2V//Vb
aIf1AWst3ckHcNe1sn10YzWdVIQAbXp5yEsPzbk9N0jlrZJmwu/ywYPQ8O7bawZ1
Ee5xMV9SRCJSJoAiuVBbltomMd3kGYnEJnzCdw2fWywhevwxFkl6rmjZ7/lXYFOW
Z3K3h2QCGKC2h9GZLMg15QVV6y156tGXlYNxmaasp/84xGcanGY29xmUza7X9R3Q
xRx53TD4WP1ggZ4OVD9huJ0T3uOWsFAVH0bVA4RyNwjsVfjstFrYfg==
=UXGK
-----END PGP SIGNATURE-----
Lista de correo linux en opensource org mx
Preguntas linux-owner en opensource org mx
http://www.opensource.org.mx/