[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor] ------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Nota de Seguridad UNAM-CERT 2003-002
Incremento de Actividad de Gusano Fizzer
------------------------------------------------------------------------
En las ultimas horas UNAM-CERT (Equipo de respuesta a Incidentes de
Seguridad en Cómputo UNAM) ha detectado un incremento de actividad a
través de un gusano conocido como *Fizzer*, el cual propaga código
malicioso por correo electrónico a través de las redes .unam.mx y .mx.
SISTEMAS AFECTADOS
------------------
* Microsoft Windows 95
* Microsoft Windows 98
* Microsoft Windows Me
* Microsoft Windows NT
* Microsoft Windows 2000
* Microsoft Windows XP
DESCRIPCIÓN
-----------
Fizzer es un gusano que se propaga vía correo electrónico y a
través del protocolo Peer to Peer (Punto a Punto) usado por
aplicaciones como Kazaa para compartir archivos a través de la red.
Aunque este programa fue lanzado desde el 7 de mayo el rango de
infección del mismo se ha incrementado recientemente y diversas
compañías de antivirus han elevado el rango de severidad de dicho
gusano a alto.
Fizzer cuenta con diversos vectores de ataque incluyendo la
instalación de puertas traseras para programas IRC y otros
protocolos, Herramientas de Ataques de Negación de Servicio (DoS) y
diversos programas troyanos cuya función doble es capturar
contraseñas de usuarios y otro tipo de información a un archivo
local para que posteriormente pueda ser utilizada por el intruso.
Similar a otros gusanos con capacidades avanzadas, este programa de
igual forma tiene la habilidad de auto-actualizarse. Adicionalmente
intenta suspender todos los procesos de antivirus en una máquina
infectada.
Los mensajes de correo electrónico infectados contendrán el gusano
en forma de archivo adjunto (attachment) con extensiones *.exe,
.pif, .scr* y *.com*. El nombre del archivo adjunto (subject) y del
cuerpo del correo electrónico son creados de forma aleatoria. Las
direcciones de correo electrónico son coleccionadas por el gusano
desde las libretas de direcciones de los programas Microsoft Windows
y Microsoft Outlook y desde otros archivos conteniendo direcciones
que el gusano encuentre para enviar e infectar a otro equipo de
cómputo.
IMPACTO
--------
El gusano Fizzer puede poner en riesgo la seguridad del sistema
debido a que tiene capacidades de instalar puertas traseras en el
sistema, de igual forma, se envía por sí mismo a todos los contactos
en la Libreta de Direcciones de Windows intentando infectar otros
sistemas. Fizzer también termina el proceso de varios programas
antivirus evitando de esta forma su detección en el sistema.
SOLUCIONES
-----------
El UNAM-CERT recomienda a todo usuario de cómputo llevar a cabo los
siguientes pasos prácticos a fin de reducir el grado de infección
por dicho gusano.
* Instalar y mantener actualizado software de antivirus.
* Instalar parches de seguridad para los sistemas y aplicaciones
vulnerables.
* Bloquear/desactivar los servicios innecesarios, puertos y
protocolos.
* Instalar firewall basado en software, preferentemente con la
capacidad de proveer firmas MD5 o firmas de comparación contra
las aplicaciones que usen los canales de comunicación.
APÉNDICE A. Información Adicional
---------------------------------
Para obtener mayor información acerca del gusano Fizzer se pueden
consultar los siguientes sitios Web:
# http://securityresponse.symantec.com/avcenter/venc/data/w32 hllw fizzer en mm html
# http://www.f-secure.com/v-descs/fizzer.shtml
# http://vil.mcafee.com/dispVirus.asp?virus_k=100295
# http://www.messagelabs.com/viruseye/info/default.asp?virusname=W32/Fizzer.A
# http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FIZZER.A&V
# http://www3.ca.com/virusinfo/virus.aspx?ID=35131
APÉNDICE B. Reportar Información
--------------------------------
El UNAM-CERT ha puesto todo el esfuerzo posible para asegurar que la
información contenida en este documento sea confiable al momento de
su publicación. Sin embargo, la decisión de utilizar la información
descrita es responsabilidad de cada usuario u organización. La
adecuación de este documento para una organización o sistema
individual debería ser considerada antes su aplicación en conjunto
con las políticas y procedimientos locales. El UNAM-CERT no se hace
responsable de las consecuencias generadas por la aplicación del
contenido en este documento.
Si algún administrador o usuario de red detecta que su sistema ha
sido comprometido, puede contactar al UNAM-CERT en la siguiente
cuenta de correo electrónico:
escaneos en seguridad unam mx
INFORMACIÓN
------------
Este documento se encuentra disponible en su formato original en la
siguiente direccion:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx
Para mayor informacion acerca de esta nota de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
--
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
Lista de correo linux en opensource org mx
Preguntas linux-owner en opensource org mx
http://www.opensource.org.mx/