[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM Nota de Seguridad UNAM-CERT 2003-002 Incremento de Actividad de Gusano Fizzer ------------------------------------------------------------------------ En las ultimas horas UNAM-CERT (Equipo de respuesta a Incidentes de Seguridad en Cómputo UNAM) ha detectado un incremento de actividad a través de un gusano conocido como *Fizzer*, el cual propaga código malicioso por correo electrónico a través de las redes .unam.mx y .mx. SISTEMAS AFECTADOS ------------------ * Microsoft Windows 95 * Microsoft Windows 98 * Microsoft Windows Me * Microsoft Windows NT * Microsoft Windows 2000 * Microsoft Windows XP DESCRIPCIÓN ----------- Fizzer es un gusano que se propaga vía correo electrónico y a través del protocolo Peer to Peer (Punto a Punto) usado por aplicaciones como Kazaa para compartir archivos a través de la red. Aunque este programa fue lanzado desde el 7 de mayo el rango de infección del mismo se ha incrementado recientemente y diversas compañías de antivirus han elevado el rango de severidad de dicho gusano a alto. Fizzer cuenta con diversos vectores de ataque incluyendo la instalación de puertas traseras para programas IRC y otros protocolos, Herramientas de Ataques de Negación de Servicio (DoS) y diversos programas troyanos cuya función doble es capturar contraseñas de usuarios y otro tipo de información a un archivo local para que posteriormente pueda ser utilizada por el intruso. Similar a otros gusanos con capacidades avanzadas, este programa de igual forma tiene la habilidad de auto-actualizarse. Adicionalmente intenta suspender todos los procesos de antivirus en una máquina infectada. Los mensajes de correo electrónico infectados contendrán el gusano en forma de archivo adjunto (attachment) con extensiones *.exe, .pif, .scr* y *.com*. El nombre del archivo adjunto (subject) y del cuerpo del correo electrónico son creados de forma aleatoria. Las direcciones de correo electrónico son coleccionadas por el gusano desde las libretas de direcciones de los programas Microsoft Windows y Microsoft Outlook y desde otros archivos conteniendo direcciones que el gusano encuentre para enviar e infectar a otro equipo de cómputo. IMPACTO -------- El gusano Fizzer puede poner en riesgo la seguridad del sistema debido a que tiene capacidades de instalar puertas traseras en el sistema, de igual forma, se envía por sí mismo a todos los contactos en la Libreta de Direcciones de Windows intentando infectar otros sistemas. Fizzer también termina el proceso de varios programas antivirus evitando de esta forma su detección en el sistema. SOLUCIONES ----------- El UNAM-CERT recomienda a todo usuario de cómputo llevar a cabo los siguientes pasos prácticos a fin de reducir el grado de infección por dicho gusano. * Instalar y mantener actualizado software de antivirus. * Instalar parches de seguridad para los sistemas y aplicaciones vulnerables. * Bloquear/desactivar los servicios innecesarios, puertos y protocolos. * Instalar firewall basado en software, preferentemente con la capacidad de proveer firmas MD5 o firmas de comparación contra las aplicaciones que usen los canales de comunicación. APÉNDICE A. Información Adicional --------------------------------- Para obtener mayor información acerca del gusano Fizzer se pueden consultar los siguientes sitios Web: # http://securityresponse.symantec.com/avcenter/venc/data/w32 hllw fizzer en mm html # http://www.f-secure.com/v-descs/fizzer.shtml # http://vil.mcafee.com/dispVirus.asp?virus_k=100295 # http://www.messagelabs.com/viruseye/info/default.asp?virusname=W32/Fizzer.A # http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FIZZER.A&V # http://www3.ca.com/virusinfo/virus.aspx?ID=35131 APÉNDICE B. Reportar Información -------------------------------- El UNAM-CERT ha puesto todo el esfuerzo posible para asegurar que la información contenida en este documento sea confiable al momento de su publicación. Sin embargo, la decisión de utilizar la información descrita es responsabilidad de cada usuario u organización. La adecuación de este documento para una organización o sistema individual debería ser considerada antes su aplicación en conjunto con las políticas y procedimientos locales. El UNAM-CERT no se hace responsable de las consecuencias generadas por la aplicación del contenido en este documento. Si algún administrador o usuario de red detecta que su sistema ha sido comprometido, puede contactar al UNAM-CERT en la siguiente cuenta de correo electrónico: escaneos en seguridad unam mx INFORMACIÓN ------------ Este documento se encuentra disponible en su formato original en la siguiente direccion: http://www.seguridad.unam.mx http://www.unam-cert.unam.mx Para mayor informacion acerca de esta nota de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : seguridad en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -- Juan Carlos Guel Lopez UNAM-CERT Equipo de Respuesta a Incidentes UNAM DGSCA, UNAM E-mail: unam-cert en seguridad unam mx Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43 Del. Coyoacan WWW: http://www.seguridad.unam.mx 04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx Lista de correo linux en opensource org mx Preguntas linux-owner en opensource org mx http://www.opensource.org.mx/