[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- -------------------------------------------------------------------- UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM Nota de Seguridad UNAM-CERT 2004-05 Variante "O" de W32/Netsky ---------------------------------------------------------------------- En las últimas horas el CERT/UNAM-CERT ha recibido reportes de una nueva variante del virus Netsky denominada Netsky.O. El virus utiliza su propio motor SMTP para enviarse por sà mismo a las direcciones de correo que encuentra cuando escanea el disco duro y las unidades mapeadas. El "emisor" del correo electrónico es falsificado. El tema (Subject) y el cuerpo del mensaje del correo puede variar. el archivo adjunto puede ser uno de los siguientes: readme.pif, document.pif, data.pif, details.pif, msg.pif, message.pif. El virus fue comprimido usando la herramienta UPX (http://upx.sourceforge.net/). Fecha de Liberación: 18 de Marzo de 2004 Ultima Revisión: --- Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes, asà como Foros y Listas de Discusión. SISTEMAS AFECTADOS ================== * Windows 2000 * Windows 95 * Windows 98 * Windows Me * Windows NT * Windows 2000 * Windows XP * Windows Server 2003 I. DESCRIPCIÃ?N ============== Netsky.o conocido también como Win32.Netsky.O [Computer Associates] NetSky.O [F-Secure], W32/Netsky.o@MM [McAfee], W32/Netsky.O.worm [Panda], W32/Netsky-O [Sophos], WORM_NETSKY.O [Trend], W32.Netsky.O@mm [Symantec] por los distintos distribuidores antivirus. El gusano utiliza su propio motor SMTP para enviarse por sà mismo a las direcciones de correo encontradas en el sistema. El correo tiene las siguientes caracterÃsticas: * Campo From - Falsificado por el gusano. * Campo Subject - Puede ser uno de los siguientes: o Re: Encrypted Mail o Re: Extended Mail o Re: Status o Re: Notify o Re: SMTP Server o Re: Mail Server o Re: Delivery Server o Re: Bad Request o Re: Failure o Re: Thank you for delivery o Re: Test o Re: Administration o Re: Message Error o Re: Error o Re: Extended Mail System o Re: Secure SMTP Message o Re: Protected Mail Request o Re: Protected Mail System o Re: Protected Mail Delivery o Re: Secure delivery o Re: Delivery Protection o Re: Mail Authentification * Mensaje - Puede ser uno de los siguientes: o Please confirm my request. o ESMTP [Secure Mail System #334]: Secure message is attached. o Partial message is available. o Waiting for a Response. Please read the attachment. o First part of the secure mail is available. o For more details see the attachment. o For further details see the attachment. o Your requested mail has been attached. o Protected Mail System Test. o Secure Mail System Beta Test. o Forwarded message is available. o Delivered message is attached. o Encrypted message is available. o Please read the attachment to get the message. o Follow the instructions to read the message. o Please authenticate the secure message. o Protected message is attached. o Waiting for authentification. o Protected message is available. o Bad Gateway: The message has been attached. o SMTP: Please confirm the attached message. o You got a new message. o Now a new message is available. o New message is available. o You have received an extended message. Please read the instructions. Seguido por uno de los siguiente párrafos: o +++ Attachment: No Virus found +++ Panda AntiVirus - You are protected +++ www.pandasoftware.com o +++ Attachment: No Virus found +++ Norman AntiVirus - You are protected +++ www.norman.com o +++ Attachment: No Virus found +++ F-Secure AntiVirus - You are protected +++ www.f-secure.com o +++ Attachment: No Virus found +++ Norton AntiVirus - You are protected +++ www.symantec.de * Archivo Adjunto - Puede ser uno de los siguientes: o readme.pif o document.pif o data.pif o details.pif o msg.pif o message.pif * Detalles Técnicos 1. Crea un mutex para permitir solo una copia del gusano en ejecución. 2. Se copia a sà mismo como %Windir%\AVBgle.exe: *Nota: *%Windir% es una variable. El gusano localiza el directorio de instalación de Windows y se copia por sà mismo a esta localidad. De forma predeterminada, esto es C:\Windows (Windows 95/98/Me,XP) ó C:\Winnt (Windows NT/2000). 3. Crea el archivo %Windir%\base64.bmp (22,456 bytes), el cual es un gusano codificado en MIME64. 4. Agrega el valor: "MSInfo"="%Windir%\AVBgle.exe" a la clave del registro: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run para que se ejecute cuando inicie Windows. 5. Elimina los valores: * Explorer * system. * msgsvr32 * au.exe * service * DELETE ME * d3dupdate.exe * Sentry * Taskmon * Windows Services Host de la clave del registro: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 6. Elimina el valor: system de la clave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 7. Elimina los valores: * Explorer * OLE * gouday.exe * rate.exe * Taskmon * Windows Services Host * sysmon.exe * srate.exe * ssate.exe de la clave del registro: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 8. Elimina el valor: InProcServer32 de la clave del registro: HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} 9. Elimina las siguientes subclaves: * HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF * HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch 10. Obtiene direcciones de correo electrónico desde los archivos con estas extensiones en las unidades de la C a la Z: * .adb * .asp * .cgi * .dbx * .dhtm * .doc * .eml * .htm * .html * .jsp * .msg * .oft * .php * .pl * .rtf * .sht * .shtm * .tbb * .txt * .uin * .vbs * .wab * .wsh * .xml III. SOLUCIÃ?N ============= * Ejecutar, administrar y actualizar un software antivirus Aunque un paquete de software antivirus actualizado no puede brindar protección contra todos los códigos maliciosos, para la mayorÃa de los usuarios representa la primera lÃnea de defensa contra ataques de código malicioso. La mayorÃa de los distribuidores antivirus liberan frecuentemente información actualizada, herramientas, o bases de datos de virus para ayudar a detectar y recuperar un sistema que ha sido infectado mediante un código malicioso, incluyendo Beagle.K. De esta forma, es importante que los usuarios mantengan su software antivirus actualizado. Mucho software antivirus se apoya en las actualizaciones automáticas de las definiciones de virus. El CERT/UNAM-CERT recomienda utilizar estas actualizaciones automáticas cuando estén disponibles. * No ejecutar programas de origen desconocido Nunca descargue, instale o ejecute un programa a menos que sepa que es autorizado por una persona o compañÃa en la que se confÃa. Los usuarios de correo electrónico deben estar concientes de archivos adjuntos inesperados, mientras que los usuarios de Internet Relay Chat (IRC), de la mensajerÃa instantánea (IM), y de servicios de compartición de archivos deben ser muy cuidadosos al dar clic en vÃnculos o links desconocidos o al ejecutar software enviado por otros usuarios debido a que son los métodos más utilizados entre los intrusos para intentar crear redes de agentes DDoS. * Eliminación Manual o Deshabilitar System Restore (Windows Me/XP). + Windows Me 1. Haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Panel de control. 2. Haga doble clic en Sistema. Se abrirá la ventana de Propiedades del sistema. *Nota:* Si no es visible el Ãcono de Sistema haga clic en "Ver todas las opciones de Panel de control". 3. Haga clic en la pestaña Rendimiento y haga clic en el botón "Archivos de sistema". La ventana de Archivos de sistema se abrirá. 4. Haga clic en Sistema de archivos y, a continuación, haga clic en la pestaña Solución de problemas. 5. Marque la casÃlla de la opción Deshabilitar Restaurar sistema. 6. Haga clic en Aceptar y, por último, en Cerrar. Haga clic en Sà cuando se le pregunte si desea reiniciar Windows. + Windows XP 1. Haga clic en Inicio. 2. Haga clic con el botón secundario en el icono Mi PC y, a continuación, haga clic en Propiedades. 3. Haga clic en la pestaña Restaurar sistema. 4. Marque la casÃlla Desactivar Restaurar sistema o la casÃlla Desactivar Restaurar sistema en todas las unidades. 5. Haga clic en Aplicar y a continuación, en Aceptar. 6. Como verá en el mensaje, esta acción eliminará todos los puntos de restauración existentes. Haga clic en Sà para llevar a cabo esta acción. 7. Haga clic en Aceptar y reinice el sistema. o Actualizar las definiciones de Antivirus. Independientemente del software antivirus que este utilizando, actualice su base de datos de firmas antivirus para poder eliminar el virus Beagle.K. o Eliminar los valores que fueron agregados al registro y reiniciar el equipo. 1. Dar clic en Inicio y después en Ejecuta. 2. Escribir regedit y presionar Aceptar. 3. Buscar la siguiente clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 4. En el panel de la derecha eliminar el siguiente valor: "MSInfo"="%Windir%\AVBgle.exe" 5. Buscar la siguiente clave: HKEY_CURRENT_MACHINE\SYSTEM\CurrentControlSet\Services 6. En el panel de la izquierda localizar y eliminar la subclave: NPF 7. En el panel de la izquierda dar doble clic en la clave: HKEY_CURRENT_MACHINE\SYSTEM\CurrentControlSet\Enum\Root 8. AÃn el panel de la izquierda localizar y eliminar la subclave: LEGACY_NPF 9. Salir del editor del registro. 10. Reiniciar el equipo. o Analizar el sistema mediante el software antivirus actualizado para eliminar los archivos infectados. APÃ?NDICE A. Referencias ======================= * Virus y Gusanos UNAM-CERT - http://www.unam-cert.unam.mx/gusanos/index.html * Symantec - http://securityresponse.symantec.com/avcenter/venc/data/w32 netsky o en mm html * Trend Micro - http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.O&VSect=T * Panda Software - http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=det&idvirus=45692 * Sophos http://www.sophos.com/virusinfo/analyses/w32netskyo.html * Computer Associates - http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=38598 * F-Secure - http://www.f-secure.com/v-descs/netsky_o.shtml * McAffe - http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101103 ------------------------------------------------------------------------ El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el apoyo en la elaboración, revisión y traducción de éste boletÃn a: * Aurea Noemà Ferrer Carmona (aferrer en correo seguridad unam mx) * Jesus Ramón Jiménez Rojas (jrojas en seguridad unam mx) ------------------------------------------------------------------------ INFORMACIÃ?N =========== Este documento se encuentra disponible en: http://www.seguridad.unam.mx http://www.unam-cert.unam.mx/Notas/Notas2004/nota-UNAM-CERT-2004-005.html Para mayor información acerca de éste boletÃn de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : unam-cert en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBQFpCCnAvLUtwgRsVAQGbWQgAuSndMbTtslQAZb8xMeRitseXxsqK1BIO 0jmsURomq77it++6GPFGYCD2pNgRUmWkDwWFItUorrPmvcBrbC9fnjpSowTbv/Ee UsDW9O9xVngPDGLQm1NtC+GqK3sHYJBP3nuCGDRMZYmcJeXPS8L/3wt64BwR/Uq7 DQQhJ5rJBXDucwHpXJ50Gu6UTnptU2+lNqe3TmfLr/+TmYrDrxT4iCYZSX2QsK5X RXxuxg3E7mUcQnnvWk4HH4li2jYHHkE9gdP8CBTZBAA6geWbug6l/0j02fHnLiRn kME9Gnwxf3SiDWRML+TEhQ04cSDMsXSl1MZbBWlRP6v47R2vXi8cyw== =x615 -----END PGP SIGNATURE----- Lista de correo linux en opensource org mx Preguntas linux-owner en opensource org mx http://www.opensource.org.mx/