[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Nota de Seguridad UNAM-CERT 2004-05
Variante "O" de W32/Netsky
----------------------------------------------------------------------
En las últimas horas el CERT/UNAM-CERT ha recibido reportes de una
nueva variante del virus Netsky denominada Netsky.O. El virus
utiliza su propio motor SMTP para enviarse por sà mismo a las
direcciones de correo que encuentra cuando escanea el disco duro y
las unidades mapeadas.
El "emisor" del correo electrónico es falsificado. El tema (Subject)
y el cuerpo del mensaje del correo puede variar. el archivo adjunto
puede ser uno de los siguientes: readme.pif, document.pif, data.pif,
details.pif, msg.pif, message.pif.
El virus fue comprimido usando la herramienta UPX
(http://upx.sourceforge.net/).
Fecha de Liberación: 18 de Marzo de 2004
Ultima Revisión: ---
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes, asà como Foros y
Listas de Discusión.
SISTEMAS AFECTADOS
==================
* Windows 2000
* Windows 95
* Windows 98
* Windows Me
* Windows NT
* Windows 2000
* Windows XP
* Windows Server 2003
I. DESCRIPCIÃ?N
==============
Netsky.o conocido también como Win32.Netsky.O [Computer Associates]
NetSky.O [F-Secure], W32/Netsky.o@MM [McAfee], W32/Netsky.O.worm
[Panda], W32/Netsky-O [Sophos], WORM_NETSKY.O [Trend],
W32.Netsky.O@mm [Symantec] por los distintos distribuidores antivirus.
El gusano utiliza su propio motor SMTP para enviarse por sà mismo a
las direcciones de correo encontradas en el sistema.
El correo tiene las siguientes caracterÃsticas:
* Campo From - Falsificado por el gusano.
* Campo Subject - Puede ser uno de los siguientes:
o Re: Encrypted Mail
o Re: Extended Mail
o Re: Status
o Re: Notify
o Re: SMTP Server
o Re: Mail Server
o Re: Delivery Server
o Re: Bad Request
o Re: Failure
o Re: Thank you for delivery
o Re: Test
o Re: Administration
o Re: Message Error
o Re: Error
o Re: Extended Mail System
o Re: Secure SMTP Message
o Re: Protected Mail Request
o Re: Protected Mail System
o Re: Protected Mail Delivery
o Re: Secure delivery
o Re: Delivery Protection
o Re: Mail Authentification
* Mensaje - Puede ser uno de los siguientes:
o Please confirm my request.
o ESMTP [Secure Mail System #334]: Secure message is
attached.
o Partial message is available.
o Waiting for a Response. Please read the attachment.
o First part of the secure mail is available.
o For more details see the attachment.
o For further details see the attachment.
o Your requested mail has been attached.
o Protected Mail System Test.
o Secure Mail System Beta Test.
o Forwarded message is available.
o Delivered message is attached.
o Encrypted message is available.
o Please read the attachment to get the message.
o Follow the instructions to read the message.
o Please authenticate the secure message.
o Protected message is attached.
o Waiting for authentification.
o Protected message is available.
o Bad Gateway: The message has been attached.
o SMTP: Please confirm the attached message.
o You got a new message.
o Now a new message is available.
o New message is available.
o You have received an extended message. Please read the
instructions.
Seguido por uno de los siguiente párrafos:
o +++ Attachment: No Virus found
+++ Panda AntiVirus - You are protected
+++ www.pandasoftware.com
o +++ Attachment: No Virus found
+++ Norman AntiVirus - You are protected
+++ www.norman.com
o +++ Attachment: No Virus found
+++ F-Secure AntiVirus - You are protected
+++ www.f-secure.com
o +++ Attachment: No Virus found
+++ Norton AntiVirus - You are protected
+++ www.symantec.de
* Archivo Adjunto - Puede ser uno de los siguientes:
o readme.pif
o document.pif
o data.pif
o details.pif
o msg.pif
o message.pif
* Detalles Técnicos
1. Crea un mutex para permitir solo una copia del gusano en
ejecución.
2. Se copia a sà mismo como %Windir%\AVBgle.exe:
*Nota: *%Windir% es una variable. El gusano localiza el
directorio de instalación de Windows y se copia por sà mismo a
esta localidad. De forma predeterminada, esto es C:\Windows
(Windows 95/98/Me,XP) ó C:\Winnt (Windows NT/2000).
3. Crea el archivo %Windir%\base64.bmp (22,456 bytes), el cual es
un gusano codificado en MIME64.
4. Agrega el valor:
"MSInfo"="%Windir%\AVBgle.exe"
a la clave del registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
para que se ejecute cuando inicie Windows.
5. Elimina los valores:
* Explorer
* system.
* msgsvr32
* au.exe
* service
* DELETE ME
* d3dupdate.exe
* Sentry
* Taskmon
* Windows Services Host
de la clave del registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
6. Elimina el valor:
system
de la clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
7. Elimina los valores:
* Explorer
* OLE
* gouday.exe
* rate.exe
* Taskmon
* Windows Services Host
* sysmon.exe
* srate.exe
* ssate.exe
de la clave del registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
8. Elimina el valor:
InProcServer32
de la clave del registro:
HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
9. Elimina las siguientes subclaves:
* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch
10. Obtiene direcciones de correo electrónico desde los archivos
con estas extensiones en las unidades de la C a la Z:
* .adb
* .asp
* .cgi
* .dbx
* .dhtm
* .doc
* .eml
* .htm
* .html
* .jsp
* .msg
* .oft
* .php
* .pl
* .rtf
* .sht
* .shtm
* .tbb
* .txt
* .uin
* .vbs
* .wab
* .wsh
* .xml
III. SOLUCIÃ?N
=============
* Ejecutar, administrar y actualizar un software antivirus
Aunque un paquete de software antivirus actualizado no puede
brindar protección contra todos los códigos maliciosos, para
la mayorÃa de los usuarios representa la primera lÃnea de
defensa contra ataques de código malicioso.
La mayorÃa de los distribuidores antivirus liberan
frecuentemente información actualizada, herramientas, o bases
de datos de virus para ayudar a detectar y recuperar un
sistema que ha sido infectado mediante un código malicioso,
incluyendo Beagle.K. De esta forma, es importante que los
usuarios mantengan su software antivirus actualizado.
Mucho software antivirus se apoya en las actualizaciones
automáticas de las definiciones de virus. El CERT/UNAM-CERT
recomienda utilizar estas actualizaciones automáticas cuando
estén disponibles.
* No ejecutar programas de origen desconocido
Nunca descargue, instale o ejecute un programa a menos que
sepa que es autorizado por una persona o compañÃa en la que se
confÃa. Los usuarios de correo electrónico deben estar
concientes de archivos adjuntos inesperados, mientras que los
usuarios de Internet Relay Chat (IRC), de la mensajerÃa
instantánea (IM), y de servicios de compartición de archivos
deben ser muy cuidadosos al dar clic en vÃnculos o links
desconocidos o al ejecutar software enviado por otros usuarios
debido a que son los métodos más utilizados entre los intrusos
para intentar crear redes de agentes DDoS.
* Eliminación Manual
o Deshabilitar System Restore (Windows Me/XP).
+ Windows Me
1. Haga clic en Inicio, seleccione
Configuración y, a continuación, haga clic
en Panel de control.
2. Haga doble clic en Sistema. Se abrirá la
ventana de Propiedades del sistema.
*Nota:* Si no es visible el Ãcono de Sistema
haga clic en "Ver todas las opciones de
Panel de control".
3. Haga clic en la pestaña Rendimiento y haga
clic en el botón "Archivos de sistema". La
ventana de Archivos de sistema se abrirá.
4. Haga clic en Sistema de archivos y, a
continuación, haga clic en la pestaña
Solución de problemas.
5. Marque la casÃlla de la opción Deshabilitar
Restaurar sistema.
6. Haga clic en Aceptar y, por último, en
Cerrar. Haga clic en SÃ cuando se le
pregunte si desea reiniciar Windows.
+ Windows XP
1. Haga clic en Inicio.
2. Haga clic con el botón secundario en el
icono Mi PC y, a continuación, haga clic en
Propiedades.
3. Haga clic en la pestaña Restaurar sistema.
4. Marque la casÃlla Desactivar Restaurar
sistema o la casÃlla Desactivar Restaurar
sistema en todas las unidades.
5. Haga clic en Aplicar y a continuación, en
Aceptar.
6. Como verá en el mensaje, esta acción
eliminará todos los puntos de restauración
existentes. Haga clic en SÃ para llevar a
cabo esta acción.
7. Haga clic en Aceptar y reinice el sistema.
o Actualizar las definiciones de Antivirus.
Independientemente del software antivirus que este
utilizando, actualice su base de datos de firmas
antivirus para poder eliminar el virus Beagle.K.
o Eliminar los valores que fueron agregados al registro y
reiniciar el equipo.
1. Dar clic en Inicio y después en Ejecuta.
2. Escribir regedit y presionar Aceptar.
3. Buscar la siguiente clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. En el panel de la derecha eliminar el siguiente
valor:
"MSInfo"="%Windir%\AVBgle.exe"
5. Buscar la siguiente clave:
HKEY_CURRENT_MACHINE\SYSTEM\CurrentControlSet\Services
6. En el panel de la izquierda localizar y eliminar
la subclave:
NPF
7. En el panel de la izquierda dar doble clic en la
clave:
HKEY_CURRENT_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
8. AÃn el panel de la izquierda localizar y eliminar
la subclave:
LEGACY_NPF
9. Salir del editor del registro.
10. Reiniciar el equipo.
o Analizar el sistema mediante el software antivirus
actualizado para eliminar los archivos infectados.
APÃ?NDICE A. Referencias
=======================
* Virus y Gusanos UNAM-CERT -
http://www.unam-cert.unam.mx/gusanos/index.html
* Symantec -
http://securityresponse.symantec.com/avcenter/venc/data/w32 netsky o en mm html
* Trend Micro -
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.O&VSect=T
* Panda Software -
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=det&idvirus=45692
* Sophos http://www.sophos.com/virusinfo/analyses/w32netskyo.html
* Computer Associates -
http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=38598
* F-Secure - http://www.f-secure.com/v-descs/netsky_o.shtml
* McAffe -
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101103
------------------------------------------------------------------------
El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el
apoyo en la elaboración, revisión y traducción de éste boletÃn a:
* Aurea Noemà Ferrer Carmona (aferrer en correo seguridad unam mx)
* Jesus Ramón Jiménez Rojas (jrojas en seguridad unam mx)
------------------------------------------------------------------------
INFORMACIÃ?N
===========
Este documento se encuentra disponible en:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx/Notas/Notas2004/nota-UNAM-CERT-2004-005.html
Para mayor información acerca de éste boletÃn de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQFpCCnAvLUtwgRsVAQGbWQgAuSndMbTtslQAZb8xMeRitseXxsqK1BIO
0jmsURomq77it++6GPFGYCD2pNgRUmWkDwWFItUorrPmvcBrbC9fnjpSowTbv/Ee
UsDW9O9xVngPDGLQm1NtC+GqK3sHYJBP3nuCGDRMZYmcJeXPS8L/3wt64BwR/Uq7
DQQhJ5rJBXDucwHpXJ50Gu6UTnptU2+lNqe3TmfLr/+TmYrDrxT4iCYZSX2QsK5X
RXxuxg3E7mUcQnnvWk4HH4li2jYHHkE9gdP8CBTZBAA6geWbug6l/0j02fHnLiRn
kME9Gnwxf3SiDWRML+TEhQ04cSDMsXSl1MZbBWlRP6v47R2vXi8cyw==
=x615
-----END PGP SIGNATURE-----
Lista de correo linux en opensource org mx
Preguntas linux-owner en opensource org mx
http://www.opensource.org.mx/