Gusano W32/Myparty.a@MM
En los últimos días el UNAM-CERT
ha recibido una serie de reportes que indican la existencia nuevo gusano de
correo electrónico denominado W32/Myparty.a@MM que afecta a los
sistemas del dominio .mx, de la red mundial y de nuestra red unam.
El Equipo de Respuesta a
Incidentes UNAM-CERT recomienda llevar a cabo las siguientes acciones
para poder minimizar el daño al cual pueden estar expuestos nuestros equipos
al ser atacados por este código malicioso
DESCRIPCIÓN
"W32/Myparty" es código
malicioso escrito para ejecutarse en los sistemas Windows que se propaga como
un attachment de correo electrónico. El gusano por sí mismo no contiene una
carga útil destructiva. El código malicioso hace uso de la ingeniería
social para incitar a los usuarios a ejecutarlo.
El correo electrónico que transporta a este gusano tiene las siguientes
características:
TEMA:
new photos from my party!
CUERPO DEL CORREO:
Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
ATTACHMENT: www.myparty.yahoo.com (29KB)
El nombre del attachment que
contiene el código malicioso, www.myparty.yahoo.com, fue
cuidadosamente escogido para tratar de engañar al receptor del correo electrónico
para que lo abra y lo ejecute. El attachment es un archivo ejecutable con una
extensión .COM, y no un URL. Si se ejecuta el attachment, como resultado se
infectará la máquina local.
Comportamiento en los Sistemas Windows 9x/ME
- Si la fecha está entre el 25 y 29 de Enero de 2002, el virus se copia
por sí mismo en C:\Recycled\regctrl.exe y ejecuta éste archivo.
Comportamiento en los Sistemas Win NT/2K/XP
- Si la fecha no está entre el 25 y 29 de Enero de 2002, el gusano se
copia por sí mismo a C:\Recycled como F-[número aleatorio]-[número
aleatorio]-[número aleatorio] sin ninguna extensión.
- Si la fecha está entre el 25 y 29 de Enero de 2002, el virus se copia
por sí mismo en C:\regctrl.exe y coloca el archivo MSSTASK.EXE en la
carpeta de INICIO. MSSTASK.EXE es un troyano BackDoor. Después de que el
archivo inicial es ejecutado, es borrado. Si el nombre del archivo
ejecutable es ACCESS, el usuario es dirigido hacia el sitio web
www.disney.com.
El virus solo intenta propagarse de manera masiva por sí
mismo en las fechas 25, 26, 27, 28 o 29 de Enero de 2002. El servidor SMTP
por default del usuario actual es recobrado de la siguiente clave de
registro:
- HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001
El virus utiliza su servidor FTP para enviarse por sí mismo a todas las
direcciones en la Libreta de Direcciones de Windows y direcciones encontradas
dentro de los archivos .DBX.
Alias
- I-Worm.Myparty (AVP)
- MyParty (F-Secure)
- W32.Myparty@mm (NAV)
- W32/MyParty-A (Sophos)
- W32/Myparty@MM
- W32/Myparty@MM (Panda)
- Win32.MyParty (CA)
- Win32.MyParty.A (AVX)
- WORM_MYPARTY.A (Trend)
Síntomas
- Presencia de C:\RECYCLED\REGCTRL.EXE (visible desde el prompt de DOS, no
desde dentro de Windows).
- Presencia de C:\REGCTRL.EXE.
- Presencia de %userprofile%\Start Menu\Programs\Startup\msstask.exe.
IMPACTO
W32/Myparty puede causar que el navegador de web
establecido por default lo ejecute inesperadamente. Asimismo, la víctima y
los sitios atacados pueden experimentar un incremento de carga en el servidor
de correo cuando el código malicioso se está propagando.
SOLUCIONES
Ejecutar y Actualizar su Software Antivirus
Es importante que los usuarios mantengan actualizado su software antivirus.
La mayoría de los vendedores antivirus han liberado información de
actualización, herramientas o bases de datos de virus para ayudar a detectar
y eliminar el gusano W32/Myparty.
Aladdin
Knowledge Systems
Central
Command, Inc.
Command
Software Systems
Computer
Associates
F-Secure
Corp
McAfee
Norman
Data Defense Systems
Panda
Software
Proland
Software
Sophos
Symantec
Trend
Micro
Tomar Precauciones Cuando se Abran Attachments
Se deben tomar precauciones cuando se reciben correos con attachments. Los
usuarios deben ser cuidadosos cuando se reciban correos con attachments de un
origen poco confiable. Los usuarios deben escanear los archivos recibidos a
través de correos electrónicos con un producto antivirus.
Filtrar el correo electrónico o utilizar un firewall
Los sitios pueden utilizar técnicas de filtrado para borrar mensajes que
contienen temas conocidos que por lo regular transportan código malicioso ó
para filtrar todos los attachments. |
En los últimos días el UNAM-CERT ha recibido una
serie de reportes de ataques de ingeniería social a usuarios de los
servicios Internet Relay Chat (IRC) e Instant Messanging (IM). Los intrusos
engañan a los usuarios para que descarguen y ejecuten software malicioso, lo
cual permite a los intrusos utilizar los sistemas como plataformas de
lanzamiento de ataques DDoS (Distributed Denial of Service).
El Equipo de Respuesta a Incidentes UNAM-CERT indica que cientos de
miles de sistemas han sido recientemente comprometidos de esta manera.
DESCRIPCIÓN
Reportes recibidos por el CERT/UNAM-CERT indican que los
intrusos están utilizando herramientas automatizadas para enviar mensajes a
usuarios ingenuos de los servicios de IRC o IM. Estos mensajes típicamente
ofrecen la oportunidad de descargar software de algún valor para los
usuarios, incluyendo mejoras de software de música, protección antivirus, o
pornografía. Una vez que los usuarios descargan y ejecutan el software, su
sistema es utilizado por un intruso como un agente en un ataque DDoS. Otros
reportes indican que Caballos Troyanos y programas backdoors están siendo
propagados por medio de técnicas similares.
A continuación se muestra un ejemplo de lo mencionado anteriormente:
You are infected with a virus that lets
hackers get into your machine and read ur files, etc. I suggest you to
download [malicious url] and clean ur infected machine. Otherwise you
will be banned from [IRC network].
Esto es puramente, un ataque de ingeniería social debido
a que la decisión del usuario de descargar y ejecutar el software es el
factor decisivo para un ataque fallido o satisfactorio. Aunque esta actividad
no es novedosa, la técnica es aún efectiva, como evidencia se tienen los
reportes de cientos de miles de sistemas que han comprometidos de esta
manera. Consulte IN-2000-08:
Clientes de Chat y Seguridad en Red (www.cert.org).
IMPACTO
Al igual que cualquier instalación de herramienta DDoS,
el impacto es doble. Primero, en los sistemas que son comprometidos por
usuario ejecutando software no confiable, los intrusos podrían:
- Ejercer un control remoto
- Exponer datos confidenciales
- Instalar otro software malicioso
- Cambiar archivos
- Borrar archivos
El riesgo no está limitado a la instalación de agentes DDoS. De hecho, cada
vez que los usuarios ejecuten software no confiable estos peligros estarán
presentes.
El segundo impacto es para los sitios que son atacados por los agentes DDoS.
Los sitios que sufren un ataque DDoS podrían experimentar usualmente volúmenes
de tráfico pesados o rangos de paquetes altos, resultando en una degradación
de servicios o perdida de conectividad total.
SOLUCIONES
Usuarios Caseros
Ejecutar y Mantener Actualizado un Producto Antivirus
El código malicioso que esta siendo distribuido en estos ataques esta bajo
continuo desarrollo por los intrusos, pero la mayoría de los vendedores de
software antivirus liberan frecuentemente información de actualización,
herramientas, o bases de datos de virus para ayudar a detectar y recuperarse
de los códigos maliciosos envueltos en esta actividad. De esta manera, es
importante que los usuarios mantengan su software antivirus actualizado. El
CERT/UNAM-CERT mantiene una lista parcial de vendedores antivirus en:
http://www.cert.org/other_sources/viruses.html#VI
Muchos paquetes antivirus soportan actualización automática
de definiciones de virus. El CERT/UNAM-CERT recomiendan utilizar estas
actualizaciones automáticas cuando estén disponibles.
No Ejecutar Programas de Origen Desconocido
Nunca descargue, instale, o ejecute un programa al menos que sea autorizado
por una persona o compañía en la que se confía. Los usuarios de los
servicios IRC e IM deberían ser particularmente precavidos al seguir ligas o
ejecutar software que les son enviados por otros usuarios, debido a que esto
es un método comúnmente utilizado entre los intrusos intentando construir
redes de agentes DDoS.
Entendiendo los Riesgos
Se aconseja a los usuarios revisar el tip de seguridad "Home Network
Security", el cual proporciona una visión general de los riesgos y
estrategias de mitigación para los usuarios caseros.
http://www.cert.org/tech_tips/home_networks.html
Sitios
Se aconseja a los administradores de sitios revisar el reporte sobre amenazas
de tecnologías de negación de servicio, también seguir las recomendaciones
para manejar la amenaza de los ataques de negación de servicio.
Trends in Denial of Service Attack Technology
http://www.cert.org/archive/pdf/DoS_trends.pdf
Managing the Threat of Denial-of-Service Attacks
http://www.cert.org/archive/pdf/Managing_DoS.pdf
|
En los últimos días se han reportado diversos indicios
que indican actividad de que el código malicioso de autopropagación Code
Red y sus variantes está atacando los sistemas de la red UNAM, del
dominio .mx y la red mundial.
El UNAM-CERT informa que éste gusano realiza un exploit a Sistemas
habilitados con IIS susceptibles a la vulnerabilidad descrita en el Boletín
de Seguridad UNAM-CERT 2001-014 "Buffer Overflow en los Servicios de
Indexado DLL de IIS". El gusano realiza la alteración del sitio web
con una de sus variantes, además de que los sistemas infectados pueden
experimentar degradación en su funcionamiento como consecuencia de la
actividad de escaneo de este gusano.
DESCRIPCIÓN
El gusano Code Red afecta los sistemas que
ejecutan
Microsoft Index Server 2.0 ó Windows 2000 Indexing service.
El gusano utiliza un conocido buffer overflow contenido en IDQ.DLL.
El gusano solo compromete sistemas que ejecutan IIS 4.0 e IIS 5.0 en
los sistemas operativos Windows NT y Windows 2000.
El gusano envía su código como un requerimiento HTTP. El requerimiento
HTTP realiza un exploit de una vulnerabilidad de buffer overflow
conocida, la cual permite que el gusano se ejecute en el sistema víctima. El
código malicioso no se guarda como un archivo, pero es insertado dentro del
sistema y se ejecuta directamente desde la memoria.
Una vez que se ejecuta, el gusano verifica el archivo C:\Notworm. Si
este archivo existe, el gusano no se ejecuta y el gusano entra en un estado
infinito de inactividad.
Si el archivo C:\Notworm no existe, entonces nuevas copias del gusano
son creadas. Si la fecha esta antes del día 20 del mes, las próximas 99
copias del gusano intentan realizar un exploit de más sistemas atacando
direcciones IP aleatorias.
Si el idioma por default es el Inglés, las copias del gusano pueden causar
alteración en las páginas web del sistema. Primero, el gusano duerme dos
horas y después lanza una función, la cual responde a un requerimiento
HTTP. En lugar de retornar la página web correcta, el gusano retorna su
propio código html.
El código HTML que despliega es el siguiente:
Welcome to http:// www.worm.com !
Hacked By Chinese!
Esta función dura por 10 horas y después es removida. Sin embargo, la
reinfección u otras copias pueden activar de nuevo la función.
Dos versiones de este gusano han sido vistas en la Internet. La segunda
versión no causa alteración en las páginas web.
También, si la fecha está entre el día 20 y 28 del mes, las copias del
gusano intentan un ataque de negación de servicio a una dirección IP
particular enviando grandes cantidades de datos (basura) al puerto 80
(servicio de Web) de 198.137.240.91, la cual es la dirección web de
la "Casa Blanca", www.whitehouse.gov. Esta dirección
IP ha sido cambiada y ya no está activa.
Finalmente, si la fecha es después del día 28 del mes, el gusano no se
ejecuta, pero se encuentra en un ciclo de descanso. La creación de
múltiples copias puede causar inestabilidad en el sistema.
IMPACTO
Durante los últimos meses se ha observado un incremento
en el escaneo a los diversos servidores dentro del dominio unam.mx, este
escaneo es atribuido a la presencia del gusano Code Red en sus dos variantes,
que explotan la vulnerabilidad en IIS de Microsoft Windows 2000 y NT.
El UNAM-CERT aconseja a los administradores reportar las máquinas
que presenten problemas relacionados con este gusano, envía tu reporte al UNAM-CERT
a escaneos@seguridad.unam.mx,
con la siguiente información:
Subjet: Code Red
Contenido:
[Dirección IP] - - [22/Aug/2001:21:25:25 -0600] "GET /default.ida?XXX%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078
HTTP/1.0" 404 822
Importante: El formato del registro mostrado arriba, puede
variar dependiendo del sistema.
SOLUCIONES
Microsoft ha liberado un parche para solucionar
esta vulnerabilidad en su sitio web, localizado en:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
Se aconsjea a los administradores de sistemas aplicar el parche de Microsoft
para prevenir la infección de este gusano y otros accesos no autorizados.
|