Gusano W32/Myparty.a@MM

En los últimos días el UNAM-CERT ha recibido una serie de reportes que indican la existencia nuevo gusano de correo electrónico denominado W32/Myparty.a@MM que afecta a los sistemas del dominio .mx, de la red mundial y de nuestra red unam.

El Equipo de Respuesta a Incidentes UNAM-CERT recomienda llevar a cabo las siguientes acciones para poder minimizar el daño al cual pueden estar expuestos nuestros equipos al ser atacados por este código malicioso

DESCRIPCIÓN

"W32/Myparty" es código malicioso escrito para ejecutarse en los sistemas Windows que se propaga como un attachment de correo electrónico. El gusano por sí mismo no contiene una carga útil destructiva. El código malicioso hace uso de la ingeniería social para incitar a los usuarios a ejecutarlo.

El correo electrónico que transporta a este gusano tiene las siguientes características:

TEMA: new photos from my party!


CUERPO DEL CORREO:
Hello!


My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!


ATTACHMENT: www.myparty.yahoo.com (29KB)

El nombre del attachment que contiene el código malicioso, www.myparty.yahoo.com, fue cuidadosamente escogido para tratar de engañar al receptor del correo electrónico para que lo abra y lo ejecute. El attachment es un archivo ejecutable con una extensión .COM, y no un URL. Si se ejecuta el attachment, como resultado se infectará la máquina local.

Comportamiento en los Sistemas Windows 9x/ME

  • Si la fecha está entre el 25 y 29 de Enero de 2002, el virus se copia por sí mismo en C:\Recycled\regctrl.exe y ejecuta éste archivo.

Comportamiento en los Sistemas Win NT/2K/XP
  • Si la fecha no está entre el 25 y 29 de Enero de 2002, el gusano se copia por sí mismo a C:\Recycled como F-[número aleatorio]-[número aleatorio]-[número aleatorio] sin ninguna extensión.

  • Si la fecha está entre el 25 y 29 de Enero de 2002, el virus se copia por sí mismo en C:\regctrl.exe y coloca el archivo MSSTASK.EXE en la carpeta de INICIO. MSSTASK.EXE es un troyano BackDoor. Después de que el archivo inicial es ejecutado, es borrado. Si el nombre del archivo ejecutable es ACCESS, el usuario es dirigido hacia el sitio web www.disney.com.

El virus solo intenta propagarse de manera masiva por sí mismo en las fechas 25, 26, 27, 28 o 29 de Enero de 2002. El servidor SMTP por default del usuario actual es recobrado de la siguiente clave de registro:

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001
El virus utiliza su servidor FTP para enviarse por sí mismo a todas las direcciones en la Libreta de Direcciones de Windows y direcciones encontradas dentro de los archivos .DBX.

Alias

  • I-Worm.Myparty (AVP)
  • MyParty (F-Secure)
  • W32.Myparty@mm (NAV)
  • W32/MyParty-A (Sophos)
  • W32/Myparty@MM
  • W32/Myparty@MM (Panda)
  • Win32.MyParty (CA)
  • Win32.MyParty.A (AVX)
  • WORM_MYPARTY.A (Trend)
Síntomas

  • Presencia de C:\RECYCLED\REGCTRL.EXE (visible desde el prompt de DOS, no desde dentro de Windows).
  • Presencia de C:\REGCTRL.EXE.
  • Presencia de %userprofile%\Start Menu\Programs\Startup\msstask.exe.
IMPACTO

W32/Myparty puede causar que el navegador de web establecido por default lo ejecute inesperadamente. Asimismo, la víctima y los sitios atacados pueden experimentar un incremento de carga en el servidor de correo cuando el código malicioso se está propagando.


SOLUCIONES

Ejecutar y Actualizar su Software Antivirus

Es importante que los usuarios mantengan actualizado su software antivirus. La mayoría de los vendedores antivirus han liberado información de actualización, herramientas o bases de datos de virus para ayudar a detectar y eliminar el gusano W32/Myparty.

Aladdin Knowledge Systems

Central Command, Inc.

Command Software Systems

Computer Associates

F-Secure Corp

McAfee

Norman Data Defense Systems

Panda Software

Proland Software

Sophos

Symantec

Trend Micro

Tomar Precauciones Cuando se Abran Attachments

Se deben tomar precauciones cuando se reciben correos con attachments. Los usuarios deben ser cuidadosos cuando se reciban correos con attachments de un origen poco confiable. Los usuarios deben escanear los archivos recibidos a través de correos electrónicos con un producto antivirus.


Filtrar el correo electrónico o utilizar un firewall

Los sitios pueden utilizar técnicas de filtrado para borrar mensajes que contienen temas conocidos que por lo regular transportan código malicioso ó para filtrar todos los attachments.

En los últimos días el UNAM-CERT ha recibido una serie de reportes de ataques de ingeniería social a usuarios de los servicios Internet Relay Chat (IRC) e Instant Messanging (IM). Los intrusos engañan a los usuarios para que descarguen y ejecuten software malicioso, lo cual permite a los intrusos utilizar los sistemas como plataformas de lanzamiento de ataques DDoS (Distributed Denial of Service).

El Equipo de Respuesta a Incidentes UNAM-CERT indica que cientos de miles de sistemas han sido recientemente comprometidos de esta manera.



DESCRIPCIÓN

Reportes recibidos por el CERT/UNAM-CERT indican que los intrusos están utilizando herramientas automatizadas para enviar mensajes a usuarios ingenuos de los servicios de IRC o IM. Estos mensajes típicamente ofrecen la oportunidad de descargar software de algún valor para los usuarios, incluyendo mejoras de software de música, protección antivirus, o pornografía. Una vez que los usuarios descargan y ejecutan el software, su sistema es utilizado por un intruso como un agente en un ataque DDoS. Otros reportes indican que Caballos Troyanos y programas backdoors están siendo propagados por medio de técnicas similares.

A continuación se muestra un ejemplo de lo mencionado anteriormente:

You are infected with a virus that lets hackers get into your machine and read ur files, etc. I suggest you to download [malicious url] and clean ur infected machine. Otherwise you will be banned from [IRC network].

Esto es puramente, un ataque de ingeniería social debido a que la decisión del usuario de descargar y ejecutar el software es el factor decisivo para un ataque fallido o satisfactorio. Aunque esta actividad no es novedosa, la técnica es aún efectiva, como evidencia se tienen los reportes de cientos de miles de sistemas que han comprometidos de esta manera. Consulte IN-2000-08: Clientes de Chat y Seguridad en Red (www.cert.org).


IMPACTO

Al igual que cualquier instalación de herramienta DDoS, el impacto es doble. Primero, en los sistemas que son comprometidos por usuario ejecutando software no confiable, los intrusos podrían:

  • Ejercer un control remoto
  • Exponer datos confidenciales
  • Instalar otro software malicioso
  • Cambiar archivos
  • Borrar archivos
El riesgo no está limitado a la instalación de agentes DDoS. De hecho, cada vez que los usuarios ejecuten software no confiable estos peligros estarán presentes.

El segundo impacto es para los sitios que son atacados por los agentes DDoS. Los sitios que sufren un ataque DDoS podrían experimentar usualmente volúmenes de tráfico pesados o rangos de paquetes altos, resultando en una degradación de servicios o perdida de conectividad total.

 


SOLUCIONES

Usuarios Caseros

Ejecutar y Mantener Actualizado un Producto Antivirus

El código malicioso que esta siendo distribuido en estos ataques esta bajo continuo desarrollo por los intrusos, pero la mayoría de los vendedores de software antivirus liberan frecuentemente información de actualización, herramientas, o bases de datos de virus para ayudar a detectar y recuperarse de los códigos maliciosos envueltos en esta actividad. De esta manera, es importante que los usuarios mantengan su software antivirus actualizado. El CERT/UNAM-CERT mantiene una lista parcial de vendedores antivirus en:

http://www.cert.org/other_sources/viruses.html#VI

Muchos paquetes antivirus soportan actualización automática de definiciones de virus. El CERT/UNAM-CERT recomiendan utilizar estas actualizaciones automáticas cuando estén disponibles.

No Ejecutar Programas de Origen Desconocido

Nunca descargue, instale, o ejecute un programa al menos que sea autorizado por una persona o compañía en la que se confía. Los usuarios de los servicios IRC e IM deberían ser particularmente precavidos al seguir ligas o ejecutar software que les son enviados por otros usuarios, debido a que esto es un método comúnmente utilizado entre los intrusos intentando construir redes de agentes DDoS.

Entendiendo los Riesgos

Se aconseja a los usuarios revisar el tip de seguridad "Home Network Security", el cual proporciona una visión general de los riesgos y estrategias de mitigación para los usuarios caseros.

http://www.cert.org/tech_tips/home_networks.html

Sitios

Se aconseja a los administradores de sitios revisar el reporte sobre amenazas de tecnologías de negación de servicio, también seguir las recomendaciones para manejar la amenaza de los ataques de negación de servicio.

Trends in Denial of Service Attack Technology

http://www.cert.org/archive/pdf/DoS_trends.pdf

 

Managing the Threat of Denial-of-Service Attacks

http://www.cert.org/archive/pdf/Managing_DoS.pdf

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

En los últimos días se han reportado diversos indicios que indican actividad de que el código malicioso de autopropagación Code Red y sus variantes está atacando los sistemas de la red UNAM, del dominio .mx y la red mundial.

El UNAM-CERT informa que éste gusano realiza un exploit a Sistemas habilitados con IIS susceptibles a la vulnerabilidad descrita en el Boletín de Seguridad UNAM-CERT 2001-014 "Buffer Overflow en los Servicios de Indexado DLL de IIS". El gusano realiza la alteración del sitio web con una de sus variantes, además de que los sistemas infectados pueden experimentar degradación en su funcionamiento como consecuencia de la actividad de escaneo de este gusano.


DESCRIPCIÓN

El gusano Code Red afecta los sistemas que ejecutan Microsoft Index Server 2.0 ó Windows 2000 Indexing service. El gusano utiliza un conocido buffer overflow contenido en IDQ.DLL.

El gusano solo compromete sistemas que ejecutan IIS 4.0 e IIS 5.0 en los sistemas operativos Windows NT y Windows 2000.

El gusano envía su código como un requerimiento HTTP. El requerimiento HTTP realiza un exploit de una vulnerabilidad de buffer overflow conocida, la cual permite que el gusano se ejecute en el sistema víctima. El código malicioso no se guarda como un archivo, pero es insertado dentro del sistema y se ejecuta directamente desde la memoria.

Una vez que se ejecuta, el gusano verifica el archivo C:\Notworm. Si este archivo existe, el gusano no se ejecuta y el gusano entra en un estado infinito de inactividad.

Si el archivo C:\Notworm no existe, entonces nuevas copias del gusano son creadas. Si la fecha esta antes del día 20 del mes, las próximas 99 copias del gusano intentan realizar un exploit de más sistemas atacando direcciones IP aleatorias.

Si el idioma por default es el Inglés, las copias del gusano pueden causar alteración en las páginas web del sistema. Primero, el gusano duerme dos horas y después lanza una función, la cual responde a un requerimiento HTTP. En lugar de retornar la página web correcta, el gusano retorna su propio código html.

El código HTML que despliega es el siguiente:

Welcome to http:// www.worm.com !
Hacked By Chinese!


Esta función dura por 10 horas y después es removida. Sin embargo, la reinfección u otras copias pueden activar de nuevo la función.

Dos versiones de este gusano han sido vistas en la Internet. La segunda versión no causa alteración en las páginas web.

También, si la fecha está entre el día 20 y 28 del mes, las copias del gusano intentan un ataque de negación de servicio a una dirección IP particular enviando grandes cantidades de datos (basura) al puerto 80 (servicio de Web) de 198.137.240.91, la cual es la dirección web de la "Casa Blanca", www.whitehouse.gov. Esta dirección IP ha sido cambiada y ya no está activa.

Finalmente, si la fecha es después del día 28 del mes, el gusano no se ejecuta, pero se encuentra en un ciclo de descanso. La creación de múltiples copias puede causar inestabilidad en el sistema.


IMPACTO

Durante los últimos meses se ha observado un incremento en el escaneo a los diversos servidores dentro del dominio unam.mx, este escaneo es atribuido a la presencia del gusano Code Red en sus dos variantes, que explotan la vulnerabilidad en IIS de Microsoft Windows 2000 y NT.

El UNAM-CERT aconseja a los administradores reportar las máquinas que presenten problemas relacionados con este gusano, envía tu reporte al UNAM-CERT a escaneos@seguridad.unam.mx, con la siguiente información:

Subjet: Code Red

Contenido:
[Dirección IP] - - [22/Aug/2001:21:25:25 -0600] "GET /default.ida?XXX%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078 HTTP/1.0" 404 822


Importante: El formato del registro mostrado arriba, puede variar dependiendo del sistema.


SOLUCIONES

Microsoft ha liberado un parche para solucionar esta vulnerabilidad en su sitio web, localizado en:

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

Se aconsjea a los administradores de sistemas aplicar el parche de Microsoft para prevenir la infección de este gusano y otros accesos no autorizados.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



tulancingocommx@yahoo.com