UNAM-CERT
Departamento de Seguridad en Cómputo
DGSCA-UNAM
nota de Seguridad UNAM-CERT 2004-001
Propagación del Virus w32/Novarg.A
En las ultimas Horas CERT/UNAM-CERT ha recibido reportes de diversos usuarios así como foros y listas de discusión acerca de un nuevo virus que se propaga por correo electrónico conocido como W32/Novarg.A, W32/Shimg, o W32/Mydoom el cual se conoce abre una puerta trasera en el equipo comprometido y tentativamente lanzara un ataque de negación de servicio contra un sitio web en un futuro cercano en determinados tiempos.
Fecha de Liberación: 09 de Marzo de 2004
Ultima Revisión: 12 de Agosto de 2004
Fuente:
Sistemas Afectados
Microsoft Windows
Todas las versiones
Descripción
El virus W32/Novarg.A intenta hacer lo siguiente:
Modificar varios valores de registro Windows para que asi el virus corra cada vez que el equipo inicie.
Abre puertos TCP que escuchan en el rango del 3127-3198, dando capacidades de acceso remoto.
Instala una copia de el mismo en la carpeta C:\Program Files\KaZaA\My Shared Folder\, que va estar disponible para
los usuarios de KaZaA.
El virus proviene de un mensaje de correo electrónico con un archivo adjunto de 22,528-bytes que tiene un nombre de archivo
aleatorio con la extensión .cmd, .pif, .scr, .exe, o .bat. El archivo adjunto puede también venir como un archivo ZIP.
Algunos mensajes conteniendo el virus pueden tener las siguientes características:
Subject: <random> From: <spoofed> To: <email address>
Body:
(The body has been reported to contain one of the following three messages.)
"The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment."
"The message contains Unicode characters and has been sent as a binary attachment."
"Mail transaction failed. Partial message is available."
Ataque de Negación de Servicio
De acuerdo con TrendMicro el virus comenzará un ataque DoS (Denial of Service) contra el sitio Web www.sco.com.
El ataque DDoS es lanzado si la fecha del sistema es mayor o igual al 1 de Febrero de 2004. Durante el ataque
DoS el gusano crea 64 hilos que continúan haciendo requerimientos a la página principal de www.sco.com.
El gusano continúa su ataque DoS hasta el 12 de Febrero de 2004. Esto
es cuando el gusano detiene su funcionalidad. Esto detiene la
realización de cualquiera de sus rutinas, excepto el descargar y
ejecutar su componente DDL de puerta trasera.
Distribuidores de Anti-virus han desarrollado firmas para W32/Novarg.A:
Soluciones
Además de los pasos ya mencionados en las líneas anteriores, el CERT/UNAM-CERT invita a los
usuarios caseros a revisar los documentos (Home Network Security) "Seguridad en Redes
Caseras" y " (Home Computer Security) "Seguridad en Redes de Computadoras Personales".
Función y mantenimiento de los productos Anti -virus
Mientras que la actualización del software antivirus no proteja contra cualquier
código arbitrario, y dado que los usuarios siguen siendo la primera línea de ataque
para la ejecución de código mailicioso, es conveniente que los usuario consulten el documento
nota-UNAM-CERT-2003-001, para mantenerse
mejor informados en lo que se refiere a versiones de software y aspectos de seguridad.
La mayoría de los distribuidores del software del antivirus lanzan la información con
frecuencia puesta al día, las herramientas, o las bases de datos del virus para
ayudar a detectar y a recuperarse de un ataque o ejecución de algún código malicioso,
incluyendo W32/Novarg.A. Por lo tanto, es importante que los usuarios mantengan actualizado su
software del antivirus. El CERT/UNAM-CERT mantiene una lista parcial de los distribuidores de antivirus que existen.
Mucho software antivirus se apoya en las actualizaciones automáticas de las definiciones de virus.
El CERT/UNAM-CERT recomienda utilizar estas actualizaciones automáticas cuando estén disponibles.
No se ejecuten programas de origen desconocido
cuando se realiza una descarga o transferencia, nunca se instala ni funciona un programa automáticamente
a menos que una persona lo habilite. Los usuarios deben ser cuidadosos en su email de los que permiten, descargan,
o aceptan, mientras que los usuarios del Internet Relay Chat (IRC), de la mensajería inmediata (IM), y de
archivo-compartir servicios deben ser particularmente cuidadosos con sus conexiones o formas
de contacto, ya que estas personas son comúnmente utilizados para llevar acabo ataques
o intrusiones a los sistemas, como es el caso de de un ataque DDOS (Distributed denial of service).
Tráfico de la red del filtro
Los informes recibidos por el CERT/UNAM-CERT indican que el virus escucha los puertos TCP del
rango 3127 al 3198. Los sitios deben considerar el bloqueo de tráfico de entrada
y de salida a estos puertos, dependiendo de los requerimientos de la red, a nivel de
servidor y de red.
Si el acceso no se puede bloquear para todos los servidores externos, el CERT/UNAM-CERT
recomienda limitar del acceso solamente a aquellos servidores que lo requieran para su
operación normal. Como regla general, el CERT/UNAM-CERT recomienda el filtrar
todos los tipos de tráfico de la red que no se requieran para operar normalmente.
Recuperación de un sistema comprometido
Si usted cree que un sistema bajo su administración se ha comprometido, sigua por favor los pasos listados a continuación
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
E-Mail : seguridad@seguridad.unam.mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
Aviso legal | Criditos
