Acerca de la SSI Contáctanos Manual para identificar y notificar phishing scam
Computer Emergency Response Team

UNAM-CERT

Equipo de Respuesta a Incidentes de Seguridad Informática

1 2 3 4
Departamento de Seguridad en Computo
  Notas de Seguridad
bolpdf bol
UNAM-CERT nota-2004-002
nota de Seguridad/UNAM-CERT
UNAM-CERT
Departamento de Seguridad en Cómputo
DGSCA-UNAM
nota de Seguridad UNAM-CERT 2004-002
Variante B del Virus W32/Novarg ó MyDoom

En las últimas horas el CERT/UNAM-CERT ha recibido reportes de diversos usuarios así como foros y listas de discusión acerca de un nueva variante del virus conocido como W32/Novarg o W32/MyDoom que se describe en la Nota de Seguridad

Fecha de Liberación: 09 de Marzo de 2004
Ultima Revisión: 12 de Agosto de 2004
Fuente:

Sistemas Afectados

  • Microsoft Windows
    		• 2000
  • Microsoft Windows
    		• XP
  • Microsoft Windows
    		• Server 2003
  • Microsoft Windows
    		• NT
  • Microsoft Windows
    		• 95
  • Microsoft Windows
    		• Me
  • Microsoft Windows
    		• 98
    Descripción

    Esta nueva variante posee las siguientes características:

    • Contiene su propio motor SMTP para construir mensajes de correo
    • Contiene una rutina de propagación punto a punto.
    • Contiene una carga maliciosa de Negación de Servicio
    • Sobrescribe el archivo de servidores locales en la máquina víctima

    Descripción del Correo Electrónico

    El correo electrónico tiene las siguientes características:

    De: Puede ser una dirección electrónica falsa o falsificada

    Asunto:
    (uno de los siguientes)
    • Returned mail
    • Deliver Error
    • Status
    • Server ReportInforme del Servidor
    • Mail Transaction Failed
    • Mail Delivery SystemServer Report
    • hello
    • hi
    Mensaje:
    (uno de los siguientes)
    • sendmail daemon reported
    • Error #804 occured during SMTP session. Partial message has been received.
    • Mail transaction failed. Partial message is available.
    • The message contains Unicode characters and has been sent as a binary attachment.
    • The message contains MIME-encoded graphics and has been sent as a binary attachment.
    • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment .
    Archivo Adjunto:
    (uno de los siguientes)
    • doc.bat
    • document.zip
    • message.zip
    • readme.zip
    • text.pif
    • hello.cmd
    • body.scr
    • test.htm.pif
    • data.txt.exe
    • file.scr

    Además:

    El archivo adjunto puede que tenga dos sufijos. De ser así el primero, puede ser uno de los siguientes:
  • .txt
  • .htm
  • .doc
    • La terminación será cualquiera de las siguientes:
  • .pif
  • .scr
  • .exe
  • .cmd
  • .bat
  • .zip (En un archivo .zip se encontrará una copia del gusano el cual tendrá el mismo nombre que el archivo .zip. Por ejemplo readme.zip contendrá readme.pif)
    • En caso de que el gusano tenga extensión .exe o .scr, el archivo tendrá un icono parecido a un icono de un documento de texto de Windows En caso contrario, el icono corresponderá al tipo de archivo con el que se muestre.

    Cuando este archivo es ejecutado:
    1. Crea los siguientes archivos:
      • %System%\ctfmoni.dll. Actúa como un servidor proxy. Este DLL actúa como un servidor proxy. La puerta trasera también tiene la habilidad para descargar y ejecutar archivos. Hace uso de los puertos TCP 80, 1080, 3128, 8080 y 10080.
      • %Temp%\Message. Este archivo contiene letras y es mostrado utilizando el Bloc de Notas.
      • %System%\Explorer.exe


      IMPORTANTE:
      • Explorer.exe es un archivo real de Windows 95/98/Me, pero se encuentra en la carpeta %Windir% y no en la carpeta %System%. (En forma predeterminada es C:\Windows o C:\Winnt) No elimine el archivo legítimo que está en la carpeta %Windir%.
      • %System%\ es una variable. El gusano busca la carpeta System y se copia por si mismo en esa ubicación. En forma predeterminada es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
      • %Temp% es una variable. El gusano busca la carpeta de archivos temporales y se copia por si mismo en esa ubicación. En forma predeterminada es C:\Windows\TEMP (Windows 95/98/Me), o C:\WINNT\Temp (Windows NT/2000), o C:\Document and Settings\\Local Settings\Temp (Windows XP).


    2. Termina el proceso taskmon.exe si se esta ejecutando.

    3. Agrega el valor:

      "(Default)" = "%System%\ctfmon.dll"

      a la clave de registro:

      HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

      Para que Explorer.exe cargue Cftmon.dll.

    4. Agrega el valor:

      "Explorer" = "%System%\Explorer.exe"

      a las llaves de registro:

      HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

      Para que Explorer.exe se ejecute cuando inicie Windows.


    Redirección para Prevenir el Acceso

    El gusano sobrescribe el archivo host local para prevenir que las computadoras infectadas accedan a sitios especificos:

    • ad.doubleclick.net
    • ad.fastclick.net
    • ads.fastclick.net
    • ar.atwola.com
    • atdmt.com
    • avp.ch
    • avp.com
    • avp.ru
    • awaps.net
    • banner.fastclick.net
    • banners.fastclick.net
    • ca.com
    • click.atdmt.com
    • clicks.atdmt.com
    • dispatch.mcafee.com
    • download.mcafee.com
    • download.microsoft.com
    • downloads.microsoft.com
    • engine.awaps.net
    • fastclick.net
    • f-secure.com
    • ftp.f-secure.com
    • ftp.sophos.com
    • go.microsoft.com
    • liveupdate.symantec.com
    • mast.mcafee.com
    • mcafee.com
    • media.fastclick.net
    • msdn.microsoft.com
    • my-etrust.com
    • nai.com
    • networkassociates.com
    • office.microsoft.com
    • phx.corporate-ir.net
    • secure.nai.com
    • securityresponse.symantec.com
    • service1.symantec.com
    • sophos.com
    • spd.atdmt.com
    • support.microsoft.com
    • symantec.com
    • update.symantec.com
    • updates.symantec.com
    • us.mcafee.com
    • vil.nai.com
    • viruslist.ru
    • windowsupdate.microsoft.com
    • www.avp.ch
    • www.avp.com
    • www.avp.ru
    • www.awaps.net
    • www.ca.com
    • www.fastclick.net
    • www.f-secure.com
    • www.kaspersky.ru
    • www.mcafee.com
    • www.microsoft.com
    • www.my-etrust.com
    • www.nai.com
    • www.networkassociates.com
    • www.sophos.com
    • www.symantec.com
    • www.trendmicro.com
    • www.viruslist.ru
    • www3.ca.com
    Propagación Punto a Punto
    El virus se copia a sí mismo al directorio compartido KaZaa con los siguientes nombres de archivo:
    • xsharez_scanner
    • BlackIce_Firewall_Enterpriseactivation_crack
    • zapSetup_95_693
    • MS59-56_hotfix
    • winamp0
    • NessusScan_pro
    • attackXP-6.71


    con una de las siguientes extensiones de archivo:
    • .pif
    • .scr
    • .bat
    • .exe

    Ataque DoS
    El virus intenta realizar un ataque DoS contra www.microsoft.com y www.sco.com.
    • Existe un 70% de probabilidad de que el gusano intente realizar el ataque DoS contra www.microsoft.com si la fecha de activación es el 3 de Febrero de 2004.
    • Existe un 80% de probabilidad de que el gusano intente realizar el ataque DoS contra www.sco.com si la fecha de activación es el 1 de Febrero de 2004.
    El DoS contra ambos sitios consiste en enviar requerimientos GET al dominio en cuestión utilizando una conexión directa al puerto 80. La fecha es tomada utilizando la hora del sistema local.
    Componente de Acceso Remoto
    El virus abre una conexión en los siguientes puertos:
    • 1080 (si falla continúa con los siguientes)
    • 3128
    • 80
    • 8080
    • 10080
    Soluciones
    Habilitar un firewall personal

    Un firewall personal no protegerá necesariamente su sistema contra un virus distribuido por correo electrónico, pero un firewall personal correctamente configurado puede evitar que el virus descargue componentes o lance ataques adicionales contra otros sistemas. Desafortunadamente, una vez en un sistema, el virus puede ser capaz de inhabilitar un firewall, eliminando así la protección de su software.

    Muchos firewall personales están disponibles en versiones gratuitas o de prueba.

    Algunos distribuidores de firewalls personales son los siguientes:


    Ejecutar y Actualizar un Software Antivirus

    Aunque la actualización de un producto antivirus no protege contra todos los códigos maliciosos, para la mayoría de los usuarios esto parece ser la primera línea de defensa contra ataques de código malicioso.

    La mayoría de los distribuidores de software antivirus publican frecuentemente información actualizada, herramientas, o bases de datos del virus para ayudar a detectar y a recuperarse de código malicioso. Por lo tanto, es importante que los usuarios mantengan su software antivirus actualizado.

    Algunos de los distribuidores antivirus en el mercado son:


    Herramientas de limpieza automática:

    Descargue y ejecute cualquiera de estas herramientas en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.



    El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en la elaboración, revisión y traducción de éste boletín a:
    UNAM-CERT
    Equipo de Respuesta a Incidentes UNAM
    Departamento de Seguridad en Computo
    E-Mail : seguridad@seguridad.unam.mx
    http://www.unam-cert.unam.mx
    http://www.seguridad.unam.mx
    ftp://ftp.seguridad.unam.mx
    Tel : 56 22 81 69
    Fax : 56 22 80 43

    Login:

    Password:





      Acerca pacerca
     
      Contactanos pcontacto
     
      Staff pstaff
     
      FTP pftp
     

    Universidad Nacional Autonoma de M.xico 100 aqos UNAM Direccisn General de Servicios de Csmputo Acad.imico EQA ISO 27001 Aviso legal | Criditos
    Copyright © Todos los derechos reservados
    UNAM - CERT / DGSCA