UNAM-CERT

En las ultimas horas el Departamento de Seguridad en Computo y el UNAM-CERT han recibido reportes de diversos dominios, usuarios y foros de discusión acerca de correos que se distribuyen de forma masíva en los segmentos pertenecientes a redes .mx en los cuales se invita a los usuarios desde una cuenta falsa a renovar las suscripción de correo de sitios considerados validos y aparentemente firmados por el equipo de la organización. En los análisis de dichos correos y de acuerdo a firmas de compañías de antivirus este correo es catalogado de acuerdo a sus funcionalidades como gusano (Por la forma de propagarse), así como Backdoor (Puerta Trasera, por lo que instala al ejecutarse). Recomendamos a los usuarios tomar las medidas de precaución al abrir mensajes de correo que cumplan con las características señaladas en esta nota de seguridad, así como las formas de erradicar dicho problema.

	Date: Wed, 03 Mar 2004 11:11:30 -0500
	To: unam-cert@seguridad.unam.mx
	Subject: Email account utilization warning.
	From: administration@unam.mx
	X-RAVMilter-Version: 8.3.3(snapshot 20020312) (ds5000.seguridad.unam.mx)
	X-Spam-Checker-Version: SpamAssassin 2.60 (1.212-2003-09-23-exp) on
	         ds5000.seguridad.unam.mx
	X-Spam-Status: No, hits=2.2 required=6.0 tests=DATE_IN_FUTURE_06_12,
        	 NO_REAL_NAME autolearn=no version=2.60
	X-Spam-Level: **

	Dear user, the management of Unam.mx  mailing system wants to let you
	now that,

	We warn you about some attacks on  your e-mail  account. Your computer  may
	contain viruses, in order to  keep your computer and  e-mail  account  safe,
	please, follow the  instructions.

	Please, read the  attach for further details.

	In order to  read  the attach  you  have  to use the following password:
	07515.

	Sincerely,
	    The Unam.mx team                            http://www.unam.mx
	

• Campo From - Puede ser uno de los siguientes:
  
  
  • management@
  • administration@
  • staff@
  • noreply@
  • support@
  
  
• Campo Subject - Puede ser uno de los siguientes:
  
  
  • E-mail account disabling warning.
  • E-mail account security warning.
  • Email account utilization warning.
  • Important notify about your e-mail account.
  • Notify about using the e-mail account.
  • Notify about your e-mail account utilization.
  • Warning about your e-mail account.
  
  
• Mensaje - Puede ser uno de los siguientes:
  
  
  • Dear user of ,
  • Dear user of gateway e-mail server,
  • Dear user of e-mail server "",
  • Hello user of e-mail server,
  • Dear user of "" mailing system,
  • Dear user, the management of mailing system wants to let you know that,
  
  
  Seguido por uno de los siguiente párrafos:
  
  
  • Your e-mail account has been temporary disabled because of unauthorized access.
  • Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
  • Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
  • We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
  • Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
  • Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.
  
  
  Seguido por una de las siguiente líneas:
  
  
  • For more information see the attached file.
  • Further details can be obtained from attached file.
  • Advanced details can be found in attached file.
  • For details see the attach.
  • For details see the attached file.
  • For further details see the attach.
  • Please, read the attach for further details.
  • Pay attention on attached file.
  
  
  Seguido por:
  
  
  • The team                                           http://www.
  
  
  Seguido por una de las siguiente líneas:
  
  
  • The Management,
  • Sincerely,
  • Best wishes,
  • Have a good day,
  • Cheers,
  • Kind regards,
  
  
  En el caso de que el archivo adjunto sea un archivo ZIP, el mensaje incluirá una de las siguientes líneas:
  
  
  • For security reasons attached file is password protected. The password is "".
  • For security purposes the attached file is password protected. Password is "".
  • Attached file protected with the password for security reasons. Password is .
  • In order to read the attach you have to use the following password: .
  
  
  Los "caracteres de la contraseña" es un número aleatorio de 5 dígitos que el gusano utiliza para cifrar el archivo .zip adjunto.
  
  El "dominio" es la parte del nombre de dominio de la dirección de correo.
  
  
  
• Archivo Adjunto - Puede ser uno de los siguientes nombre con extensión .zip ó .pif.
  
  
  • Attach
  • Information
  • Readme
  • Document
  • Info
  • TextDocument
  • TextFile
  • MoreInfo
  • Message
  
  El gusano no enviará mensajes a las direcciones conteniendo cualquiera de las siguientes cadenas:
  • @hotmail.com
  • @msn.com
  • @microsoft
  • @avp.
  • noreply
  • local
  • root@
  • postmaster@

1. Beagle.K se copia a sí mismo en los siguientes archivos:
   
   
   • %System%\winsys.exe
   • %System%\winsys.exeopen
   • %System%\winsys.exeopenopen
     
     Nota: %System% es una variable. El gusano localiza el directorio de Sistema y se copia por sí mismo a esta localidad. De forma predeterminada, esto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
     
     
2. Agrega el valor:
   
   "ssate.exe"="%System%\winsys.exe"
   
   a la llave del registro:
   
   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   para que W32.Beagle.K se ejecute cuando inicie Windows.
   
   
3. Abre una puerta trasera en el puerto 2745 TCP.
   
   Si un intruso envía un mensaje de datos formateado especialmente al puerto, el gusano permitirá que un archivo arbitrario sea descargado en el directorio %windir%. Este archivo será guardado como %Windir%\iuplda.exe, donde es una cadena aleatoria de caracteres.
   
   
4. Envía un requerimiento HTTP GET a los siguiente sitios Web en el puerto 80 TCP:
   
   • postertog.de
   • www.gfotxt.net
   • www.maiklibis.de
     
     El requerimieto GET envía el número de puerto en el cual la computadora infectada esta en escucha, así como la dirección IP.
     
     
5. Intenta finalizar los siguientes procesos, los cuales son responsables de actualizar las firmas de varios programas antivirus:
   
   • Atupdater.exe
   • Aupdate.exe
   • Autodown.exe
   • Autotrace.exe
   • Autoupdate.exe
   • Avltmain.exe
   • Avpupd.exe
   • Avwupd32.exe
   • Avxquar.exe
   • Cfiaudit.exe
   • Drwebupw.exe
   • Icssuppnt.exe
   • Icsupp95.exe
   • Luall.exe
   • Mcupdate.exe
   • Nupgrade.exe
   • Outpost.exe
   • Update.exe
     
     
6. Escanea los archivos en las unidades locales con las siguientes extensiones:
   
   • .wab
   • .txt
   • .msg
   • .htm
   • .xml
   • .dbx
   • .mdx
   • .eml
   • .nch
   • .mmf
   • .ods
   • .cfg
   • .asp
   • .php
   • .pl
   • .adb
   • .tbb
   • .sht
   • .uin
   • .cgi
     
     y colecciona cualquier dirección de correo electrónico que encuentra.
     
     
7. Para propagarse a través de redes de compartición de archivos, como Kazaa e iMesh, W32.Beagle.K se copia a sí mismo a los directorios que contienen la cadena "shar" en sus nombres. El gusano utiliza los nombres de archivos de la siguiente lista:
   
   • ACDSee 9.exe
   • Adobe Photoshop 9 full.exe
   • Ahead Nero 7.exe
   • Matrix 3 Revolution English Subtitles.exe
   • Microsoft Office 2003 Crack, Working!.exe
   • Microsoft Office XP working Crack, Keygen.exe
   • Microsoft Windows XP, WinXP Crack, working Keygen.exe
   • Opera 8 New!.exe
   • Porno pics arhive, xxx.exe
   • Porno Screensaver.scr
   • Porno, sex, oral, anal cool, awesome!!.exe
   • Serials.txt.exe
   • WinAmp 5 Pro Keygen Crack Update.exe
   • WinAmp 6 New!.exe
   • Windown Longhorn Beta Leak.exe
   • Windows Sourcecode update.doc.exe
   • XXX hardcore images.exe
     
     

• Ejecutar, administrar y actualizar un software antivirus
  
  Aunque un paquete de software antivirus actualizado no puede brindar protección contra todos los códigos maliciosos, para la mayoría de los usuarios representa la primera línea de defensa contra ataques de código malicioso.
  
  La mayoría de los distribuidores antivirus liberan frecuentemente información actualizada, herramientas, o bases de datos de virus para ayudar a detectar y recuperar un sistema que ha sido infectado mediante un código malicioso, incluyendo Beagle.K. De esta forma, es importante que los usuarios mantengan su software antivirus actualizado.
  
  Mucho software antivirus se apoya en las actualizaciones automáticas de las definiciones de virus. El CERT/UNAM-CERT recomienda utilizar estas actualizaciones automáticas cuando estén disponibles.
  
  
• No ejecutar programas de origen desconocido
  
  Nunca descargue, instale o ejecute un programa a menos que sepa que es autorizado por una persona o compañía en la que se confía. Los usuarios de correo electrónico deben estar concientes de archivos adjuntos inesperados, mientras que los usuarios de Internet Relay Chat (IRC), de la mensajería instantánea (IM), y de servicios de compartición de archivos deben ser muy cuidadosos al dar clic en vínculos o links desconocidos o al ejecutar software enviado por otros usuarios debido a que son los métodos más utilizados entre los intrusos para intentar crear redes de agentes DDoS.
  
  
• Eliminación Manual
  
  
  • Deshabilitar System Restore (Windows Me/XP).
    
    
    • Windows Me
      1. Haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Panel de control.
      2. Haga doble clic en Sistema. Se abrirá la ventana de Propiedades del sistema.
         Nota: Si no es visible el ícono de Sistema haga clic en "Ver todas las opciones de Panel de control".
      3. Haga clic en la pestaña Rendimiento y haga clic en el botón "Archivos de sistema". La ventana de Archivos de sistema se abrirá.
      4. Haga clic en Sistema de archivos y, a continuación, haga clic en la pestaña Solución de problemas.
      5. Marque la casílla de la opción Deshabilitar Restaurar sistema.
      6. Haga clic en Aceptar y, por último, en Cerrar. Haga clic en Sí cuando se le pregunte si desea reiniciar Windows.
      
      
    • Windows XP
      1. Haga clic en Inicio.
      2. Haga clic con el botón secundario en el icono Mi PC y, a continuación, haga clic en Propiedades.
      3. Haga clic en la pestaña Restaurar sistema.
      4. Marque la casílla Desactivar Restaurar sistema o la casílla Desactivar Restaurar sistema en todas las unidades.
      5. Haga clic en Aplicar y a continuación, en Aceptar.
      6. Como verá en el mensaje, esta acción eliminará todos los puntos de restauración existentes. Haga clic en Sí para llevar a cabo esta acción.
      7. Haga clic en Aceptar y reinice el sistema.
    
    
    
  • Actualizar las definiciones de Antivirus.
    
    Independientemente del software antivirus que este utilizando, actualice su base de datos de firmas antivirus para poder eliminar el virus Beagle.K.
    
    
  • Eliminar los valores que fueron agregados al registro y reiniciar el equipo.
    
    
    1. Dar clic en Inicio y después en Ejecuta.
    2. Escribir regedit y presionar Aceptar.
    3. Buscar la siguiente llave:

       HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    4. En el panel de la derecha eliminar el siguiente valor:

       "ssate.exe"="%System%\winsys.exe"

    5. Salir del editor del registro.
    6. Localizar y eliminar los archivos ejecutables winsys.exe, winsys.exeopen y winsys.exeopenopen del directorio (en el caso de que existan):
       
       
       • C:\Windows\System (Win 95/98/ME)
       • C:\Winnt\System32 (Win NT/2000)
       • C:\Windows\System32 (Win XP)
       
       
    7. Reiniciar el equipo.
    
    
    
  • Analizar el sistema mediante el software antivirus actualizado para eliminar los archivos infectados.
    
    

• Virus y Gusanos UNAM-CERT - http://www.unam-cert.unam.mx/gusanos/index.html
• F-Secure - http://www.f-secure.com/v-descs/bagle_k.shtml
• McAffe - http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=10107
• Panda Software - http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=45304&sind=0
• Sophos - http://www.sophos.com/virusinfo/analyses/w32baglek.html
• Symantec Corp. - http://www.symantec.com/avcenter/venc/data/w32.beagle.k@mm.html
• Trend Micro - http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.K
• Enciclopedia Virus - http://www.enciclopediavirus.com/virus/vervirus.php?id=757
• Compueter Associates - http://www3.ca.com/virusinfo/virus.aspx?ID=38480