UNAM-CERT
Departamento de Seguridad en Cómputo
DGSCA-UNAM
nota de Seguridad UNAM-CERT 2004-004
Propagación del Virus W32.Beagle.Q y Variantes
En las últimas horas el CERT/UNAM-CERT ha recibido reportes de nuevo gusano que se propaga de forma masiva a través del correo electrónico. Este gusano conocido como Beagle.Q, explota una vulnerabilidad reciente en el motor de Microsoft Internet Explorer lo cual causa una infección sin la intervención del usuario y sin incluir el ejecutable del virus en el mensaje de correo electrónico.
Fecha de Liberación: 30 de Marzo de 2004
Ultima Revisión: 12 de Agosto de 2004
Fuente:
Sistemas Afectados
Microsoft Windows
2000
Microsoft Windows
XP
Microsoft Windows
Server 2003
Microsoft Windows
NT
Microsoft Windows
95
Microsoft Windows
Me
Microsoft Windows
98
Descripción
Beagle.Q conocido también como
W32.Bagle.Q [Computer Associates],
Bagle.Q [F-Secure], W32/Bagle.q@MM [McAfee],
W32/Bagle.Q [Panda], W32/Bagle-Q [Sophos],
PE_Bagle.Q [Trend], W32.Beagle.O@mm [Symantec]
por los distintos distribuidores antivirus.
El gusano utiliza su propio motor SMTP para enviarse
por sí mismo a las direcciones de correo encontradas
en el sistema. El gusano contiene su propia
rutina de codificación MIME y creará el
correo en memoria.
El correo tiene las siguientes características:
Campo From - Puede ser uno de los siguientes:
management@<dominio del destinatario>
administration@<dominio del destinatario>
staff@<dominio del destinatario>
antivirus@<dominio del destinatario>
antispam@<dominio del destinatario>
noreply@<dominio del destinatario>
support@<dominio del destinatario>
Campo Subject - Puede ser uno de los siguientes:
Account notify
E-mail account disabling warning.
E-mail account security warning.
E-mail technical support message.
E-mail technical support warning.
E-mail warning
Email account utilization warning.
Email report
Encrypted document
Fax Message Received
Forum notify
Hidden message
Important notify
Important notify about your e-mail account.
Incoming message
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Notify from e-mail technical support.
Protected message
RE: Protected message
RE: Text message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Request response
Site changes
Warning about your e-mail account
Mensaje
Un correo con el virus Beagle.Q
tendrá la siguiente apariencia en el cuerpo del
mensaje:
Utilizando las aplicaciones de correo electrónico
vulnerable como por ejemplo Microsoft
Outlook and Microsoft Outlook Express, el virus/gusano
es descargado vía HTTP desde la dirección IP del
campo DATA del mensaje HTML.
Cabe señalar que el cuerpo del correo es un mensaje en blanco,
pero contendrá código HTML semejante al antes mencionado,
y descargará y ejecutará automáticamente el gusano
utilizando la Vulnerabilidad en nternet Explorer
descrita en el Boletin de Seguridad de Microsoft
MS03-032.
El código intentará descargar el gusano de sistemas infectados
(direcciones IP).
El gusano inicia un servidor Web en el puerto 81 TCP.
Actua como servidor cuando recibe un requerimiento GET
particular. El gusano envia una página Web .hta
conteniendo un script en VBScript el cual
descarga el ejecutable y ejecuta un archivo
llamado sm.exe. El método toma ventaja de
la vulnerabilidad en Internet Explorer anteriormente
mencionada.
Note: Use password <image of password> to open archive.
Attached file is protected with the password for security reasons. Password is <image of password>
In order to read the attach you have to use the following password: <image of password>
Archive password: <image of password>
Password - <image of password>
Password: <image of password>
Los "password" es un número aleatorio de
5 dígitos que el gusano utiliza para cifrar el archivo .zip o .rar adjunto.
El "dominio" es la parte del nombre de dominio de la dirección de correo.
Archivo Adjunto - Puede ser uno de los siguientes nombre con extensión .zip, .pif ó .rar.
Attach
Details
Document
Encrypted
Gift
Info
Information
Message
MoreInfo
Readme
Text
TextDocument
details
first_part
pub_document
text_document
Si el archivo adjunto es un archivo .zip o .rar, contendrá
un archivo con un nombre aleatorio y con extenesión .exe,
el cual es protegido con una contraseña indicada en el correo.
El ejecutable del gusano tendrá el siguien ícono si es un
archivo .exe.
-->
El gusano no enviará mensajes a las direcciones conteniendo
cualquiera de las siguientes cadenas:
@avp.
@foo
@hotmail.com
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
winrar
winzip
Variantes del Gusano
La versión W32.Beagle.R (Beagle.S y Beagle.T) busca acceder
a los sistemas por el puerto 81, a diferencia de su antecesesor W32.Beagle.Q
quien lo hace a través del puerto 2556, además, la versión R intenta acceder o
infectar a los equipos mediante la búsqueda por IP’s de manera aleatoria y la versión
Q lo hace utilizando una dispersión mediante el envío de correos electrónicos con
ciertas características como su anterior versión W32.Beagle.K.
De igual forma la versión R busca todos los archivos ejecutables
en el directorio c:\emails tratándolos de infectar.
Detalles Técnicos
Cuando se ejecuta Beagle.Q y el año del reloj del sistema
es 2006 o posterior, el gusano intentará hacer los siguiente:
Si el valor esta presente, para que Beagle.Q no reinicie cuando
se inicie Windows.
Detiene su proceso.
Beagle.Q se copia a sí mismo en los siguientes archivos:
%System%\directs.exe
%System%\directs.exeopen
%System%\directs.exeopenopen (Cualquier copia del gusano o un
archivo .zip o .rar protedigo con contraseña que contiene el gusano.)
%System%\directs.exeopenopenopen (Un archivo .bmp conteniendo una imangen de la contraseña para el archivo .zip o .rar.
Nota: %System% es una variable.
El gusano localiza el directorio de Sistema
y se copia por sí mismo a esta localidad.
De forma predeterminada, esto es C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), o
C:\Windows\System32 (Windows XP).
Si un intruso envía un mensaje de datos
formateado especialmente al puerto, el gusano permitirá
que un archivo arbitrario sea descargado
en el directorio %windir%.
Este archivo será guardado como
%Windir%\iuplda<x>.exe, donde <x> es una cadena aleatoria de caracteres.
Intenta propagarse a través de redes de
compartición de archivos, como Kazaa e iMesh,
W32.Beagle.K se copia a sí mismo a los directorios
que contienen la cadena "shar" en sus nombres.
El gusano utiliza los nombres de archivos de la siguiente lista:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno Screensaver.scr
Porno pics arhive, xxx.exe
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Busca en las unidades locales e intenta infectar archivos .exe.
La rutina de infección es polimórfica e agrega el gusano al archivo.
Escanea los archivos en las unidades locales
con las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
y colecciona cualquier dirección de correo electrónico que encuentra.
Soluciones
Aplicar una Actualización del Distribuidor
Se recomienda instalar la actualización de seguridad
que soluciona la vulnerabilidad que explota este gusano.
Ejecutar, administrar y actualizar un software antivirus
Aunque un paquete de software antivirus actualizado no
puede brindar protección contra todos los códigos maliciosos,
para la mayoría de los usuarios representa la primera
línea de defensa contra ataques de código malicioso.
La mayoría de los distribuidores antivirus liberan
frecuentemente información actualizada, herramientas,
o bases de datos de virus para ayudar a detectar
y recuperar un sistema que ha sido infectado mediante
un código malicioso, incluyendo Beagle.K.
De esta forma, es importante que los usuarios mantengan
su software antivirus actualizado.
Mucho software antivirus se apoya en las actualizaciones automáticas de las definiciones de virus.
El CERT/UNAM-CERT recomienda utilizar estas actualizaciones automáticas cuando estén disponibles.
No ejecutar programas de origen desconocido
Nunca descargue, instale o ejecute un programa a menos
que sepa que es autorizado por una persona o compañía
en la que se confía. Los usuarios de correo electrónico
deben estar concientes de archivos adjuntos inesperados,
mientras que los usuarios de Internet Relay Chat (IRC),
de la mensajería instantánea (IM), y de
servicios de compartición de archivos deben
ser muy cuidadosos al dar clic en vínculos o links
desconocidos o al ejecutar software enviado por
otros usuarios debido a que son los métodos más
utilizados entre los intrusos para intentar
crear redes de agentes DDoS.
Eliminación Manual
Deshabilitar System Restore (Windows Me/XP).
Windows Me
Haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Panel de control.
Haga doble clic en Sistema. Se abrirá la ventana de Propiedades del sistema.
Nota: Si no es visible el ícono de Sistema haga clic en "Ver todas las opciones de Panel de control".
Haga clic en la pestaña Rendimiento y haga clic en el botón "Archivos de sistema". La ventana de Archivos de sistema se abrirá.
Haga clic en Sistema de archivos y, a continuación, haga clic en la pestaña Solución de problemas.
Marque la casílla de la opción Deshabilitar Restaurar sistema.
Haga clic en Aceptar y, por último, en Cerrar. Haga clic en Sí cuando se le pregunte si desea reiniciar Windows.
Windows XP
Haga clic en Inicio.
Haga clic con el botón secundario en el icono Mi PC y,
a continuación, haga clic en Propiedades.
Haga clic en la pestaña Restaurar sistema.
Marque la casílla Desactivar Restaurar sistema o la casílla
Desactivar Restaurar sistema en todas las unidades.
Haga clic en Aplicar y a continuación, en Aceptar.
Como verá en el mensaje, esta acción eliminará todos los puntos de
restauración existentes. Haga clic en Sí para llevar a cabo esta
acción.
Haga clic en Aceptar y reinice el sistema.
Actualizar las definiciones de Antivirus.
Independientemente del software antivirus que este utilizando, actualice
su base de datos de firmas antivirus para poder eliminar el virus Beagle.K.
Eliminar los valores que fueron agregados al registro y reiniciar el equipo.
En el panel de la derecha eliminar el siguiente valor:
"directs.exe"="%System%\directs.exe"
Salir del editor del registro.
Localizar y eliminar los archivos ejecutables
directs.exe, directs.exeopen, directs.exeopenopen o directs.exeopenopenopen del directorio
(en el caso de que existan):
C:\Windows\System (Win 95/98/ME)
C:\Winnt\System32 (Win NT/2000)
C:\Windows\System32 (Win XP)
Reiniciar el equipo.
Analizar el sistema mediante el software antivirus actualizado para eliminar
los archivos infectados.
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
E-Mail : seguridad@seguridad.unam.mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
Aviso legal | Criditos
