[Biologia] Boletin UNAM-CERT 2004-02 "Propagacion de Virus y Gusanos
Atraves Correo Electronico"]
Mario Alfredo Fernández Araiza
mafa@servidor.unam.mx
Thu, 29 Jan 2004 00:06:11 -0600
--=====================_1726402==_
Content-Type: text/plain; charset="iso-8859-1"; format=flowed
Content-Transfer-Encoding: quoted-printable
Para los profesores que no estan en ACADEMIA.
Saludos
Mario
>Esta es una alerta muy importante sobre ataque de virus. Se ha estado
>propagando en las =FAltimas horas de manera muy importante. El ataque es
>tan severo en todo el mundo, que pr=E1cticametne UNO de cada veinte
>correos viene infectado. La manera de protegerse es sencilla, pero tiene
>que ser estricta. NO ABRIR mensajes de correo con archivos adjuntos, si
>no les ha avisado el destinatario que los env=EDa. Incluso si la direcci=F3=
n
>les es conocida. Se est=E1n tomando ya medidas en la red de Iztacala para
>limitarlo.
>Reenvio el reporte del incidente del sistema de seguridad en c=F3mputo de
>DGSCA. Es largo, pero conviene leerlo con atenci=F3n. Por favor, no
>reenviar este mensaje. se puede crear una "carta cadena" con =E9l.
>
>-----Mensaje reenviado-----
>From: UNAM-CERT <unam-cert@seguridad.unam.mx>
>To: UNAM-CERT <unam-cert@seguridad.unam.mx>
>Subject: [Gasu] Boletin UNAM-CERT 2004-02 "Propagacion de Virus y Gusanos=
=20
>Atraves Correo Electronico"
>Date: Tue, 27 Jan 2004 16:58:16 -0600
>
>-----BEGIN PGP SIGNED MESSAGE-----
>
> --------------------------------------------------------------------
> UNAM-CERT
>
> Departamento de Seguridad en Computo
>
> DGSCA- UNAM
>
> Bolet=EDn de Seguridad UNAM-CERT 2004-02
>
> Propagacion de Virus y Gusanos A traves de Correo Electronico
> ----------------------------------------------------------------------
>
> El CERT/UNAM-CERT, a trav=E9s de sus equipos de respuesta a
> incidentes de Seguridad en C=F3mputo, han emitido =E9ste bolet=EDn=
donde
> informan que en las semanas recientes se han liberado en Internet
> varios virus de correo masivo y que usan como medio de propagaci=F3n
> el correo electr=F3nico. Es importante que los usuarios comprendan los
> riesgos que representan estos c=F3digos maliciosos y los pasos
> necesarios para proteger sus sistemas de la infecci=F3n de un virus.
>
>
> Fecha de Liberaci=F3n: 27 de Enero de 2004
>
> Ultima Revisi=F3n: - - - - -
>
> Fuente: CERT/CC y diversos reportes de Equipos de
> Respuesta a Incidentes, as=ED como Foros y
> Listas de Discusi=F3n.
>
>
> SISTEMAS AFECTADOS
> =3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
>
> * Cualquier sistema ejecutando Microsoft Windows (todas las
> versiones desde Windows 95 y superiores) que sea utilizado
> para leer correo electr=F3nico o para acceder a servicios de
> compartici=F3n de archivos punto a punto.
>
>
>
> I. DESCRIPCI=D3N
> =3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
>
> Desde la semana pasada se han observado dos virus m=E1s de correo
> masivo y que usan como medio de propagaci=F3n el correo electr=F3nico,
> *W32/Bagle* y *W32/Novarg*, que impactan a un n=FAmero significativo
> de usuarios caseros y sitios. La tecnolog=EDa utilizada en estos virus
> no es significativamente diferente a los de virus de correo masivo
> anteriores como *W32/Sobig* y *W32/Mimail*. Se env=EDan mensajes de
> correo no solicitado con archivos adjuntos a destinatarios
> confiados. Estos mensajes pueden contener una direcci=F3n de retorno,
> un encabezado provocativo o alguna otra cosa que anime al
> destinatario a abrirlo. Esta t=E9cnica se llama ingenier=EDa social.=
La
> ingenier=EDa social es efectiva con frecuencia debido a que los
> usuarios com=FAnmente son confiados y curiosos. El impacto general de
> estos recientes virus que confian en la intervenci=F3n humana para
> difundirse, demuestra la efectividad de la ingenier=EDa social.
>
> Contin=FAa siendo importante asegurarse de que se utilice y actualice
> regularmente un software antivirus, que los archivos adjuntos se
> examinen en los servidores de correo y que los firewalls filtren
> puertos y protocolos innecesarios. Adem=E1s, tambi=E9n es necesario=
que
> se eduque a los usuarios sobre los peligros de abrir archivos
> adjuntos, particularmente los ejecutables.
>
> * Nota de Seguridad *UNAM-CERT 2004-01*
> </Notas/Notas2003/nota-UNAM-CERT-2004-01.html>
> ** Propagaci=F3n del Virus W32/Novarg.A **
>
> * Nota de Seguridad *UNAM-CERT 2003-007*
> </Notas/Notas2003/nota-UNAM-CERT-2003-007.html>
> ** Virus W32/Mimail **
>
> * UNAM-CERT: Virus y Gusanos
> *http://www.unam-cert.unam.mx/gusanos/index.html*
>
>
>
> II. IMPACTO
> =3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
>
> Estas consecuencias e impacto en los sitemas pueden incluir los
> siguientes puntos, sin embargo no est=E1n limitadas a alguna de ellas:
>
> * Informaci=F3n disponible* - Los virus de correo masivo
> t=EDpicamente toman las direcciones de correo electr=F3nico de=
la
> libreta de direcciones o archivos que se encuentran en un
> sistema infectado. Algunos virus tambi=E9n intentar=E1n enviar
> archivos de un equipo infectado a algun otra victima potencial
> o regresar al emisor del virus. Estos archivos pueden contener
> informaci=F3n importante.
> * Agregar/Modificar/Borrar archivos* - Una vez que el sistema
> ha sido comprometido, el virus potencialmente puede agregar,
> modificar o borrar archivos arbitrariamente en el sistema.
> Estos archivos pueden contener informaci=F3n personal o la
> requerida para la operaci=F3n del sistema.
> * *Afecta la estabilidad del sistema* - Los virus pueden
> consumir recursos causando significativamente que el sistema
> funcione lentamente o que resulte poco =FAtil.
> * Instalar una puerta trasera - Muchos virus instalan una puerta
> trasera en los sistemas afectados. Esta puerta trasera puede
> ser utilizada por un intruso remoto para tener acceso al
> sistema, o ver/agregar/modificar/borrar archivos en el
> sistema. Estas puertas traseras tambi=E9n son utilizadas para
> descargar y controlar herramientas adicionales que pueden
> ejecutar ataques de negaci=F3n de servicio distribuido (DDoS)
> contra otros sitios.
> * *Atacar otros sistemas* - Los sistemas infectados por virus
> son frecuentemente usados para atacar otros sistemas. Estos
> ataques com=FAnmente intentan explotar vulnerabilidades en los
> sistemas remotos o provocar una negaci=F3n de servicio, los
> cuales provocan un alto tr=E1fico en la red.
> * *Enviar gran cantidad de correo no solicitado (spam) a otros
> usuarios* - Ha habido una gran cantidad de reportes de
> sistemas comprometidos que se dedican a enviar correo no
> solicitado. Frecuentemente los sistemas comprometidos tienen
> una protecci=F3n deficiente en las computadoras de usuarios
> finales (por ejemplo, sistemas en peque=F1os negocios y=
hogares).
>
>
>
> III. SOLUCI=D3N
> =3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
>
> Adem=E1s de los pasos a seguir propuestos en esta secci=F3n, el
> CERT/UNAM-CERT recomiendan a los usuarios caserons revisar los
> documentos "Seguridad en una Red Casera
> <http://www.cert.org/tech_tips/home_networks.html>" and "Seguridad
> en C=F3mputo Casera
> <http://www.cert.org/homeusers/HomeComputerSecurity/>"
>
>
> * Ejecutar y Actualizar un Software Antivirus
>
> Aunque la actualizacion de un producto antivirus no protege contra
> todos los c=F3digos maliciosos, para la mayor=EDa de los usuarios esto
> parece ser la primera l=EDnea de defensa contra ataques de c=F3digo
> malicioso. Los usuarios podr=EDan leer la * Nota de Seguridad
> *UNAM-CERT 2004-01* </Notas/Notas2003/nota-UNAM-CERT-2004-01.html> -
> Propagaci=F3n del Virus W32/Novarg.A* La mayor=EDa de los=
distribuidores
> de software antivirus publican frecuentemente informaci=F3n
> actualizada, herramientas, o bases de datos del virus para ayudar a
> detectar y a recuperarse de c=F3digo malicioso. Por lo tanto, es
> importante que los usuarios mantengan su software antivirus
> actualizado. El CERT/UNAM-CERT mantiene una lista parcial de
> vendedores del antivirus. Para mayor informaci=F3n consultar la
> # secci=F3n *Recursos y Bibliograf=EDa* en: UNAM-CERT: Virus y Gusanos
> *http://www.unam-cert.unam.mx/gusanos/index.html*
> Muchos paquetes antivirus soportan actualizaciones autom=E1ticas de
> las definiciones de virus. El CERT/UNAM-CERT recomienda utilizar
> estas actualizaciones autom=E1ticas cuando est=E9n disponibles.
>
>
> * No Ejecutar Programas de Origen Desconocido
>
> No descargue, instale, ni ejecute un programa a menos que sepa que
> es de una persona o compa=F1=EDa en que conf=EDe.
>
> Los usuarios de correo electr=F3nico deben ser cuidadosos de archivos
> adjuntos inesperados. Est=E9 seguro de saber la fuente de un archivo
> adjunto antes de abrirlo. Tambi=E9n recuerde que no es suficiente con
> reconocer el origen o la direcci=F3n del correo electr=F3nico. El=
virus
> Melissa se difundi=F3 presisamente porque ven=EDa de una direcci=F3n=
de
> correo familiar.
>
> Recomendamos a todos los usuarios manejar con precauci=F3n las ligas
> adjuntas en el cuerpo del correo conocidas como URLS. Las URLs puede
> ligarse a contenido malicioso que en algunos casos se puede ejecutar
> sin la intervenci=F3n del usuario. Una t=E9cnica de ingenier=EDa=
social
> comunmente conocida como "phishing" utiliza URLs falsas para tentar
> a usuarios a visitar sitios de contenido malicioso. Estos sitios
> usurpan sitios leg=EDtimos para solicitar informaci=F3n sensible como
> contrase=F1as o n=FAmeros de cuentas.
>
> Adem=E1s, los usuarios del Internet Relay Chat (IRC), mensajer=EDa
> instantanea (IM), y servicios de transferencia de archivos deben
> tener particular cuidado de las ligas o ejecutar software recibidos
> de otros usuarios. =C9stos son m=E9todos com=FAnmente usados entre los
> intrusos que procuran construir redes de agentes de negacion de
> servicios (DDoS).
>
>
> * Utilizar un Firewall Personal
>
> Un firewall personal no proteger=E1 necesariamente su sistema contra
> un virus distribuido por correo electr=F3nico, pero un firewall
> personal correctamente configurado puede evitar que el virus
> descargue componentes o lance ataques adicionales contra otros
> sistemas. Desafortunadamente, una vez en un sistema, el virus puede
> ser capaz de inhabilitar un firewall, eliminando asi la protecci=F3n
> de su software.
>
>
> * Filtro de Correo Electr=F3nico
>
> Dependiendo de los requerimientos de cada organizaci=F3n, es
> aconsejable configurar filtros de extensiones de archivo espec=EDficos
> en los arvhivos adjuntos de correo en la entrada/salida de correo.
> Este filtro debe configurarse cuidadosamente, ya que puede afectar
> tambi=E9n a archivos adjuntos leg=EDtimos. Se recomienda que los
> archivos adjuntos se pongan en cuarentena para su posterior
> examinaci=F3n y/o posible recuperaci=F3n.
>
>
> * Recuperaci=F3n de un Sistema Comprometido
>
> Si se cree que un sistema bajo su control administrativo ha sido
> comprometido, consulte las acciones que debe llevar a cabo en el
> siguiente documento:
>
> * Recuperar un Sistema UNIX o Windows Comprometido.
>
> http://www.unam-cert.unam.mx/deteccion_intrusos.html
>
> =
------------------------------------------------------------------------
>
> Autores de la Versi=F3n Original: *Jeff Carpenter, Chad Dougherty,
> Jeff Havrilla, Allen Householder, Brian King, Marty Lindner, Art
> Manion, Damon Morda, Rob Murawski
> <mailto:cert@cert.org?subject=3DCA-2004-02%20Feedback>*
>
> =
------------------------------------------------------------------------
> El Departamento de Seguridad en C=F3mputo/UNAM-CERT agradece el
> apoyo en la elaboraci=F3n, revisi=F3n y traducci=F3n de =E9ste bolet=
=EDn a:
>
> * Jes=FAs Mauricio Andrade Guzm=E1n(mandrade@seguridad.unam.mx)
> * Sergio Alavez Miguel (salavez@seguridad.unam.mx)
> * Rub=E9n Aquino Luna (raquino@seguridad.unam.mx)
>
> =
------------------------------------------------------------------------
>
> INFORMACI=D3N
> =3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
>
> =C9ste documento se encuentra disponible en su formato original en la
> siguiente direcci=F3n:
>
> http://www.cert.org/advisories/CA-2004-02.html
>
> La versi=F3n en espa=F1ol del documento se encuentra disponible en:
>
> http://www.seguridad.unam.mx
>
>=20
>http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004=
-02.html
>
>
> Para mayor informaci=F3n acerca de =E9ste bolet=EDn de seguridad=
contactar a:
>
> UNAM CERT
> Equipo de Respuesta a Incidentes UNAM
> Departamento de Seguridad en Computo
> DGSCA - UNAM
> E-Mail : unam-cert@seguridad.unam.mx
> http://www.unam-cert.unam.mx
> http://www.seguridad.unam.mx
> ftp://ftp.seguridad.unam.mx
> Tel : 56 22 81 69
> Fax : 56 22 80 43
>
>-----BEGIN PGP SIGNATURE-----
>Version: PGP 6.5.8
>
>iQEVAwUBQBbtDnAvLUtwgRsVAQGXCwf/XDbTDEA1dShO7Y23pCUzVYGxTFh77oyB
>dvMQIDTQW6xv+Iv7eB4BprR6GT5DnGfF8cs7XNa+WH1roK4C21qNQ9zX/8JOIh7G
>VYB7Fpal2Wq573MLP0Gyn+p4vkPERGDLpsGXmrWaoE5Eq7vQ2NinM02A7V3RaSlf
>QeOTya1jLtIPCi7TTobk0twSOThe6QfbrX1F0nK7m8tsVd+qgrru0YMWaVifb1CF
>+z4lBY25ypPlg1vF8vbsqMrPM5BRV5LLnLIseL0luU/PghaLRW+ttn18WjmLWO17
>eRBI9Gn1D7gTkWuMYLLYhWoIr+xo8/eLYljz0bh6WY1TFWPoEN0aaA=3D=3D
>=3DOx76
>-----END PGP SIGNATURE-----
>
>
>_______________________________________________
>Lista de Correo Gasu
>
>Mensajes a esta lista : Gasu@ds5000.seguridad.unam.mx
>Archivos historicos :http://www.seguridad.unam.mx/mailman/listinfo/gasu
>Dar de baja de esta lista : http://www.seguridad.unam.mx/unsubscribe.html
>_______________________________________________
>--
>M en C. Cesar Sanchez Vazquez del Mercado.
>Unidad de sistemas.
>Universidad Nacional Autonoma de Mexico.
>Facultad de Estudios Superiores Iztacala.
>Edificio A-2 Primer piso.
>Tel 5623 1118
>Firma digital: A43EB406
>Fingerprint: 528B F821 F0CD 1244 6BB6 A614 5CD8 5191 A43E B406
>
--=====================_1726402==_
Content-Type: text/plain; charset="us-ascii"
Content-Disposition: attachment; filename="signature.asc"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)
iD8DBQFAFzn9PLiNllED1O8RArW8AKDAamtP1pRrLjogmplybzzDO4HuyACg3Rr8
WgDs7kHi3a8bZgBnHI+EA18=
=BLGN
-----END PGP SIGNATURE-----
--=====================_1726402==_--