[Biologia] Fwd:Para quien no esta en Academia
Mario Alfredo Fernández Araiza
mafa@servidor.unam.mx
Thu, 04 Mar 2004 17:50:24 -0600
> Informacion importante, sobre un nuevo virus. Favor de NO reenviar..
>
>
> --------------------------------------------------------------------
> UNAM-CERT
>
> Departamento de Seguridad en Computo
>
> DGSCA- UNAM
>
> Nota de Seguridad UNAM-CERT 2004-02
>
> Propagacion del Virus Virus W32.Beagle.K
> ----------------------------------------------------------------------
>
> En las ultimas horas el Departamento de Seguridad en Computo y el
> UNAM-CERT han recibido reportes de diversos dominios, usuarios y
> foros de discusión acerca de correos que se distribuyen de forma
> masíva en los segmentos pertenecientes a redes .mx en los cuales se
> invita a los usuarios desde una cuenta falsa a renovar las
> suscripción de correo de sitios considerados validos y aparentemente
> firmados por el equipo de la organización.
>
> En los análisis de dichos correos y de acuerdo a firmas de compañ=
ías
> de antivirus este correo es catalogado de acuerdo a sus
> funcionalidades como gusano (por la forma de propagarse), así como
> Backdoor (puerta Trasera, por lo que instala al ejecutarse).
> Recomendamos a los usuarios tomar las medidas de precaución al abrir
> mensajes de correo que cumplan con las características señaladas en
> esta nota de seguridad, así como las formas de erradicar dicho
> problema.
>
>
> Fecha de Liberación: 3 de Marzo de 2004
>
> Ultima Revisión: ---
>
> Fuente: CERT/CC y diversos reportes de Equipos de
> Respuesta a Incidentes, así como Foros y
> Listas de Discusión.
>
>
> SISTEMAS AFECTADOS
> ==================
>
>
> * Windows 2000
> * Windows 95
> * Windows 98
> * Windows Me
> * Windows NT
> * Windows Server 2003
> * Windows XP
>
>
> I. DESCRIPCIÓN
> ===============
>
> Beagle.K utiliza su propio motor SMTP para enviarse por sí mismo a
> todas las direcciones de correo encontradas en el sistema.
>
> El gusano contiene su propia rutina de codificación MIME y elaborar=
á
> el correo electrónico en memoria.
>
> Un correo con el virus *W32.Beagle.K* tendrá la siguiente apariencia:
>
>
> Date: Wed, 03 Mar 2004 11:11:30 -0500
> To: unam-cert@seguridad.unam.mx
> Subject: Email account utilization warning.
> From: administration@unam.mx
> X-RAVMilter-Version: 8.3.3(snapshot 20020312)
> (ds5000.seguridad.unam.mx)
> X-Spam-Checker-Version: SpamAssassin 2.60 (1.212-2003-09-23-exp)=
on
> ds5000.seguridad.unam.mx
> X-Spam-Status: No, hits=2.2 required=6.0=
tests=DATE_IN_FUTURE_06_12,
> NO_REAL_NAME autolearn=no version=2.60
> X-Spam-Level: **
>
> Dear user, the management of Unam.mx mailing system wants to let=
you
> now that,
>
> We warn you about some attacks on your e-mail account. Your
> computer may
> contain viruses, in order to keep your computer
> and e-mail account safe,
> please, follow the instructions.
>
> Please, read the attach for further details.
>
> In order to read the attach you have to use the following
> password:
> 07515.
>
> Sincerely,
> The Unam.mx team http://www.unam.mx
>
>
> * *Campo From* - Puede ser uno de los siguientes:
>
> o management@
> o administration@
> o staff@
> o noreply@
> o support@
>
> * *Campo Subject* - Puede ser uno de los siguientes:
>
> o E-mail account disabling warning.
> o E-mail account security warning.
> o Email account utilization warning.
> o Important notify about your e-mail account.
> o Notify about using the e-mail account.
> o Notify about your e-mail account utilization.
> o Warning about your e-mail account.
>
> * *Mensaje* - Puede ser uno de los siguientes:
>
> o Dear user of ,
> o Dear user of gateway e-mail server,
> o Dear user of e-mail server "",
> o Hello user of e-mail server,
> o Dear user of "" mailing system,
> o Dear user, the management of mailing system
> wants to let you know that,
>
>
> Seguido por uno de los siguiente párrafos:
>
> o Your e-mail account has been temporary disabled because
> of unauthorized access.
> o Our main mailing server will be temporary unavaible for
> next two days, to continue receiving mail in these days
> you have to configure our free auto-forwarding service.
> o Your e-mail account will be disabled because of improper
> using in next three days, if you are still wishing to
> use it, please, resign your account information.
> o We warn you about some attacks on your e-mail account.
> Your computer may contain viruses, in order to keep your
> computer and e-mail account safe, please, follow the
> instructions.
> o Our antivirus software has detected a large ammount of
> viruses outgoing from your email account, you may use
> our free anti-virus tool to clean up your computer
> software.
> o Some of our clients complained about the spam (negative
> e-mail content) outgoing from your e-mail account.
> Probably, you have been infected by a proxy-relay trojan
> server. In order to keep your computer safe, follow the
> instructions.
>
>
> Seguido por una de las siguiente líneas:
>
> o For more information see the attached file.
> o Further details can be obtained from attached file.
> o Advanced details can be found in attached file.
> o For details see the attach.
> o For details see the attached file.
> o For further details see the attach.
> o Please, read the attach for further details.
> o Pay attention on attached file.
>
>
> Seguido por:
>
> o The team
> http://www.
>
> Seguido por una de las siguiente líneas:
>
> o The Management,
> o Sincerely,
> o Best wishes,
> o Have a good day,
> o Cheers,
> o Kind regards,
>
>
> En el caso de que el archivo adjunto sea un archivo ZIP, el
> mensaje incluirá una de las siguientes líneas:
>
> o For security reasons attached file is password
> protected. The password is "".
> o For security purposes the attached file is password
> protected. Password is "".
> o Attached file protected with the password for security
> reasons. Password is .
> o In order to read the attach you have to use the
> following password: .
>
>
> Los *"caracteres de la contraseña"* es un número aleatorio de
> 5 dígitos que el gusano utiliza para cifrar el archivo .zip
> adjunto.
>
> El *"dominio"* es la parte del nombre de dominio de la
> dirección de correo.
>
>
> * *Archivo Adjunto* - Puede ser uno de los siguientes nombre con
> extensión .zip ó .pif.
>
> o Attach
> o Information
> o Readme
> o Document
> o Info
> o TextDocument
> o TextFile
> o MoreInfo
> o Message
>
> El gusano no enviará mensajes a las direcciones conteniendo
> cualquiera de las siguientes cadenas:
> o @hotmail.com
> o @msn.com
> o @microsoft
> o @avp.
> o noreply
> o local
> o root@
> o postmaster@
>
>
>
> * Detalles Técnicos
>
> 1. Beagle.K se copia a sí mismo en los siguientes archivos:
>
> * %System%\winsys.exe
> * %System%\winsys.exeopen
> * %System%\winsys.exeopenopen
>
> *Nota: *%System% es una variable. El gusano localiza el
> directorio de Sistema y se copia por sí mismo a esta
> localidad. De forma predeterminada, esto es
> C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32
> (Windows NT/2000), o C:\Windows\System32 (Windows XP).
>
> 2. Agrega el valor:
>
> "ssate.exe"="%System%\winsys.exe"
>
> a la llave del registro:
>
> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
>
> para que W32.Beagle.K se ejecute cuando inicie Windows.
>
> 3. Abre una puerta trasera en el puerto 2745 TCP.
>
> Si un intruso envía un mensaje de datos formateado
> especialmente al puerto, el gusano permitirá que un archivo
> arbitrario sea descargado en el directorio %windir%. Este
> archivo será guardado como %Windir%\iuplda.exe,
> donde es una cadena aleatoria de caracteres.
>
> 4. Envía un requerimiento HTTP GET a los siguiente sitios Web en
> el puerto 80 TCP:
> * postertog.de
> * www.gfotxt.net
> * www.maiklibis.de
>
> El requerimieto GET envía el número de puerto en el=
cual
> la computadora infectada esta en escucha, así como la
> dirección IP.
>
> 5. Intenta finalizar los siguientes procesos, los cuales son
> responsables de actualizar las firmas de varios programas
> antivirus:
> * Atupdater.exe
> * Aupdate.exe
> * Autodown.exe
> * Autotrace.exe
> * Autoupdate.exe
> * Avltmain.exe
> * Avpupd.exe
> * Avwupd32.exe
> * Avxquar.exe
> * Cfiaudit.exe
> * Drwebupw.exe
> * Icssuppnt.exe
> * Icsupp95.exe
> * Luall.exe
> * Mcupdate.exe
> * Nupgrade.exe
> * Outpost.exe
> * Update.exe
>
> 6. Escanea los archivos en las unidades locales con las
> siguientes extensiones:
> * .wab
> * .txt
> * .msg
> * .htm
> * .xml
> * .dbx
> * .mdx
> * .eml
> * .nch
> * .mmf
> * .ods
> * .cfg
> * .asp
> * .php
> * .pl
> * .adb
> * .tbb
> * .sht
> * .uin
> * .cgi
>
> y colecciona cualquier dirección de correo electrónico
> que encuentra.
>
> 7. Para propagarse a través de redes de compartición de=
archivos,
> como Kazaa e iMesh, W32.Beagle.K se copia a sí mismo a los
> directorios que contienen la cadena "shar" en sus nombres. El
> gusano utiliza los nombres de archivos de la siguiente lista:
> * ACDSee 9.exe
> * Adobe Photoshop 9 full.exe
> * Ahead Nero 7.exe
> * Matrix 3 Revolution English Subtitles.exe
> * Microsoft Office 2003 Crack, Working!.exe
> * Microsoft Office XP working Crack, Keygen.exe
> * Microsoft Windows XP, WinXP Crack, working Keygen.exe
> * Opera 8 New!.exe
> * Porno pics arhive, xxx.exe
> * Porno Screensaver.scr
> * Porno, sex, oral, anal cool, awesome!!.exe
> * Serials.txt.exe
> * WinAmp 5 Pro Keygen Crack Update.exe
> * WinAmp 6 New!.exe
> * Windown Longhorn Beta Leak.exe
> * Windows Sourcecode update.doc.exe
> * XXX hardcore images.exe
>
>
> III. SOLUCIÓN
> =============
>
> * *Ejecutar, administrar y actualizar un software antivirus*
>
> Aunque un paquete de software antivirus actualizado no puede
> brindar protección contra todos los códigos maliciosos, para
> la mayoría de los usuarios representa la primera línea de
> defensa contra ataques de código malicioso.
>
> La mayoría de los distribuidores antivirus liberan
> frecuentemente información actualizada, herramientas, o bases
> de datos de virus para ayudar a detectar y recuperar un
> sistema que ha sido infectado mediante un código malicioso,
> incluyendo Beagle.K. De esta forma, es importante que los
> usuarios mantengan su software antivirus actualizado.
>
> Mucho software antivirus se apoya en las actualizaciones
> automáticas de las definiciones de virus. El CERT/UNAM-CERT
> recomienda utilizar estas actualizaciones automáticas cuando
> estén disponibles.
>
> * *No ejecutar programas de origen desconocido*
>
> Nunca descargue, instale o ejecute un programa a menos que
> sepa que es autorizado por una persona o compañía en la que=
se
> confía. Los usuarios de correo electrónico deben estar
> concientes de archivos adjuntos inesperados, mientras que los
> usuarios de Internet Relay Chat (IRC), de la mensajería
> instantánea (IM), y de servicios de compartición de archivos
> deben ser muy cuidadosos al dar clic en vínculos o links
> desconocidos o al ejecutar software enviado por otros usuarios
> debido a que son los métodos más utilizados entre los=
intrusos
> para intentar crear redes de agentes DDoS.
>
> * *Eliminación Manual*
>
> o Deshabilitar System Restore (Windows Me/XP).
>
> + Windows Me
> 1. Haga clic en Inicio, seleccione
> Configuración y, a continuación, haga clic
> en Panel de control.
> 2. Haga doble clic en Sistema. Se abrirá la
> ventana de Propiedades del sistema.
> *Nota:* Si no es visible el ícono de Sistema
> haga clic en "Ver todas las opciones de
> Panel de control".
> 3. Haga clic en la pestaña Rendimiento y haga
> clic en el botón "Archivos de sistema". La
> ventana de Archivos de sistema se abrirá.
> 4. Haga clic en Sistema de archivos y, a
> continuación, haga clic en la pestaña
> Solución de problemas.
> 5. Marque la casílla de la opción Deshabilitar
> Restaurar sistema.
> 6. Haga clic en Aceptar y, por último, en
> Cerrar. Haga clic en Sí cuando se le
> pregunte si desea reiniciar Windows.
>
> + Windows XP
> 1. Haga clic en Inicio.
> 2. Haga clic con el botón secundario en el
> icono Mi PC y, a continuación, haga clic en
> Propiedades.
> 3. Haga clic en la pestaña Restaurar sistema.
> 4. Marque la casílla Desactivar Restaurar
> sistema o la casílla Desactivar Restaurar
> sistema en todas las unidades.
> 5. Haga clic en Aplicar y a continuación, en
> Aceptar.
> 6. Como verá en el mensaje, esta acción
> eliminará todos los puntos de restauración
> existentes. Haga clic en Sí para llevar a
> cabo esta acción.
> 7. Haga clic en Aceptar y reinice el sistema.
>
>
> o Actualizar las definiciones de Antivirus.
>
> Independientemente del software antivirus que este
> utilizando, actualice su base de datos de firmas
> antivirus para poder eliminar el virus Beagle.K.
>
> o Eliminar los valores que fueron agregados al registro y
> reiniciar el equipo.
>
> 1. Dar clic en Inicio y después en Ejecuta.
> 2. Escribir regedit y presionar Aceptar.
> 3. Buscar la siguiente llave:
>
>
>HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
>
>
> 4. En el panel de la derecha eliminar el siguiente
> valor:
>
> "ssate.exe"="%System%\winsys.exe"
>
> 5. Salir del editor del registro.
> 6. Localizar y eliminar los archivos ejecutables
> winsys.exe, winsys.exeopen y winsys.exeopenopen
> del directorio (en el caso de que existan):
>
> + C:\Windows\System (Win 95/98/ME)
> + C:\Winnt\System32 (Win NT/2000)
> + C:\Windows\System32 (Win XP)
>
> 7. Reiniciar el equipo.
>
>
> o Analizar el sistema mediante el software antivirus
> actualizado para eliminar los archivos infectados.
>
>
>
> APÉNDICE A. Referencias
> =======================
>
> * Virus y Gusanos UNAM-CERT -
> http://www.unam-cert.unam.mx/gusanos/index.html
> * F-Secure - http://www.f-secure.com/v-descs/bagle_k.shtml
> * McAffe -
>
>http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=10107
>
> * Panda Software -
>
>http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=
=45304&sind=0
>
> * Sophos - http://www.sophos.com/virusinfo/analyses/w32baglek.html
> * Symantec Corp. -
> http://www.symantec.com/avcenter/venc/data/w32.beagle.k@mm.html
> target=>
> * Trend Micro -
>
>http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGL=
E.K
>
> * Enciclopedia Virus -
> http://www.enciclopediavirus.com/virus/vervirus.php?id=757
> * Compueter Associates -
> http://www3.ca.com/virusinfo/virus.aspx?ID=38480
>
>
> =
------------------------------------------------------------------------
> El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el
> apoyo en la elaboración, revisión y traducción de éste boletí=
n a:
>
> * Jesus Ramón Jiménez Rojas (jrojas@seguridad.unam.mx)
> * Omar Landa Alfán (olanda@correo.seguridad.unam.mx)
>
> =
------------------------------------------------------------------------
>
>
> INFORMACIÓN
> ===========
>
> Éste documento se encuentra disponible en su formato original en la
> siguiente dirección:
>
> http://www.seguridad.unam.mx
>
>
>http://www.unam-cert.unam.mx/Notas/Notas2004/nota-UNAM-CERT-2004-002.html
>
>
> Para mayor información acerca de éste boletín de seguridad=
contactar a:
>
> UNAM CERT
> Equipo de Respuesta a Incidentes UNAM
> Departamento de Seguridad en Computo
> DGSCA - UNAM
> E-Mail : unam-cert@seguridad.unam.mx
> http://www.unam-cert.unam.mx
> http://www.seguridad.unam.mx
> ftp://ftp.seguridad.unam.mx
> Tel : 56 22 81 69
> Fax : 56 22 80 43
>
>
>-----BEGIN PGP SIGNATURE-----
>Version: PGP 6.5.8
>
>iQEVAwUBQEZOu3AvLUtwgRsVAQHd0AgAp4Qu/ZDyN8CPgmbUuGLEXTJI/gfH8lok
>erd3s7NS4ZqUzHEDIxBQ7a/K/pNybiqWl85XcJZ2ppMemJTPDXZ/CJ8hKS2V//Vb
>aIf1AWst3ckHcNe1sn10YzWdVIQAbXp5yEsPzbk9N0jlrZJmwu/ywYPQ8O7bawZ1
>Ee5xMV9SRCJSJoAiuVBbltomMd3kGYnEJnzCdw2fWywhevwxFkl6rmjZ7/lXYFOW
>Z3K3h2QCGKC2h9GZLMg15QVV6y156tGXlYNxmaasp/84xGcanGY29xmUza7X9R3Q
>xRx53TD4WP1ggZ4OVD9huJ0T3uOWsFAVH0bVA4RyNwjsVfjstFrYfg==
>=UXGK
>-----END PGP SIGNATURE-----
>
>
>_______________________________________________
>Lista de Correo cert-avisos Para enviar un Mensaje a esta lista dirigirlo=
>a : cert-avisos@www.seguridad.unam.mx
>Archivos de esta lista
>:http://ds5000.seguridad.unam.mx/mailman/listinfo/cert-avisos
>Dar de baja de esta lista http://www.seguridad.unam.mx/unsubscribe.html
>_______________________________________________
>
>
>
>_______________________________________________
>Academia mailing list
>Academia@tlali.iztacala.unam.mx
>http://tlali.iztacala.unam.mx/mailman/listinfo/academia
>Politicas de uso: http://tlali.iztacala.unam.mx/politicas/