Mostrando mensaje 353     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1304 Año 8, domingo 1 de febrero de 2004 Fecha: Domingo, 1 de Febrero, 2004  09:53:05 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1304 Año 8, domingo 1 de febrero de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Mydoom no infecta el BIOS 2 - El mecanismo de ataque DoS del Mydoom tendría errores 3 - Cuentos y verdades sobre el Mydoom 4 - ¿Virus en boletín del Centro de Alerta Temprana? _____________________________________________________________ 1 - Mydoom no infecta el BIOS _____________________________________________________________ http://www.vsantivirus.com/01-02-04a.htm Mydoom no infecta el BIOS Por Jose Luis Lopez videosoft@videosoft.net.uy Sobre la posible infección del BIOS ocasionada por el gusano Mydoom, se han escrito en foros especializados, extensos hilos discutiendo el tema. En teoría, podría ser posible una infección de este tipo, sin embargo, hay varias barreras que limitarían sus posibilidades prácticas. Podría crearse un código con el potencial de obtener una dirección IP y escuchar por un puerto. Pero a ese nivel, se debería interactuar directamente con la tarjeta de red, y existen muchos modelos y fabricantes, con diferencias importantes como para que un pequeño programa de solo 624 bytes las contemple a todas. El propio Juari Bosnikovich, que mencionó esta posible característica del Mydoom en una lista especializada, información que publicamos ayer en VSAntivirus (ver "Investigador ruso dice que el Mydoom sería más peligroso", http://www.vsantivirus.com/31-01-04.htm), condujo un experimento para verificar lo que él afirmaba. Utilizando un Windows Server 2003 recién instalado en una computadora con una tarjeta de red con chip Realtek 8139, hizo que se ejecutara el virus, y luego cambió la fecha para que marcara unos minutos antes del 12 de febrero de 2004, esperando luego hasta que se activara la rutina que él mencionaba del virus. Finalmente reinició la computadora. Cuando ello ocurrió, se encontró con un cambio, pero no el esperado. Según Bosnikovich, más que un troyano backdoor en el BIOS, como afirmaba en sus investigaciones previas, lo que instala el gusano es un exploit que se aprovecha de una vulnerabilidad de Windows. Cuando una máquina infectada con el Mydoom se reinicia por segunda vez después que la fecha del sistema indica 12 de febrero, el virus inyecta en el sistema operativo, un programa malévolo capaz de descargar y ejecutar lo que posiblemente sería una nueva versión del gusano, tal vez el Mydoom.C, según el investigador ruso. De todos modos, como reafirma Bosnikovich, este dato no es mencionado por ningún fabricante de antivirus. El código del Mydoom no está creado con ninguna herramienta inventada por terceros, ni se basa en el código de otros virus, sino que se trata de una verdadera pieza de arte (desde el punto de vista de la programación, ya que por otra parte, no debemos olvidar que fue creado con claras intenciones dañinas). Además utiliza muchos trucos para ocultar sus rutinas, y sobre todo en su versión B, para engañar la búsqueda heurística de productos muy fuertes en este tema. Incluso simula estar escrito en un lenguaje de alto nivel (C++), cuando en realidad sería escrito directamente en assembler (un lenguaje de bajo nivel, o sea más cercano a la máquina). Además, partes de su código podrían estar escritas en Forth, un lenguaje de nivel intermedio. Tal vez esa sea la razón de que esta característica haya confundido a Bosnikovich, y que no figure nada de ello en las descripciones actuales de los fabricantes de antivirus. También esta dificultad para examinar el código, ha llevado a que no se revelaran antes algunas informaciones sobre el verdadero alcance de los ataques DDoS contra SCO y Microsoft (el primero de los cuáles comenzó hoy 1 de febrero de 2004). Esta información es ofrecida en el artículo "El mecanismo de ataque DoS del Mydoom tendría errores" de Enciclopedia Virus (http://www.vsantivirus.com/ev-mydoom-dos.htm). Al momento de redactar este artículo, 1 de febrero de 2004, 09:01 GMT, el sitio de SCO (http://www.sco.com) es inaccesible. * Más información: Investigador ruso dice que el Mydoom sería más peligroso http://www.vsantivirus.com/31-01-04.htm Cuentos y verdades sobre el Mydoom http://www.vsantivirus.com/faq-mydoom.htm W32/Mydoom.A. Gusano de gran propagación http://www.vsantivirus.com/mydoom-a.htm Mydoom se propagó en menos de cuatro segundos http://www.vsantivirus.com/28-01-04.htm Mydoom.B, nuevo protagonista de una batalla sin treguas http://www.vsantivirus.com/29-01-04.htm W32/Mydoom.B (Novarg.B). Segunda variante de este gusano http://www.vsantivirus.com/mydoom-b.htm El mecanismo de ataque DoS del Mydoom tendría errores http://www.vsantivirus.com/ev-mydoom-dos.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - El mecanismo de ataque DoS del Mydoom tendría errores _____________________________________________________________ http://www.vsantivirus.com/ev-mydoom-dos.htm Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Análisis detallados del código del gusano habrían demostrado que solo funcionaría en un 25% de los casos y que no tendría forma de detenerse mientras el equipo estuviera conectado a internet. Hoy por hoy, todas las publicaciones relacionadas con la seguridad informática tienen titulares y alertas sobre el gusano Mydoom.A, la primera gran epidemia del año 2004, un gusano por el que compañías como SCO y Microsoft han llegado a ofrecer recompensas de varios cientos de miles de dólares para quien acerque datos sobre los creadores del virus. Este gusano, que además instala varios componentes como un servidor de correo electrónico y un componente troyano, realizará un ataque de denegación de servicios (DoS) contra el sitio www.sco.com a partir del 1ero. de febrero. Eugene Kaspersky, investigador en jefe de Kaspersky Labs., ha anunciado que tras analizar detalladamente el código del gusano ha encontrado algunos errores en las rutinas dedicadas al ataque de denegación de servicios antes mencionados. El mismo sólo se ejecutaría cuando el ejecutable instalado en el equipo infectado sea iniciado (cuando el ordenador es iniciado o en una nueva infección) y bajo ciertas condiciones horarias basadas en la fecha del sistema. En principio, el gusano controla la fecha del sistema para iniciar su rutina DoS, y si está es superior al primer día del mes de Febrero y la hora está entre ciertos diapasones de tiempo, el Mydoom.A comienza a enviar paquetes de información al sitio de la compañía SCO para producir una saturación en su servicio web. Pero, aunque el gusano estaría programado para detener el ataque el día 12 de Febrero, la rutina que detiene el ataque DoS no funcionaría correctamente, y el mismo no cesaría nunca mientras el gusano esté ejecutándose, es decir, mientras el ordenador esté infectado. Según los cálculos realizados por Kaspersky, el gusano sólo iniciaría su ataque en el 25% de los casos, lo cual de todas formas implica un alto numero de ordenadores dada la gran difusión que ha alcanzado el Mydoom. Pese a estos errores, el ataque DoS se produciría de todos modos, pero en una menor cantidad de casos que la esperada inicialmente, extendiéndose el mismo indefinidamente hasta que los equipos infectados por el gusano fueran limpiados. (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=384 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Cuentos y verdades sobre el Mydoom _____________________________________________________________ http://www.vsantivirus.com/faq-mydoom.htm Cuentos y verdades sobre el Mydoom Por Jose Luis Lopez videosoft@videosoft.net.uy Mucho se ha hablado de este gusano, y más allá de sus características que lo convierten en el más propagado de la historia, existe mucha información que en algunos casos se ha vuelto confusa (hoy mismo redactábamos un artículo sobre la posibilidad de que el Mydoom infectara el BIOS, por ejemplo). Sin que este artículo pretenda demostrar la verdad absoluta sobre todas las dudas planteadas, si desea resumir la información actualmente comprobada. - ¿El Mydoom infecta el BIOS? - No, no lo hace. El propio investigador que había anunciado esta posibilidad, lo desmintió luego de una prueba realizada por el mismo. Ver "Mydoom no infecta el BIOS", http://www.vsantivirus.com/01-02-04.htm. - El gusano tiene capacidad de "keylogger" - No hay evidencias que el Mydoom posea la capacidad de capturar la salida del teclado (keylog), o de que instale algún componente relacionado con ello al ejecutarse por primera vez. Sin embargo, puede descargar y ejecutar archivos de Internet (la versión A cualquier archivo, la B solo dos predefinidos por el autor). Con la versión A, quien sepa hacerlo, puede usar esta característica para descargar y ejecutar casi cualquier archivo en cualquier máquina infectada. Con la versión B solo pueden descargarse y ejecutarse dos archivos seleccionados por el autor. Probablemente uno de ellos sea una nueva versión del propio gusano. - Se puede acceder a sistema infectados - Como mencionamos antes, con la versión A se puede hacer esto. La propia versión B busca máquinas infectadas con la anterior, para copiarse y ejecutarse en ellas. - Los creadores del Mydoom son spammers - Podría serlo. No hay pruebas ni existen razones claras para afirmarlo, aunque una de sus características, usar las máquinas infectadas como servidores proxy, podría ser empleada por los spammer para lanzar sus mensajes (habría que complementarlo con otro software, pero Mydoom.A, como vimos, acepta se instalen otros programas en el equipo infectado). - Los ataques DoS al sitio de SCO y al de Microsoft no se llevarán a cabo - Los ataques si ocurren o ocurrirán, a pesar de algunos fallos (ver "El mecanismo de ataque DoS del Mydoom tendría errores", http://www.vsantivirus.com/ev-mydoom-dos.htm). - El gusano fue creado para combatir la piratería - Esto lo escuchamos más de una vez, pero es una tontería afirmar que algún gigante informático u organización como la RIAA (Asociación de la Industria Grabadora de Estados Unidos), estén implicadas directamente en la creación o propagación de este gusano. El desprestigio sería mayor que cualquier otra intención al respecto. * Conclusiones Existen otras dudas sobre este gusano. En la versión Web de este artículo, iremos actualizando, a medida que surjan, todas las referencias comprobadas sobre esos temas. * Más información: Investigador ruso dice que el Mydoom sería más peligroso http://www.vsantivirus.com/31-01-04.htm Mydoom no infecta el BIOS http://www.vsantivirus.com/01-02-04.htm W32/Mydoom.A. Gusano de gran propagación http://www.vsantivirus.com/mydoom-a.htm Mydoom se propagó en menos de cuatro segundos http://www.vsantivirus.com/28-01-04.htm Mydoom.B, nuevo protagonista de una batalla sin treguas http://www.vsantivirus.com/29-01-04.htm W32/Mydoom.B (Novarg.B). Segunda variante de este gusano http://www.vsantivirus.com/mydoom-b.htm El mecanismo de ataque DoS del Mydoom tendría errores http://www.vsantivirus.com/ev-mydoom-dos.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - ¿Virus en boletín del Centro de Alerta Temprana? _____________________________________________________________ http://www.vsantivirus.com/01-02-04b.htm ¿Virus en boletín del Centro de Alerta Temprana? Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Los suscriptores que reciben el informe intermedio del CATA, Centro de Alerta Temprana Antivirus, tal vez se sorprendieron al recibir el sábado 31 de enero, un mensaje de dicho centro, infectado con el gusano Sober.C. El envío, fue hecho a través del propio servidor del Centro de Alerta Temprana, pero más allá de su remitente (cat@alertaantivirus.es), el resto era muy diferente al tradicional informe de dicha organización. El texto del mensaje estaba en inglés, y contenía como adjunto, una copia del gusano Sober.C. Estas son sus características (corresponden a las de una infección "normal" hecha por el Sober.C): De: cat@alertaantivirus.es Asunto: a trojan is on your computer Datos adjuntos: remove-Isass-patch.exe hi, I am from Austria and you'll don't believe me, but a trojan horse in on your pc. I've scanned the network-ports on the internet. (I know, that's illegal) And I have found your pc. Your pc is open on the internet for everybody! Because the lsass.exe trojan is running on your system. Check this, open the task manager and try to stop that! You'll see, you can't stop this trojan. When you use win98/me you can't see the trojan!! On my system was this trojan, too! And I've found a tool to kill that bad thing. I hope that I've helped you! Sorry for my bad english! greets El Centro de Alerta Temprana es un servicio del Ministerio de Ciencia y Tecnología de España, y posee varias listas de correo. Según las propiedades del mensaje, el mismo fue distribuido por los caminos normales, por lo que se supone se trate de un error de configuración del sistema. Normalmente, en una lista de correo, existe la posibilidad de escribir en ella además de leerla, o solo leerla (como nuestro propio boletín). Lo mismo ocurre con los informes de alerta del CATA, solo son de lectura. Es probable que un error haya permitido que se filtrara este mensaje, posiblemente de algún suscriptor infectado. Sin embargo, el Centro de Alerta Temprana publica en sus páginas, el siguiente aviso (http://www.alertaantivirus.es/): AVISO DEL CENTRO Se están enviado correos que suplantan la identidad del Centro de Alerta Temprana Antivirus "cat@alertaantivirus.es" a suscriptores de nuestro informe intermedio en el que se incluye un fichero adjunto que contiene el virus Sober.C Si recibe un mail desde la dirección mencionada incluyendo un adjunto, no abra el correo y proceda a su eliminacion. El Centro informa a todos sus suscriptores, que sus listas de distribución de informes se encuentran suficientemente protegidas y a salvo de posibles atacantes que pudieran utilizarlas para el envío de correos infectados o con virus en ficheros adjuntos. En este sentido el CATA recuerda a sus suscriptores que nunca envía ficheros adjuntos en sus informes, y siempre en Español, nunca en otros idiomas. Esta es la segunda ocasión, desde el pasado mes de septiembre, en la que se intentan suplantaciones de las direcciones de correo del Centro. A pesar de lo que dice el comunicado, podemos decir que el mensaje realmente salió por la lista de distribución del CATA. Estas son las propiedades del mismo: Return-Path: <informe-intermedio-owner@alertaantivirus.es> Received: from smtp2.red.es (smtp2.red.es [194.69.254.22]) by xxxxxxxxxxxxxx.xxx (8.12.8/8.12.8) with ESMTP id i0VBLPFk020966 for <xxxxxxxxx@xxxxxxxxx.xxx>; Sat, 31 Jan 2004 08:21:27 -0300 Received: from pasteur.nucleo.cpd (pasteur.dmz.cpd [172.16.250.208]) by smtp2.red.es (Postfix) with ESMTP id 602484BBB; Sat, 31 Jan 2004 14:21:46 +0100 (CET) Received: by pasteur.nucleo.cpd (Postfix on SuSE Linux 8.0 (i386), from userid 502) id AE147D0B; Sat, 31 Jan 2004 12:15:21 +0100 (CET) Delivered-To: informe-intermedio@alertaantivirus.es Received: from smtp2.red.es (unknown [172.16.250.33]) by pasteur.nucleo.cpd (Postfix on SuSE Linux 8.0 (i386)) with ESMTP id 409CA8D6; Sat, 31 Jan 2004 12:11:17 +0100 (CET) Received: from ns1.nic.es (unknown [172.16.250.30]) by smtp2.red.es (Postfix) with ESMTP id AA8314655; Sat, 31 Jan 2004 14:17:31 +0100 (CET) Received: from S7T6G.es (213-0-146- 78.dialup.nuria.telefonica-data.net [213.0.146.78]) by ns1.nic.es (Sendmail on Linux RedHat 7.3 (i386)) with ESMTP id 0F69C1CCE; Sat, 31 Jan 2004 12:12:10 +0100 (CET) From: cat@alertaantivirus.es Subject: [virus Win32/Sober.C Gusano (Worm)] a trojan is on your computer! Importance: Normal X-Mailer: Microsoft Outlook Express 6.00.2800.1106 X-MSMail-Priority: Normal Message-ID: <66442700624465.27492xsmail@alertaantivirus.es> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="fe094554b9127e.bc76be2e4afef" Date: Sat, 31 Jan 2004 12:12:10 +0100 (CET) To: undisclosed-recipients: ; X-Loop: informe-intermedio@alertaantivirus.es X-Sequence: 294 Y estas son las de un mensaje enviado por el Centro en forma normal: Return-Path: <informe-intermedio-owner@alertaantivirus.es> Received: from smtp2.red.es (smtp2.red.es [194.69.254.22]) by xxxxxxxxxxxxxx.xxx (8.12.8/8.12.8) with ESMTP id i0V9VrFk029729 for <xxxxxxxxx@xxxxxxxxx.xxx>; Sat, 31 Jan 2004 06:31:54 -0300 Received: from pasteur.nucleo.cpd (pasteur.dmz.cpd [172.16.250.208]) by smtp2.red.es (Postfix) with ESMTP id 4EE4249CE; Sat, 31 Jan 2004 12:34:54 +0100 (CET) Received: by pasteur.nucleo.cpd (Postfix on SuSE Linux 8.0 (i386), from userid 502) id AE60BD0B; Sat, 31 Jan 2004 10:28:29 +0100 (CET) Delivered-To: informe-intermedio@alertaantivirus.es Received: by pasteur.nucleo.cpd (Postfix on SuSE Linux 8.0 (i386), from userid 30) id 29953D0B; Sat, 31 Jan 2004 10:24:36 +0100 (CET) To: informe-intermedio@alertaantivirus.es Subject: Informe Intermedio de Alerta-Antivirus (día 31/01/2004 a las 10:24) MIME-Version: 1.0; Content-type: multipart/alternative; boundary="abc12345efwp8grmsiikutyopre"; From: cat@alertaantivirus.es Message-Id: <20040131092436.29953D0B@pasteur.nucleo.cpd> Date: Sat, 31 Jan 2004 10:24:36 +0100 (CET) X-Loop: informe-intermedio@alertaantivirus.es X-Sequence: 293 Lo que indican estos datos, es que el mensaje fue distribuido por el CATA, aunque enviado desde una dirección diferente (desde una línea de usuario). Es importante aclarar que de ningún modo podría decirse con esto que la lista de usuarios sea vulnerable o haya quedado en manos de terceros, ya que como dice el Centro, la misma está lo suficientemente protegida. Pero un error de configuración pudo hacer que un mensaje enviado por un usuario haya sido distribuido como si se tratara de un mensaje normal. De todos modos, debemos recordar que existen muchos gusanos que simulan ser enviados por remitentes falsos, que en realidad nada tienen que ver, y que ni siquiera deben estar infectados. Lo que usted debe recordar, es que NUNCA debe abrir adjuntos de NADIE que no haya solicitado antes. Y mucho menos en un boletín de seguridad. No es el caso del CATA, pero existen algunos boletines sobre estos temas que son enviados con formato (incluye gráficos adjuntos por ejemplo), o aún con archivos adjuntos (como documentos de Word). Esto es una PESIMA costumbre, más grave aún por el hecho de que son boletines donde se suele explicar al lector las mejores opciones para asegurar sus sistemas. NUNCA abra adjuntos que no pidió. * Más información Centro de Alerta Temprana Antivirus http://www.alertaantivirus.es Envío de un virus desde el Centro de Alerta Temprana Antivirus http://www.hispasec.com/unaaldia/1924 W32/Sober.C. Muestra mensaje de "unknown error" http://www.vsantivirus.com/sober-c.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1304 Año 8, domingo 1 de febrero de 2004