Mostrando mensaje 447     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1398 Año 8, martes 4 de mayo de 2004 Fecha: Martes, 4 de Mayo, 2004  08:06:38 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1398 Año 8, martes 4 de mayo de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Las consecuencias inmediatas del gusano Sasser 2 - W32/Sasser.D. Se puede ejecutar en Windows 9x y Me _____________________________________________________________ 1 - Las consecuencias inmediatas del gusano Sasser _____________________________________________________________ http://www.vsantivirus.com/ev04-05-04.htm Las consecuencias inmediatas del gusano Sasser Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Mientras algunos predicen millones de computadoras infectadas en el mundo, ya se hacen notar las primeras consecuencias del ataque a corporaciones e instituciones, luego que estas recibieron el impacto en su primer día de trabajo después de un largo fin de semana. El gusano desató la tercera o cuarta mayor infección del año, después del Mydoom en enero, el Beagle en febrero y el Netsky en marzo y abril. Sasser, del que actualmente existen cuatro versiones (lo que podría cambiar en las próximas horas), es un gusano informático de muy rápida propagación, detectado el pasado sábado 1 de mayo. Sin embargo, los efectos más notorios de su acción, empezaron a sentirse el lunes siguiente, cuando cientos de miles de computadoras fueron encendidas en otros tantos lugares de trabajo. El gusano Sasser explota un fallo en el componente Local Security Authority Subsystem Service (LSASS) de Windows. Esta vulnerabilidad solo afecta a equipos con Windows XP y 2000 que no tengan instalado el parche que Microsoft había publicado y anunciado hacía ya bastantes días (13 de abril). La aparición de la cuarta variante del gusano (Sasser.D), puede significar un aumento notorio en su propagación. Mientras las versiones A, B y C no pueden ejecutarse correctamente en equipos con Windows 95, 98 y Me, la D si puede hacerlo, aunque no los infecta. La simple posibilidad de que el gusano corra en esos sistemas, permite que aumente su rango de propagación, ya que cada vez que se ejecuta, puede rastrear miles de máquinas vulnerables a las que luego se podrá copiar. La versión D es capaz de rastrear más de 200 direcciones IP por segundo, en busca de equipos vulnerables. Pero por el momento, la D no es la de mayor propagación. El Centro de Alerta Temprana sobre Virus y Seguridad Informática (CAT), calificó el lunes a la variante B del gusano, como la de más alta peligrosidad (4 en una escala del 1 al 5), por la cantidad de infecciones que ha causado. La acción más notoria del virus en un equipo infectado, es obligarlo a reiniciarse continuamente. Esto ya ha causando grandes estragos en la banca y otras actividades críticas. Para aumentar la confusión, el lunes surgió una nueva variante del gusano Netsky (supuestamente del mismo autor), la cuál se propaga en un correo electrónico que simula ser una cura para el Sasser. Como resultado de todo esto, millones de computadoras ya fueron infectadas, dañándose sistemas que controlan trenes, aerolíneas, cadenas de televisión, bancos e inclusive, agencias gubernamentales en todo el mundo. Grandes instituciones bancarias tuvieron que suspender parte de sus actividades, luego que al iniciar sus operaciones sus equipos se reiniciaban continuamente, con el trastorno que ello significa para la integridad de los datos manejados. El banco de inversiones Goldman Sachs dijo que sus operaciones asiáticas y estadounidenses fueron normalizadas recién a primera hora de la tarde del lunes después de que el gusano fue eliminado de sus equipos. En Australia, Westpac Bank también se vio afectado por el gusano, y las sucursales "tuvieron que utilizar bolígrafo y papel para poder seguir operando", anunció la prensa de ese país. La aerolínea estadounidense Delta Air Lines, también sufrió un fallo informático el sábado. Esto ocasionó grandes retrasos y cancelaciones de algunos vuelos. Los sistemas informáticos de la compañía, recién volvieron a la normalidad el lunes. Aunque oficialmente la aerolínea solo ha informado que existió un problema, y que la causa del mismo sigue investigándose, todo parece indicar que el culpable fue el gusano. El banco finlandés Sampo, el tercero en importancia en ese país, tuvo que cerrar el lunes sus 130 sucursales, como medida de precaución, mientras ponía al día sus programas antivirus. Los cajeros automáticos y los servicios bancarios en Internet funcionaron con normalidad. Los voceros del banco afirman que lo hicieron por precaución. En Taiwán, la agencia nacional de correo quedó paralizada por el gusano. Más de 1,600 oficinas tuvieron que detener el lunes sus trabajos, y unos 1,300 bancos del estado suspendieron sus operaciones. En España, la red informática de la Xunta de Galicia, que involucra a casi 3,500 computadoras de las consellerías y de la Administración de Justicia de toda Galicia, prácticamente colapsó cuando sus operarios comenzaban la jornada de trabajo. El virus informático afectó a todos los edificios judiciales de la ciudad, y se acusa a los responsables de falta de previsión "al tener desactualizado su antivirus". Nada se dice de la imprevisión de no haber cargado los parches anunciados 18 días antes que surgiera el gusano. En Madrid, el trabajo de los jueces de la Audiencia Nacional también se vio afectado, impidiendo continuar algunas causas llevadas a cabo contra los presuntos autores de los atentados del 11 de marzo. La agencia de noticias AFP fue víctima del gusano el sábado, lo que motivó la interrupción de sus transmisiones vía satélite. De acuerdo con otras fuentes, una importante cadena de televisión europea también resultó dañada. Las empresas atacadas, sufrirán grandes pérdidas, tanto por el tiempo que deberán estar fuera de línea y la disminución de sus horas productivas, como por los costos relacionados con los pagos a los expertos para remediar el daño causado. Algunas empresas que examinan el comportamiento de la red, señalaron que no existieron problemas de tráfico, aunque otros afirman que algunos usuarios podrían notar demoras al descargar algunas páginas si los servidores están infectados. La mayoría de los expertos, opinan que la difusión del gusano, podría aumentar exponencialmente si el virus logra colarse en redes locales e intranets. Las precauciones mínimas pasan por actualizar el sistema operativo con los parches publicados por Microsoft (si aún no lo ha hecho), mantener al día los antivirus e instalar un cortafuego personal. * Más información: Win32/Sasser.A http://www.enciclopediavirus.com/virus/vervirus.php?id=821 Win32/Sasser.B http://www.enciclopediavirus.com/virus/vervirus.php?id=822 Win32/Sasser.C http://www.enciclopediavirus.com/virus/vervirus.php?id=823 Win32/Sasser.D http://www.enciclopediavirus.com/virus/vervirus.php?id=825 (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: www.enciclopediavirus.com/noticias/verNoticia.php?id=434 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Sasser.D. Se puede ejecutar en Windows 9x y Me _____________________________________________________________ http://www.vsantivirus.com/sasser-d.htm Nombre: W32/Sasser.D Tipo: Gusano de Internet Alias: Sasser.D, W32/Sasser-D, W32/Sasser.worm.d, W32/Sasser.D, WORM_SASSER.D Fecha: 3/may/04 Plataforma: Windows NT, 2000, XP, 2003 Tamaño: 16,384 bytes (PECompact) Puertos: TCP 445, 5554 y 9996 Se trata de una variante básicamente idéntica a las anteriores, que es capaz de escanear 200 direcciones IP por segundo. Posee una rutina mejorada para encontrar las computadoras vulnerables. Manda un PING (Packet INternet Groper), para comprobar la conexión antes de conectarse. Este cambio puede ocasionar que no se ejecute adecuadamente en algunas configuraciones de Windows 2000. Sasser.D, además, puede ejecutarse (pero no infectar) máquinas con Windows 95, 98 y Me. Aunque estos sistemas operativos no se puedan infectar con este gusano, si pueden ser utilizados para infectar sistemas vulnerables a los que ellos puedan conectarse. En este caso, será notorio una disminución del rendimiento en equipos con Windows 9x y Me, por la cantidad de hilos simultáneos que el gusano emplea para buscar equipos infectados. Esta posibilidad de ejecutarse en equipos a los que no puede infectar, aumenta las posibilidades de propagación, y hace a este tipo de gusano algo muy peligroso. En resumen, sólo necesita ejecutarse para propagarse, no requiere ser instalado en el equipo. Otros cambios, son el nombre del ejecutable y de uno de los mutex creados. Sasser es un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04- 011.htm). Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado. LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes, y "Sasser" es el primero que la utiliza. El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:c:\windows\skynetave.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). También crea los siguientes archivos: c:\win2.log c:\windows\system32\#_up.exe (varias copias) Donde # es un número de cuatro o cinco dígitos, ejemplos: c:\windows\system32\15643_up.exe c:\windows\system32\12383_up.exe c:\windows\system32\2730_up.exe Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run skynetave.exe = c:\windows\skynetave.exe El gusano inicia 1024 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables. TCP/445 es el puerto por defecto para el servicio vulnerable, SMB (Server Message Block). Esta variante es capaz de escanear más de 200 direcciones por segundo. Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado. En Windows XP, se muestra una ventana con un mensaje muy similar al siguiente: LSA Shell (Export Version) ha encontrado un problema y debe cerrarse. Sentimos los inconvenientes ocasionados. En Windows 2000 puede aparecer una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan): Apagar el sistema Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHY\SYSTEM Tiempo restante para el apagado: xx:xx:xx Mensaje El proceso del sistema C:\WINNT\system32\lsass.exe terminó de forma inesperada indicando código 0 Windows debe reiniciar ahora. El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit). Windows 9x, Me y NT, no son vulnerables, pero esta versión puede ejecutarse en máquinas con estos sistemas operativos, siendo los mismos utilizados para infectar a aquellos sistemas vulnerables a los que puedan conectarse. Cuando se ejecuta el gusano, es notoria la caída en el rendimiento del equipo. Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996. A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE, donde # es un número de cinco dígitos), provocando la infección. El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados. El archivo C:\WIN2.LOG registra todas las transacciones FTP realizadas. El gusano crea los siguientes mutex para no ejecutarse más de una vez en memoria: Jobaka3 SkynetSasserVersionWithPingFast * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * IMPORTANTE: Instalar parches para la vulnerabilidad LSASS (MS04-011) antes de cualquier otra acción a tomar para la limpieza del gusano. MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Herramientas específicas de limpieza Descargue y ejecute cualquiera de estas herramientas en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla. http://www.vsantivirus.com/sasser-d.htm * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\win2.log c:\windows\skynetave.exe c:\windows\system32\#_up.exe (varias copias) Donde # es un número de cuatro o cinco dígitos, ejemplos: c:\windows\system32\15643_up.exe c:\windows\system32\12383_up.exe c:\windows\system32\2730_up.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: skynetave.exe 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Más información: El gusano Sasser, las lecciones no aprendidas http://www.vsantivirus.com/02-05-04.htm Preguntas frecuentes sobre el Sasser http://www.vsantivirus.com/faq-sasser.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1398 Año 8, martes 4 de mayo de 2004