Autor Tema: W32/Cycle.A. Se propaga usando vulnerabilidad LSASS  (Leído 4009 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3210
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
W32/Cycle.A. Se propaga usando vulnerabilidad LSASS
« en: 11 de Mayo de 2004, 08:33:43 pm »
W32/Cycle.A. Se propaga usando vulnerabilidad LSASS

http://www.vsantivirus.com/cycle-a.htm

Nombre: W32/Cycle.A
Tipo: Gusano de Internet
Alias: Cycle.A, Win32/Cycle.A, WORM_CYCLE.A, Exploit-
DcomRpc.gen, Win32.Cycle.A, Cycle.A, W32/Cycle.A.worm
Fecha:  10/may/04
Plataforma: Windows 32-bit
Tamaño: 10,240 bytes (UPX)

Este gusano, programado en Visual C++, explota la misma vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm), de la que se vale el gusano Sasser.

Afecta computadoras que estén ejecutándose bajo Windows XP o 2000, sin el parche MS04-011 instalado. Sin embargo, aunque no las infecta, si puede ejecutarse en máquinas con Windows 95, 98 y Me, donde solo ejecuta su rutina para infectar otras máquinas.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.

El gusano escanea direcciones IP y una vez que detecta un sistema vulnerable, libera un archivo de texto (CYCLONE.TXT), con contenido político.

El gusano escucha por el puerto TCP/3332. Eso lo hace para reconocer máquinas que ya han sido infectadas. Cada vez que se inicia un escaneo por otros equipos vulnerables, intenta conectarse antes a ese puerto y si puede hacerlo, no intenta infectar ese equipo.

El gusano también es capaz de lanzar un ataque de denegación de servicio (DoS) a sitios específicos, además de finalizar los procesos asociados con otros gusanos (Sasser y Netsky).

Cuando se ejecuta, el gusano crea el siguiente archivo en la carpeta del sistema de Windows:

  c:\windows\system32\svchost.exe

Crea el servicio "Host Service" para dicho archivo:

  HKLM\SYSTEM\CurrentControlSet\Services\Host Service
  ObjectName = c:\windows\system32\svchost.exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000.

Un paquete especialmente creado es enviado al puerto TCP/445 de la máquina vulnerable. Este puerto es un puerto usado legítimamente por Windows 2000 y para el servicio SMB (Server Message Block), tanto sobre TCP como UDP.

Este paquete provoca un desbordamiento de búfer que permite la creación de un shell (consola de comandos) en el equipo vulnerable, quedando este a la escucha para recibir ordenes, por un puerto TCP seleccionado al azar.

El sistema invitado ejecuta un servidor TFTP, un cliente FTP, incluido por defecto en la instalación de Windows 2000, XP y Server 2003.

TFTP (Trivial File Transfer Protocol), es una versión simplificada de FTP (File Transfer Protocol), un protocolo que permite la transferencia de archivos entre dos computadoras conectadas en red.

Este servidor permite que los equipos infectados puedan descargar una copia del gusano propiamente dicho, utilizando el puerto TCP/69. La copia es guardada en el directorio del sistema de Windows.

El gusano crea el siguiente archivo de texto:

  cyclone.txt

Este archivo contiene el siguiente texto con referencias políticas:

  Hi,

  My name is Cyclone and I live in Iran, and I want to speak with you about problems that we have   in iran:

  A.In Iran we don't have any kind of freedom, because we   have islamic republic in iran:
  1.we can't speak freely about regime, we can't speak even   a little bit against them!!!
  2.I have to be a moslem otherwise they don't care about   me!
  3.we CAN'T even wear the clothes and styles that we   wants!
  4.women MUST wear a cloth that no one can even see their   hair!!!
  5.they do not allow our national celebrations to be held,   they beat us!!
  6.Many more...
  B.The human rights is not implemented in Iran and there  is no justice,

  1.Lynch is very common in Iran. If you are against the regime then you may silently killed, or if there is a tribunal, you can't say anything, everyone works against you there.
  2.1985-1990, the Islamic Republic of IRAN has been killed more than 10,000 Iranian youngs. that has been comfirmed by the documentations! This people killed without any tribunal or any proof.
  3.there is a punishment that is used so much during this   years, in this punishment, the person who must be killed   stand in a hole then others attack him with stones, this will continue until he/she dead. there is some pictures and videos that shows this terrible torture!
  4.Many more...

  C.Misery and poverty grows in Iran, because the islamic republic leaders steal the money, they stolen the money that provided by selling oil, and then the people must die because they don't have enough money to even buy a bread!!!
  D.Misery and poverty cause vice to grow, you see many young people in Iran using drugs and I think this is also a trick by the government to not allow us to arise against them!
  E.Islamic republic gave Iran a bad name. before islamic republic we can travel anywhere in the world without any problem but now we have so much problems if we want to travel a foreign country, anyone think that we are terrorist. THE PEOPLE OF IRAN ARE NOT TERRORIST, THE   ISLAMIC REPUBLIC OF IRAN IS TERRORIST.

  The people of Iran trying to arise, but failed to do.
  About one year ago, Iranian people try to say to the world that we don't need Islamic republic but the government and police beat the people who try to tell the truth and they killed some people.
  You see that they don't even care about their own people, think what happen if they gain access to an ATOMIC BOMB!!! it's very dangerous for the world.

  With all of this conditions and injustices, european governments still support islamic republic, they say that they just care about their own country! and I want to show them our WRATH!
  All of the european people are my friends and I never want to harm them, just government and the Politicians!

  If you protest against iraq war and say why there must be a war against iraq, and if you do this for humanity, please do anything that you can do for helping iranian people.
  at least make your country not to support islamic republic anymore, I'm deadly sure that if european countries do not support islamic republic. it will be destroyed after 3-6 months! so please help!

  I don't want to damage, I just want my country to grow, to improve!!! I have no other way to tell this words to world, sorry!!

El gusano también puede lanzar un ataque de denegación de servicio (DoS) a los siguientes sitios de Internet, siempre que la fecha actual del sistema no se encuentre entre el 1 y el 18 de mayo, ambos inclusive:

  www.bbc.com (British Broadcasting Company)
  www.irna.com (Islamic Republic News Agency)

También finaliza los procesos asociados con los gusanos Sasser.A y Netsky.A:

  avserve.exe
  avserve2.exe
  msblast.exe
  skynetave.exe

Cómo el gusano provoca un desbordamiento de búfer en el archivo LSASS.EXE de Windows, como en el caso del Sasser, ello provoca el fallo de este componente con el consiguiente reinicio del sistema, mostrando mensajes como el siguiente:

  Apagar el sistema

  Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado.
  El apagado ha sido iniciado por NT AUTORITHY\SYSTEM

  Tiempo restante
  para el apagado: xx:xx:xx

  Mensaje
  El proceso del sistema C:\WINDOWS\system32\lsass.exe ha
  finalizado inesperadamente y muestra el error de código 0
  Windows debe reiniciar ahora.

El gusano también crea los siguientes mutex para evitar que el gusano Sasser se ejecute:

  Jobaka3
  Jobaka3l
  JumpallsNlsTillt
  SkynetSasserVersionWithPingFast


* Reparación manual

Debido a que los equipos infectados se reinician constantemente cada 60 segundos, las tareas de limpieza, incluida la descarga de antivirus, herramientas y parches de Microsoft, pueden verse dificultadas.

Uno de lo trucos para evitar esto, consiste en atrasar la hora del sistema. Para ello, cuando aparezca la ventana que indica que el sistema será reiniciado por un error, haga doble clic sobre el reloj que aparece en la parte inferior del escritorio de Windows, y atrase la hora en la pantalla de
configuración que se despliega (una o dos horas es suficiente). Recuerde volver a actualizar el reloj, una vez que su equipo esté libre del gusano.


* Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


* Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


* Herramientas específicas de limpieza

Descargue y ejecute cualquiera de estas herramientas en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.

McAfee AVERT Stinger
http://download.nai.com/products/mcafee-avert/stinger.exe


* Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

  HKEY_LOCAL_MACHINE
  \SYSTEM
  \CurrentControlSet
  \Services
  \Host Service

3. Pinche en la carpeta "Host Service" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

  ObjectName = c:\windows\system32\svchost.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


* Información adicional

* Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Ya tenemos otro...

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15865
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
W32/Cycle.A. Se propaga usando vulnerabilidad LSASS
« Respuesta #1 en: 11 de Mayo de 2004, 08:48:48 pm »
Muchas gracias Danae.  Te lo pongo con pos-it.

Un saludo

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3210
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
W32/Cycle.A. Se propaga usando vulnerabilidad LSASS
« Respuesta #2 en: 11 de Mayo de 2004, 08:51:55 pm »
Con pos.it  :?: ?

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
W32/Cycle.A. Se propaga usando vulnerabilidad LSASS
« Respuesta #3 en: 12 de Mayo de 2004, 12:14:49 am »
en lugar de un post "normal", queda arriba, debajo de los "anuncios", es una cuestion de importancia

nos hacemos eco y estamos con ello, gracias amiga  :!:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License