Yahoo! revela las direcciones de sus usuariosEste fin de semana, hizo su aparición un nuevo gusano, con una característica novedosa que nos sorprendió, aunque el gusano en si mismo no tiene nada de sorprendente.
En términos generales "Evaman" (hasta el momento con dos versiones detectadas, W32/Evaman.A y W32/Evaman.B), es un gusano como tantos, que nos infecta al abrir el adjunto y luego se propaga desde nuestra computadora a otras, usando diferentes direcciones de correo para propagarse.
El gusano está catalogado como de bajo riesgo por la mayoría de los fabricantes de antivirus.
El texto de los mensajes infectados, pretende hacernos creer que se trata de una devolución de nuestro servidor ("Delivery to last recipient failed. Email returned as attachment text file", etc.) Pero aunque nos indique que el adjunto es el mensaje devuelto, el archivo es en realidad un ejecutable.
El remitente es falso, y está formado por una lista de nombres al que se le agrega el dominio del destinatario.
De este modo, si su dirección es "maria23 @ Hotmail .com", el remitente podría ser "daniel @ Hotmail .com" o "sarah @ Hotmail .com" (daniel y sarah son dos de los nombres que trae el gusano en su lista).
Pero lo curioso, es el método que utiliza para conseguir la lista de direcciones a las cuáles enviarse, y así propagarse.
El gusano genera cadenas al azar de 2 o tres caracteres y con ellas envía consultas a la dirección "email .people .yahoo .com", intentando obtener las direcciones de todos los usuarios cuyo primer nombre incluya las cadenas generadas.
Y aquí está el problema, ya que se trata al menos, de una grave omisión de Yahoo!, el dejar que las direcciones de sus usuarios sea tan fácilmente accesible por cualquiera que desee verlas.
Para comprobar lo fácil que es obtener direcciones de allí, basta con ir a una dirección (que no se va a decir),y en el campo "First Name:" poner una letra cualquiera y un asterisco, por ejemplo: A*
Y ¡voilá!... Tendrá a su vista al menos las primeras 200 direcciones de los usuarios registrados en ese servicio. Y no solo son direcciones de Yahoo.com, sino la dirección de contacto que haya dejado el usuario en su perfil de configuración.
Sin dudas esta fuga de información, se trata de una grave omisión de Yahoo!, ahora revelada públicamente por el gusano Evaman. ¿Acaso los usuarios de Yahoo! sabían que sus datos podían ser accedidos tan fácilmente?. De este modo no solo podrán ser las víctimas de spam, sino también de la posible infección de un gusano.
Hasta el momento de escribir este artículo, el buscador de Yahoo! seguía comportándose como aquí se describe, por lo que no sería extraño ver otras variantes de éste u otros gusanos que se aprovechen de agujeros similares en el futuro.
Más información:
http://www.vsantivirus.com/06-07-04.htmW32/Evaman.B. Roba direcciones de YahooNombre: W32/Evaman.B
Tipo: Gusano de Internet
Alias: Evaman.B, W32.Evaman@mm, Win32/Evaman.B, Win32.Evaman.B, I-Worm.Evaman.b, W32/Evaman@MM, W32/Evaman-B
Fecha: 6/jul/04
Plataforma: Windows 32-bit
Tamaño: 14,848 bytes (UPX)
Variante similar a la versión "A". (alerta de ayer) Gusano de envío masivo por correo electrónico, que se propaga por direcciones de correo obtenidas en el sitio "email.people.yahoo.com".
Llega en un adjunto con extensión .EXE o .SCR, en mensajes como los siguientes:
De: [nombre]+[dominio]
Donde [nombre] puede ser uno de los siguientes:
barbara
daniel
david
eric
jason
jennifer
jessica
joe
john
karen
kevin
linda
mary
mike
nancy
pamela
patricia
robert
sarah
susan
Y [dominio] es el mismo del destinatario que recibe el mensaje. Por ejemplo, si el destinatario es
[email protected], el remitente podría ser alguno de los siguientes:
[email protected][email protected][email protected][email protected], etc...
Asunto: [uno de los siguientes]
Delivery Status (Failure)
failed transaction
failure delivery
mail failure
returned mail
server error
Texto del mensaje: [uno de los siguientes]
Ejemplo 1:
This is an automatically generated Delivery Status
Notification.
Delivery to last recipient failed.
Email returned as attachment text file.
Ejemplo 2:
Message from Mail Delivery Server.
Unable to deliver message to last recipient.
Email returned as text file.
Ejemplo 3:
Email returned by the server as ASCII Text mail file.
To read the email download the included attachment.
Ejemplo 4:
Mail Server Notice:
Last email sent could not reach intented destination.
Email returned as ASCII text file.
Ejemplo 5:
The last email sent by this account could not reach
intended destination.
Email has been returned as text file attachment.
Ejemplo 6:
Mail Delivery Status Notification:
Message returned by server. Message returned as text
file attachment.
Datos adjuntos: [nombre]+[extensión]
Donde [nombre] es una de las siguientes cadenas:
body
email
message
returned
text
Y [extensión] es una de las siguientes:
.html.scr
.outlook.scrtxt.exe
.scr
.txt.scr
Ejemplos:
body.html.scr
text.outlook.scrtxt.exe
Por un error del gusano, el nombre puede contener caracteres extras no imprimibles:
text.²±?×??ý
Cuando se ejecuta por primera, abre el Bloc de notas (notepad.exe).
Crea las siguientes entradas en el registro, la última para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Wintasks
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Wintasks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wintasks.exe = c:\windows\system\wintasks.exe
El ejecutable del gusano se copia en la carpeta del sistema de Windows:
c:\windows\system\wintasks.exe
W32/Evaman.A. Roba direcciones de Yahoo
http://www.vsantivirus.com/evaman-a.htmW32/Evaman.B. Roba direcciones de Yahoo
Más información:
http://www.vsantivirus.com/evaman-b.htmBagle.AE Variante recompilada de Bagle.AD, escrito en Visual C.
Nombre completo: Worm.W32/Bagle.AE
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 w32
Tamaño comprimido (bytes): 67000
Alias:W32/Bagle.ae@MM (McAfee), I-Worm.Bagle.ad (Kaspersky (viruslist.com)), W32/Bagle.AE.worm (Otros) Los adjuntos poseen extensiones .COM, .CPL, .EXE, .HTA, .SCR, .VBS, o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus.
Además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)
Utiliza varios mutex para prevenir que el gusano W32/Netsky y sus variantes, puedan ejecutarse.
El gusano agrega su propio código fuente en assembler, encriptado en su interior. Esto puede facilitar la aparición de nuevas variantes.
Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4056Mota Gusano que se propaga utilizando el correo electrónico, se envía a todas las direcciones obtenidas de la maquina infectada.
Nombre completo: Worm.W32/Mota
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Windows
Tamaño (bytes): 27136
Alias:WIN32/MOTA.A (Enciclopedia Virus (Ontinent)), W32.Mota.A@mm (Symantec)
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4055Korgo.X Korgo.X es un gusano que se propaga a través de Internet, explotando la vulnerabilidad LSASS en ordenadores remotos. Esta vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido convenientemente actualizados. El parche para corregirla puede descargarse de:
http://www.microsoft.com/spain/technet/seguridad/boletines/MS04-011-IT.aspKorgo.X se conecta a una serie de servidores IRC, de los que puede descargarse archivos para posteriormente ejecutarlos en el ordenador afectado.
Korgo.X sólo se propaga de manera automática a ordenadores con Windows XP/2000. Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En este último caso, Korgo.X convertiría dicho ordenador en un nuevo foco de propagación.
Korgo.X es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia. No provoca que el ordenador infectado se tenga que reiniciar.
Nombre completo: Worm.W32/Korgo.X
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Windows 2003/XP/2000/NT
Tamaño comprimido (bytes): 11776
Alias:W32/Korgo.X.worm (Panda Software)
EFECTOSAunque Korgo.X emplea la vulnerabilidad LSASS para afectar el ordenador, sin embargo no provoca la aparición de un mensaje de error con una cuenta atrás y el posterior reinicio del ordenador, característica habitual de los malware que emplean dicha vulnerabilidad.
Korgo.X evita el reinicio en un intento de pasar desapercibido.Korgo.X realiza las siguientes acciones:
Intenta conectarse a los siguientes servidores IRC, utilizando para ello un nombre de usuario aleatorio y el canal #taty. De dichos servidores, descarga archivos que posteriormente ejecuta en el ordenador afectado:
broadway.ny.us.dal.net
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
ced.dal.net
coins.dal.net
diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
graz.at.eu.undernet.org
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org
moscow-advokat.ru
ozbytes.dal.net
qis.md.us.dal.net
vancouver.dal.net
viking.dal.net
washington.dc.us.undernet.org
Se coloca residente en memoria. Esto lo consigue copiándose a sí mismo en el espacio de memoria ocupado por el proceso EXPLORER.EXE. De este modo, el usuario no podrá observar ningún proceso sospechoso, ni siquiera en el Administrador de tareas.
Aunque Korgo.X emplea la vulnerabilidad LSASS para afectar el ordenador, sin embargo
no provoca la aparición de un mensaje de error con una cuenta atrás y el posterior reinicio del ordenador, característica habitual de los malware que emplean dicha vulnerabilidad. Korgo.X evita el reinicio en un intento de pasar desapercibido.
Método de infección
Korgo.X crea un archivo con nombre aleatorio y extensión EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4054DENEGACIÓN DE SERVICIO EN IBM LOTUS DOMINO WEB ACCESS 6.XSe ha descubierto una vulnerabilidad en IBM Lotus Domino Web Access (anteriormente denominado iNotes) que puede ser explotada por usuarios maliciosos para provocar una denegación de servicio.
La vulnerabilidad se debe a un error sin especificar que se da en el tratamiento de los mensajes, y podrá ser explotada por un atacante que envíe un mensaje con una imagen JPG especialmente creada a tal efecto y de gran tamaño (unos 12 MB). Cuando se abre el correo, se provoca la caída del servidor Domino. La vulnerabilidad se ha confirmado en una versión 6.5.1 de Domino, aunque no se descarta que afecte a otras versiones del programa.
La compañía no planea publicar un parche de actualización, pero recomienda limitar el tamaño máximo de los mensajes a manejar.
Más información:
http://www.securiteam.com/securitynews/5UP021FDFG.html
