W32/Gaobot.UC. Se copia como "wmmon32.exe"Nombre: W32/Gaobot.UC
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.UC, Agobot.UC, WORM_AGOBOT.UC, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 113,190 bytes
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades:
Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
MS03-039 Ejecución de código en servicio RPCSS (824146)
Windows XP vulnerable al acceso no autorizado (MS01-059)
Elevación de privilegios en las tareas de SQL Server
MS04-011 Actualización crítica (LSASS) (835732)
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\wmmon32.exe
También copia la siguiente utilidad que no posee código viral. Es una herramienta legítima usada por el gusano para su propagación:
c:\windows\system32\npf.sys
Más información:
http://www.vsantivirus.com/gaobot-uc.htmW32/Lovgate.V. Usa e-mail y recursos compartidosNombre: W32/Lovgate.V
Tipo: Gusano de Internet
Alias: Lovgate.V, W32/Lovgate-V, I-Worm.LovGate.w, W32.Lovgate.Gen@mm, WORM_LOVGATE.V
Plataforma: Windows 32-bit
Puerto: TCP 6000
Gusano que se propaga masivamente por correo electrónico, y recursos compartidos en redes.
La máquina infectada puede ser accedida por un atacante a través de una puerta trasera instalada por el gusano.
Es capaz de renombrar archivos .EXE como .ZMX
Los mensajes infectados pueden tener adjuntos con extensiones .EXE, .PIF, .RAR, .SCR o .ZIP. El mensaje también puede ser la respuesta a un mensaje enviado anteriormente a un usuario que ahora ha sido infectado (no abra adjuntos de usuarios conocidos sin haber confirmado con el remitente su envío, podría ser una respuesta automática del gusano a uno de sus mensajes, en un mensaje infectado).
Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows y del Outlook, y a todas las direcciones que extrae de archivos de las máquinas infectadas.
Más información:
http://www.vsantivirus.com/lovgate-v.htmMS04-022 Programador de tareas vulnerable (841873)Se ha detectado un problema de seguridad en el Programador de tareas de Windows 2000 y XP, que podría permitir a un usuario malintencionado tomar el control del sistema.
Nivel de gravedad: Crítico
Impacto: Ejecución remota de código
Fecha revisión: 13 de julio de 2004
Fecha actualización: 19 de julio de 2004
Software afectado:
- Microsoft Windows 2000 SP2, SP3, SP4
- Microsoft Windows XP
- Microsoft Windows XP SP1
- Microsoft Windows XP 64-Bit Edition SP1
Software NO afectado:
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows NT Workstation 4.0 SP6a
- Microsoft Windows NT Server 4.0 SP6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition SP6
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (Me)
Componentes afectados:
- Internet Explorer 6 SP1 cuando se instala en Windows NT 4.0 SP6a
Windows NT Workstation 4.0, Windows NT Server 4.0 y Windows NT 4.0 Terminal Server Edition, no son afectados por defecto. Sin embargo, si se instala Internet Explorer 6.0 SP1, el sistema será vulnerable.
Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft.
Descripción
Esta actualización resuelve una nueva vulnerabilidad reportada en forma privada.
La vulnerabilidad se produce por un desbordamiento de búfer en el planificador de tareas (Tareas programadas). El fallo permite la ejecución de código en forma remota.
Tareas programadas de Microsoft (Mstask.dll), es un API (Application Program Interface), o interfase de programa de aplicación utilizado para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo, basado en un objeto COM (Modelo de Objetos Componentes). Se trata de un control ActiveX que proporciona un servicio para planificar y ejecutar comandos arbitrarios en el sistema.
Este elemento genera un desbordamiento de búfer que puede permitir a un atacante la ejecución remota de código. El desbordamiento se produce por no verificarse adecuadamente algunos atributos de los nombres de los comandos que están programados para ejecutarse.
El fallo puede explotarse si un intruso convence a su víctima para que visite una página Web maliciosa, o le envía un mensaje en formato HTML. También si lo obliga a ejecutar un archivo con extensión .JOB.
Los archivos .JOB son creados por el Programador de tareas cuando se añade una nueva tarea a través del panel de control, y se almacenan en la carpeta WINDOWS\TASKS.
Si el usuario activo posee privilegios de administrador, un atacante podría aprovechar esta vulnerabilidad para tomar el control completo del sistema infectado, con la posibilidad de instalar programas; ver, cambiar o borrar datos; o crear nuevas cuentas asignándoles privilegios totales a las mismas.
Sin embargo, es necesaria la interacción con el usuario para explotar este fallo satisfactoriamente. Si el usuario actual no posee privilegios de administrador, los riesgos se reducen.
ACTUALIZACIÓN 19/JUL/04
Han surgido versiones sobre la aparición de nuevos exploits que afirman saltearse el parche publicado para esta vulnerabilidad. Aunque Microsoft no confirma ni desmiente esto, el lunes 19 publicó la siguiente ayuda complementaria a la implantación del parche. Se sugiere seguir los siguientes consejos, además de aplicar la actualización correspondiente.
Esta modificación en el registro no corrige la vulnerabilidad en si misma, pero ayuda a disminuir el riesgo de su explotación maliciosa en forma remota, o por medio de otros vectores conocidos de posibles ataques (se sugiere la instalación del parche de todos modos).
LO SUGERIDO POR MICROSOFT:
1. No abra ni guarde archivos .JOB que usted reciba desde fuentes no confiables, o en mensajes no solicitados desde cualquier fuente. Esta vulnerabilidad podría explotarse cuando un usuario ve un archivo .JOB. No abra archivos con extensión .JOB.
2. Deshabilite el manejador dinámico de iconos para archivos JobObject, cambiando el valor por defecto en la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JobObject\shellex\IconHandler
Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.
Luego, abra la siguiente rama del registro:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\JobObject
\shellex
\IconHandler
Pulse en la carpeta "IconHandler", y en el panel de la derecha, busque y borre la siguiente cadena:
{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}
Parches:
Los parches pueden descargarse de los siguientes enlaces:
Actualización de seguridad para Windows 2000 (KB841873)
http://www.microsoft.com/downloads/details.aspx?FamilyId=BBF3C8A1-7D72-4CE9-A586-7C837B499C08&displaylang=es
Actualización de seguridad para Windows XP (KB841873)
http://www.microsoft.com/downloads/details.aspx?FamilyId=8E8D0A2D-D3B9-4DE8-8B6F-FC27715BC0CF&displaylang=es
Nota:
Antes de instalar estos parches verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.
Más información:
Microsoft Security Bulletin MS04-022
www.microsoft.com/technet/security/bulletin/ms04-022.mspxMicrosoft Knowledge Base Article - 841873
http://support.microsoft.com/?kbid=841873Más información:
http://www.vsantivirus.com/vulms04-022.htmKuna.A Macro que modifica la configuración de Microsoft Office e infecta documentos de Word.
Nombre completo: Virus.W97M/Kuna.A
Tipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
Plataforma: [W97M] - Virus de Word 97 y posteriores
Tamaño (bytes): 10104
Alias:W97M.Kuna (Symantec), W97M/KUNA.A (Enciclopedia Virus (Ontinent))
Cuando se ejecuta desactiva las siguientes opciones de Word:
La protección de virus en Word.
La ventana ¿Desea guardar los cambios efectuados en...?
Infecta todos lo documentos abiertos además de la plantilla "Normal.dot".
Si se hace clic en el menú "Herramientas", " Opciones", el virus puede activar o desactivar las siguientes opciones:
La ventana ¿Desea guardar los cambios efectuados en...?
La protección de virus en Word.
Mostrar el menú de opciones.
Si se hace clic en el menú "Herramientas", "Macro", muestra en pantalla el siguiente mensaje:
MACROS HAVE BEEN phylosophized
(using UDSM-phylo encoding, You are Virus FREE!)
Si se hace clic en el menú "Ayuda", "Acerca de Microsoft Word", muestra en pantalla el siguiente mensaje:
You must be phylosophized
(using UDSM-phylo encoding)
Si se intenta ver el código de la macro, y la fecha del sistema es mayor al 1 de junio del 2003 y la hora es entre las 12:00 AM y 6:00 AM, muestra en pantalla el siguiente mensaje:
Enter Nkunya Password
Si no se cumple ninguna se esas condiciones muestra en pantalla el siguiente mensaje:
Special Message
"We are rockin, and we are out there ...
Thanks To the UDSM Administration for always
considaringStudents Interests Whenever Decisions
are Made conserning The welfare of UDSM Community."
Special Thanks to All Those who think that Students
Have the Leastpriority in this University, and
those who thinkThat students are only disturbibg
when they are fighting for their rightsWithout
considering the fact that they never think of themor
their problems when they are not "disturbing"
Hey! I think there are a few wise guys out there
thereTo mention a few Big up to
(1) Prof. Shivji
(2) Prof. Chachage
(3) Prof. Matayo
You guys sometimes really think ...
By UDSM Student (aliyekereka mno)
Si la fecha es superior al 31 de diciembre de 2002 y se cierra Microsoft Word muestra el siguiente mensaje:
Special Message
"We are rockin, and we are out there ...
Thanks To the UDSM Administration for always
considaringStudents Interests Whenever Decisions
are Made conserningThe welfare of UDSM Community."
Special Thanks to All Those who think that Students
Have theLeast priority in this University, and those
who thinkThat students are only disturbibg when they
are fighting for their rightsWithout considering the
fact that they never think of themor their problems
when they are not "disturbing"
Hey! I think there are a few wise guys out there
thereTo mention a few Big up to
(1) Prof. Shivji
(2) Prof. Chachage
(3) Prof. Matayo
You guys sometimes really think ...
By UDSM Student (aliyekereka mno)
Si el día es viernes o domingo y la hora es entre las 8:00 AM y 6:00 PM emite un sonido y muestra en pantalla el siguiente mensaje:
THANKS NKUNYA AND MSHANA FOR CARING ABOUT STUDENTS
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4099Delf.DU Delf.DU es un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.
Nombre completo: Backdoor.W32/Delf.DU
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Troj/Delf-DU (Sophos), BackDoor-CGP (McAfee), Backdoor.Delf.nm (Kaspersky (viruslist.com)), Win32.Kol.D (Computer Associates), Keylogger.Trojan (Symantec)
Este troyano se copia en la carpeta System de Windows con el nombre services.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Services = C:\Windows\system32\services.exe
Una vez instalado, Delf.DU conecta con un servidor IRC en un canal específico donde aguardará las instrucciones del atacante.
El troyano terminará los procesos de programas que contengan las siguientes cadenas:
winnt35.exe
w.exe
mb.exe
~.exe
1.exe
2.exe
scan.exe
svshost.exe
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4098Lovgate.AQ Gusano con capacidad de puerta trasera que emplea diversas técnicas de propagación, como mensajes de correo electrónico, el programa de intercambio de ficheros P2P KaZaA, recursos compartidos de red, etc.
Lovgate.AQ abre un puerto y envía un mensaje de correo a un usuario remoto, con objeto de notificar que el ordenador ha sido afectado y es accesible a través del puerto abierto. Además, intenta conseguir por el método de la fuerza bruta la contraseña de acceso del administrador del equipo.
Adicionalmente, Lovgate.AQ intenta finalizar procesos que contengan determinadas cadenas de texto, relacionadas principalmente con otros gusanos.
Nombre completo: Worm-Backdoor.W32/Lovgate.AQ@P2P+MM
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico
Tamaño comprimido (bytes): 172776
Alias:W32/Lovgate.AQ.worm (Panda Software), Win32.Lovgate.AS (Computer Associates), W32/Lovgate.aj@MM (McAfee), I-Worm.LovGate.ai (Kaspersky (viruslist.com))
Abre un puerto y envía un mensaje de correo a un usuario remoto, con objeto de notificar que el ordenador ha sido afectado y es accesible a través del puerto abierto.
Intenta conseguir con un método de fuerza bruta la contraseña de acceso del administrador del equipo.
Intenta finalizar procesos que contengan las siguientes cadenas de texto:
Duba, Gate, KAV, kill, KV, McAfee, NAV, RavMon.exe, Rfw.exe, rising, SkyNet y Symantec.
Estas cadenas están relacionadas principalmente con otros gusanos.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4097
