Autor Tema: urgente ¡¡¡ nueva variante F del gusano Sobig...  (Leído 8447 veces)

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15179
    • http://www.daboblog.com
urgente ¡¡¡ nueva variante F del gusano Sobig...
« en: 19 de Agosto de 2003, 07:23:26 pm »
super info de symantec, :D  vaya movida con los virus

ya esta la vacuna www.daboweb.com/sitemap.htm

aqui os pongo informacion adicional sobre algunos aspectos de la herramienta de desinfeccion ( administradores o usuarios avanzados, los demas la bajais y ejecutar simplememente) http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/[email protected]

bueno, espero que os sea de utilidad, la informacion es muy completa, el virus afecta a todos los windows, hace veces de troyano y puerta trasera, muy importante, cuidado con los mails que llegan de direcciones amigas, se reenvia solo a toda la libreta y puede que piqueis, fijaros bien en los mensajes o "asunto" que os llegaran, salu2 dabo

[email protected] es un gusano que se propaga por medio del envío masivo de correos electrónicos, y también se propaga a través de los recursos compartidos de red que encuentra en los archivo con las siguientes extensiones:


.dbx
.eml
.hlp
.htm
.html
.mht
.wab
.txt

El gusano utiliza su propio servidor SMTP para propagarse e intentará crear una copia de si mismo en los recursos compartidos de la red.

Detalles de la rutina de correo electrónico:
El mensaje de correo electrónico tiene las siguientes características:

De: Dirección falsificada (Lo que significa que el nombre de quien envía el correo en el campo "De:" seguramente no será real.)
El gusano puede usar la dirección [email protected] como la dirección de quien envía.

Asunto:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details

Cuerpo del mensaje:
See the attached file for details
Please see the attached file for details.

Archivo adjunto:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

NOTA: El gusano se desactiva el 10 de septiembre del 2003. El último día en el cual el gusano se dispersará es el 9 de septiembre del 2003.

Symantec Security Response ha elaborado una herramienta de eliminación de [email protected], el uso de esta herramienta es la forma más sencilla de eliminar esta amenaza.

También conocido como:  Sobig.F [F-Secure], W32/[email protected] [McAfee], WORM SOBIG.F [Trend]
 
Tipo:  Worm
Longitud de la infección:  about 72,000 bytes
 
 
 
Sistemas afectados:  Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Sistemas no afectados:  Linux, Macintosh, OS/2, UNIX, Windows 3.x

-------------------------------------------------------------------------------
Cuando [email protected] se ejecuta, realiza las siguientes acciones:


Se copia a sí mismo como %Windir%\winppr32.exe.

NOTA: %Windir% es variable. El gusano busca la carpeta de instalación de Windows (por defecto es C:\Windows o C:\Winnt) y se copia a si mismo en esa ubicación.

Crea el siguiente archivo, %Windir%\winsst32.dat.

Agrega el valor:

"TrayX"="%Windir%\winppr32.exe /sinc"

a la llave de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

de esta forma el gusano se ejecutará al iniciar Windows

Intenta copiarse así mismo en cualquier recurso de la red, al cual le sea permitido el acceso. El gusano utilizará los estándares API's de Windows para realizar esta actividad.

Sobig.F puede descargar archivos arbitrarios a una computadora infectada y ejecutarlos. El autor de este gusano ha usado esta funcionalidad para sustraer información confidencial del sistema e instalar los servidores de relay spam en las computadoras infectadas.

Esta funcionalidad se puede también utilizar como característica para actualizarse por si mismo. Bajo condiciones correctas, Sobig.F procura entrar en contacto con uno de la lista de servidores principales, que el autor del gusano controla. Entonces, el gusano recupera una dirección URL que se utiliza para determinar de donde conseguir el archivo Troyano, descarga el archivo Troyano a la computadora local y después lo ejecuta.

En Sobig.F, las condiciones para esta descarga son:
De acuerdo al horario UTC, el día de la semana debe ser lunes o viernes.
De acuerdo al horario UTC, el horario debe de ser entre 7:00 P.M. and 11:59:59 P.M.

Sobig.F obtiene el horario UTC por medio del protocolo NTP, contactando uno de los muchos posibles servidores en el puerto 123/udp (el puerto NTP).

El gusano comienza la descarga enviando una prueba al puerto 8998/udp del servidor principal. Entonces el servidor contesta con una dirección URL de donde el gusano puede descargar el archivo para ejecutarse.

Sobig.F también abre los siguientes puertos:
995/udp
996/udp
997/udp
998/udp
999/udp

y escucha cualquier datagrama UDP en estos puertos. Analiza los datagramas entrantes y sobre la recepción de un datagrama con la firma apropiada, la lista principal del servidor del gusano puede ser actualizada.

Los administradores de red debe de realizar las siguientes tareas:
Bloquear el tráfico de entrada en los puertos 99x/udp.
Bloquear el tráfico de salida en el puerto 8998/udp.
Monitorear peticiones NTP (puerto 123/udp), pues estos podrían venir de las computadoras infectadas. (La frecuencia de tales revisiones para comprobar si existe una computadora infectada debe ser una vez por hora.)




Symantec Security Response invita a todos los usuarios y administradores a adherirse a las siguientes "mejores prácticas" básicas para su seguridad:

Desconecte y elimine todos los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como clientes de FTP, telnet y servidores de web. A través de estos servicios penetran buena parte de los ataques. Por lo tanto, si se eliminan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.
Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
Mantenga siempre el parche actualizado, sobre todo en equipos que ofrezcan servicios públicos, a los que se puede acceder a través de algún firewall como, por ejemplo, servicios HTTP, FTP, de correo y DNS.
Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños cuando un equipo es atacado o, al menos, limita esta posibilidad.
Configure su servidor de correo electrónico para que bloquee o elimine los mensajes que contengan archivos adjuntos que se utilizan comúnmente para extender virus, como archivos .vbs, .bat, .exe, .pif y .scr.
Aísle rápidamente los equipos que resulten infectados para evitar que pongan en peligro otros equipos de su organización. Realice un análisis posterior y restaure los equipos con medios que sean de su confianza.
Instruya a sus empleados para que no abran archivos adjuntos a menos que los esperen. El software descargado desde Internet no debe ejecutarse, a menos que haya sido analizado previamente en busca de virus. Basta únicamente con visitar un sitio web infectado para que pueda infectarse si las vulnerabilidades del explorador de web no han sido correctamente corregidas con parches.



Eliminación de [email protected] usando la herramienta de eliminación
Symantec Security Response ha elaborado una herramienta de eliminación de [email protected], el uso de esta herramienta es la forma más sencilla de eliminar esta amenaza.

Eliminación manual
Como alternativa a la eliminación por medio de la herramienta, usted puede eliminar manualmente esta amenaza.

Las instrucciones siguientes corresponden a todos los productos Symantec antivirus incluyendo los corporativos Symantec Antivirus y la línea de productos Norton Antivirus para consumidor.

Nota: Si usted está en red o posee una conexión a Internet permanente, como una DSL o Cable módem, desconecte la computadora de la red y de Internet. Desactive o proteja con contraseña los archivos compartidos en red, o configure dichos archivos como Solamente Lectura antes de reconectar las computadoras a la red o a Internet. Como este gusano se disemina usando carpetas compartidas de computadoras en red, para asegurarse de que el gusano no reinfectará la computadora luego de haber sido removido, Symantec sugiere compartir dichos archivos con acceso Solamente Lectura o usando la protección con contraseñas. Para obtener instrucciones sobre cómo realizar este proceso, consulte su documentación de Windows o el documento How to configure shared Windows folders for maximum network protection. (este recurso está en idioma inglés)

IMPORTANTE: No debe saltearse este paso. Usted debe desconectarse de la red antes de intentar remover este gusano.


Deshabilite Restaurar Sistema (Windows Me/XP).
Actualice las definiciones de virus.
Siga una de las siguientes acciones:
Windows 95/98/Me: Reinicie la computadora en Modo a prueba de fallos.
Windows NT/2000/XP: Finalice los procesos troyanos.
Ejecute una búsqueda completa de virus y elimine los archivos infectados con [email protected]
Elimine los valores agregados al registro de Windows.

Para detalles específicos de cada paso, lea las siguientes instrucciones.


1. Deshabilitar Restaurar sistema de Windows ME/XP
Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:
-----------------------------------------------------------------------------------

Cómo deshabilitar y habilitar Restaurar sistema en Windows Me.

 http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/sldocid/20020515174221924

Cómo habilitar o deshabilitar Restaurar sistema en Windows XP.

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/sldocid/20020515173946924

vacuna en www.daboweb.com/sitemap.htm
----------------------------------------------------------------------------------
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15179
    • http://www.daboblog.com
un poco de autopromocion
« Respuesta #1 en: 20 de Agosto de 2003, 07:24:29 pm »
por cierto, siento haber sido "pajaro de mal agüero", mirar el "virusometro de panda"  ( lo teneis en www.daboweb.com/sitemap.htm )ha cambiado su alerta hoy a las 15 h del blaster al sobig f, puedo decir muy orgulloso que ya tenia la solucion ayer a las 4 am, en la web y en vuestros mails

todo por mi gente  :D
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15179
    • http://www.daboblog.com
se me olvidaba
« Respuesta #2 en: 20 de Agosto de 2003, 07:29:38 pm »
la vacuna es para eliminarlo si os infectais, no evita que os entre el virus, tener vuestros antivirus actualizados al dia, ayer andaba entre windows y linux y arranque win, abrí el correo y el norton me lo paro 4 veces :D

os estaba preparando la solucion y lo tenia ahi....

buen ejemplo el de Norton antivirus, su "actualizacion automatica funcionó" al pelo, ( no opino de los demás porque tengo ese instalado ahora )

lo malo???? el sueño........ mirar la hora de los mails (los miembros de mi lista de correo)

que le den al Sobig f
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License