« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: 13 de noviembre, virus  (Leído 2526 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
13 de noviembre, virus
« en: 13 de Noviembre de 2004, 05:35:45 pm »
W32/Bofra.H. Se vale de la vulnerabilidad en IFRAME
Nombre: W32/Bofra.H
Nombre Nod32: Win32/Bofra.H
Tipo: Gusano de Internet
Alias: Bofra.H, Win32/Bofra.H, W32/Bofra-G, W32.Bofra.E, W32.Bofra.E@mm, I-Worm.Bofra.gen, W32/Mydoom.gen@MM
Plataforma: Windows 32-bit
Tamaño: 20 Kb
Puertos: TCP 1639, TCP 1640, TCP 6667

Basado en el código del Mydoom, este gusano posee características propias debido a lo cuál, la mayoría de los antivirus lo clasifican dentro de una nueva familia de gusanos denominada Bofra.

Esta variante ha sido detectada el 12 de noviembre de 2004. Se vale de una vulnerabilidad recientemente descubierta en el Internet Explorer y que se describe en el siguiente artículo:

Desbordamiento de búfer con etiqueta IFRAME en IE
http://www.vsantivirus.com/vul-ie-iframe-031104.htm

El gusano se propaga por medio de mensajes de correo electrónico, enviados a direcciones obtenidas en archivos del sistema infectado.

El mensaje no posee adjunto alguno. El enlace incluido en su texto, apunta al sistema infectado. Haciendo clic en dicho enlace, se accede a un servidor Web que se está ejecutando en el sistema comprometido (la computadora que envió el mensaje). Dicho servidor ofrece un documento HTML conteniendo el código en JavaScript para provocar un desbordamiento de búfer, debido a un error de límites en el manejo de ciertos atributos de las etiquetas FRAME e IFRAME por parte del Internet Explorer. Este desbordamiento de búfer provoca la ejecución del gusano.

Los mensajes enviados poseen las siguientes características:

De: [usuario]@[dominio]
Donde [usuario] puede ser alguno de los siguientes nombres:
adam
alex
alice
andrew
anna
bill
bob
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom
y [dominio] uno de los siguientes (entre otros):
aol.com
hotmail.com
msn.com
yahoo.com
Asunto: [alguno de los siguientes]
- [caracteres al azar]
- [vacío]
- Confirmation
- CONFIRMATION
- funny photos :)
- hello
- Hello!
- hello!
- Hey!
- HEY!
- hey!
- Hi!
- HI!
Texto del mensaje:

Ejemplo 1:
Congratulations! PayPal has successfully charged $175
to your credit card. Your order tracking number is
A866DEC0, and your item will be shipped within three
business days.
To see details please click this link.

DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is
being sent by an automated message system and the reply
will not be received.

Thank you for using PayPal.
Ejemplo 2:
Hi! I am looking for new friends.
My name is Jane, I am from Miami, FL.

See my homepage with my weblog and last webcam photos!
See you!
Ejemplo 3:
Hi! I am looking for new friends. I am from Miami, FL.
You can see my homepage with my last webcam photos!
Hello!
Ejemplo 4:
FREE ADULT VIDEO! SIGN UP NOW!
Ejemplo 5:
Look at my homepage with my last webcam photos!
Los mensajes contienen un enlace al equipo infectado que envía el mensaje.

Las propiedades del mensaje, pueden contener alguno de los siguientes campos:
X-AntiVirus: scanned for viruses by AMaViS 0.2.1
(http:/ /amavis .org/)

X-AntiVirus: Checked by Dr.Web (http:/ /www .drweb .net)

X-AntiVirus: Checked for viruses by Gordano's AntiVirus
Software
Los sistemas infectados mostrarán al Internet Explorer escuchando por el puerto TCP 1639 o 1640, el puerto donde se ejecuta el servidor Web.

Si el usuario sigue el enlace enviado por el gusano, es conectado con un servidor Web la computadora infectada:
http://[dirección IP]:[puerto]/[página]
Donde [dirección IP] es la IP actual de la máquina que envió el mensaje, [puerto] es el puerto usado (por ejemplo 1639 o 1640), y página el nombre de un documento HTML, por ejemplo INDEX.HTM, WEBCAM.HTM, etc.

Esa página es la que contiene el código para provocar el desbordamiento de búfer. Al ser visualizada, se ejecuta el código de una consola de comandos (shell), que instruye a la máquina local a descargar un archivo remoto:
http://[dirección IP]:[puerto]/[archivo a descargar]
El [archivo a descargar], (generalmente REACTOR, sin extensión), es almacenado en el escritorio del usuario con el nombre de VV.DAT y luego ejecutado.

Cuando se ejecuta, el gusano crea un archivo en la carpeta System de Windows:
c:\windows\system32\??????32.exe
Donde los "????" son caracteres al azar.

También se crean las siguientes entradas en el registro, las primeras para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[nombre] = C:\WINDOWS\System32\??????32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre] = C:\WINDOWS\System32\??????32.exe
Donde [nombre] puede ser alguno de los siguientes:
center
reactor
Rhino
Reactor?
El caracter "?" en "Reactor" representa un dígito, por ejemplo "Reactor3", "Reactor4", "Reactor8", etc.
También se pueden crear las siguientes entradas:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore\Version
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore\Version
Cuando el archivo "??????32.exe" es ejecutado, se ejecuta un servidor en el equipo infectado, y se envían los mensajes antes descriptos, conteniendo el enlace a dicho equipo.

El gusano contiene una lista de servidores IRC, a los que intenta conectarse a través del puerto TCP 6667:
broadway.ny.us.dal.net
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
ced.dal.net
coins.dal.net
diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org
ozbytes.dal.net
qis.md.us.dal.net
vancouver.dal.net
viking.dal.net
washington.dc.us.undernet.org
Posee un componente de acceso remoto a través de una puerta trasera, capaz de recibir instrucciones de un atacante desde los canales de IRC a los que se conecta.

El gusano obtiene direcciones a las que enviarse, de archivos de la máquina infectada con las siguientes extensiones:
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab
Evita enviarse a direcciones que contengan cualquiera de las siguientes cadenas en sus nombres:
.gov
.mil
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
you
your
El gusano intenta además borrar las entradas en el registro de versiones anteriores del propio gusano.

Funciona hasta el 16 de diciembre de 2004. Después de esa fecha, al ser ejecutado no realiza ninguna acción.

Los usuarios con Windows XP SP2 no son afectados por la vulnerabilidad que permite la ejecución de este gusano.

Reparación Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\ComExplore
3. Haga clic en la carpeta "ComExplore" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas que coincidan con alguno de los siguientes nombres:
center
reactor
Rhino
Reactor?
El caracter "?" en "Reactor" representa un dígito, por ejemplo "Reactor3", "Reactor4", "Reactor8", etc.
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\ComExplore
7. Haga clic en la carpeta "ComExplore" y bórrela.
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
9. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas que coincidan con alguno de los siguientes nombres:
center
reactor
Rhino
Reactor?
El caracter "?" en "Reactor" representa un dígito, por ejemplo "Reactor3", "Reactor4", "Reactor8", etc.
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información: http://www.vsantivirus.com/bofra-h.htm

W32/Cran.A. Usa vulnerabilidad en LSASS (MS04-011)
Nombre: W32/Cran.A
Tipo: Gusano de Internet
Alias: Cran, W32/Cran.worm.a, Win32/Cran.A, Exploit-DcomRPC, Sniff-NT110, Exploit-MS04-011.gen
Fecha: 12/nov/04
Plataforma: Windows 32-bit
Tamaño: 100,352 bytes
Este gusano se propaga a través de la vulnerabilidad en el servicio Local Security Authority Subsystem Service (LSASS) de Windows, corregida por Microsoft en su actualización MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm).

El gusano libera una serie de componentes en la máquina infectada, utilizados para su propagación. Uno de esos componentes (LSASSEX.EXE), ataca dos mil direcciones IP generadas al azar para producir un acceso por puerta trasera en cada equipo vulnerable.

Un segundo componente, es una herramienta normalmente utilizada para administración de redes (NC.EXE), el cuál intenta conectarse al backdoor creado en cada máquina atacada, descargando el gusano propiamente dicho desde un servidor FTP al equipo de la víctima, para luego ejecutarlo. Utiliza para esto y otras acciones, varios archivos .BAT.

El gusano se copia a si mismo en el directorio de Windows con el siguiente nombre:
c:\windows\lsas12.exe

Crea la siguiente clave del registro para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
LSASScran = c:\wndows\lsas12.exe
Abre un acceso por puerta trasera en el puerto 4444, y libera los siguientes archivos:
c:\windows\downloader.bat
c:\windows\ftpdw.txt
c:\windows\lsas12.exe
c:\windows\lsassex.bat
c:\windows\lsassex.exe
c:\windows\lsassex.txt
c:\windows\nc.exe
c:\windows\starter.bat
c:\windows\starter2.bat
c:\windows\system32\readme.txt

Reparación
IMPORTANTE:
Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04-011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm

Antivirus
Actualice sus antivirus con las últimas definiciones,
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.

Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\downloader.bat
c:\windows\ftpdw.txt
c:\windows\lsas12.exe
c:\windows\lsas12.exe
c:\windows\lsassex.bat
c:\windows\lsassex.exe
c:\windows\lsassex.txt
c:\windows\nc.exe
c:\windows\starter.bat
c:\windows\starter2.bat
c:\windows\system32\readme.txt
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
LSASScran
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información: http://www.vsantivirus.com/cran-a.htm
En línea

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15348
    • https://www.daboblog.com
13 de noviembre, virus
« Respuesta #1 en: 13 de Noviembre de 2004, 05:36:47 pm »
gracias DNE

 8)
En línea
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15869
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
13 de noviembre, virus
« Respuesta #2 en: 13 de Noviembre de 2004, 07:43:11 pm »
gracias  DNE.

Un saludo
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.