Foros del Web » Administración de Sistemas » Seguridad y redes »

virus recién salido del horno?

Estas en el tema de virus recién salido del horno? en el foro de Seguridad y redes en Foros del Web. tienen alguna información de un nuevo virus que anda circulando? ya recibí más de 30 correos con ese virus, pero mi antivirus (NAVCE) no lo ...
  #1 (permalink)  
Antiguo 05/06/2003, 12:49
Avatar de AlZuwaga
Colaborador
 
Fecha de Ingreso: febrero-2001
Ubicación: 34.517 S, 58.500 O
Mensajes: 14.550
Antigüedad: 23 años, 10 meses
Puntos: 535
virus recién salido del horno?

tienen alguna información de un nuevo virus que anda circulando?
ya recibí más de 30 correos con ese virus, pero mi antivirus (NAVCE) no lo detecta... hoy le puse la última actualización, pero es del día de ayer.. así que ni idea del nombre ni lo que hace.

saludos

Ya se cual es.. es el W32.Bugbear.B@mm.

El problema es que no me está funcionando el live-update y la actualización manual con el Intelligent Updater es de ayer (4/6)!!!

No hay otra manera de actualizarlo??

!!! Ahora funcionó el Live-Update...
No me pregunten qué pasó, pero desde hace unos cuantos meses dejó de funcionar y me acostumbré a hacer la actualización manual... hoy lo pruebo y zaz! FUNCIONA DE NUEVO

olviden este mensaje unipersonal, gracias
  #2 (permalink)  
Antiguo 05/06/2003, 18:23
 
Fecha de Ingreso: febrero-2002
Ubicación: Chile
Mensajes: 1.573
Antigüedad: 22 años, 10 meses
Puntos: 2
de nada
  #3 (permalink)  
Antiguo 06/06/2003, 04:47
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 2 meses
Puntos: 14
deteccion con snort

Si alguien tiene Snort.

Código:
lert tcp $HOME_NET any -> $EXTERNAL_NET 36794 (msg:"BugBear Virus"; flags: PA; content: ".exe"; nocase;
classtype:misc-activity ;)
alert tcp $HOME_NET any -> $EXTERNAL_NET 36794 (msg:"BugBear Virus"; flags: PA; content: ".pif"; nocase;
classtype:misc-activity ;)
alert tcp $HOME_NET any -> $EXTERNAL_NET 36794 (msg:"BugBear Virus"; flags: PA; content: ".scr"; nocase;
classtype:misc-activity ;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 36794 (msg:"BugBear Virus"; content: ".pif"; nocase; classtype:misc-activity ;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 36794 (msg:"BugBear Virus"; content: ".exe"; nocase; classtype:misc-activity ;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 36794 (msg:"BugBear Virus"; content: ".scr"; nocase; classtype:misc-activity ;)
Bueno, yo tengo mi antivirus actualizado desde esta mañana. de cualquier forma un par de notas para que averigues algo:

En sistemas Windows 9x el gusano aparece en la carpeta:

C:\WINDOWS\Start Menu\Programs\Startup\

En sistemas Windows NT, Windows 2000 y Windows XP la carpeta empleada depende del usuario que inicio la infección:

C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\

En el ejemplo anterior, el componente \Administrador\ de la ruta se debe a la ejecución del gusano mediante la cuenta de administrador del sistema. Este componente varia en función del nombre del usuario.

Una copia adicional del gusano va a parar a la carpeta temporal de Windows. El nombre empleado para esta copia comienza por los caracteres “vba” seguido por un grupo aleatorio de caracteres alfanuméricos más la extensión “.TMP”. Bugbear.b ejecuta esta copia como servicio, por lo que no aparece visible en lista de tareas de Windows 9x.

Bugbear.b crea otros 3 ficheros en la carpeta del sistema del equipo afectado, entre los que encontramos una librería (gpflmvo.dll) destinada a guardar registro de las pulsaciones de teclas en el sistema (keylogger).

gpflmvo.dll
zpknpzk.dll
shtchs.dll

Finalmente, se crea un fichero de nombre aleatorio y extensión .dat en la carpeta de Windows. Este fichero contiene datos internos del gusano necesarios para llevar acabo sus funciones de propagación.

Bugbear.b emplea su propio motor SMTP para enviar correos, sin utilizar la librería de correo MAPI de Windows, tal y como hemos visto en otros gusanos. El gusano extrae del registro la información correspondiente al servidor de correo empleado por el usuario infectado, y emplea este servidor para su propagación. De esta manera se garantiza en cierta manera la posibilidad de enviar correo sin que el servidor deba aceptar su utilización como pasarela.

Las direcciones de correo que el gusano empleara como destinatarios se extraen de los propios mensajes contenidos en la carpeta de entrada del usuario infectado. Para ello el virus analiza los ficheros con las siguientes extensiones:

.dbx
.eml
.mbx
.mmf
.nch
.ocs
.tbb

El gusano es capaz de contestar a los mensajes que encuentra, así como reenviarlos. En algunos casos se crea un mensaje completamente nuevo. El tema elegido (subject) se selecciona de manera aleatoria entre luna larga lista de subjets:

$150 FREE Bonus!
Announcement
bad news
CALL FOR INFORMATION!
Correction of errors
click on this!
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Greets!
Hello!
Hi!
history screen
hmm..
Introduction
Interesting...
I need help about script!!!
its easy
Just a reminder
Membership Confirmation
new reading
New bonus in your cash account
Get a FREE gift!
Today Only
New Contests
Lost & Found
Market Update Report
News
My eBay ads
Cows
25 merchants and rising
Payment notices
Please Help...
Re:
Report
Sponsors needed
SCAM alert!!!
Stats
Tools For Your Online Business
update
various
Warning!
wow!
Your Gift
Your News Alert



El gusano envía su código adjunto al mensaje. El fichero empleado presenta un nombre seleccionado de varias maneras posibles:

* Empleando simplemente el nombre “setup.exe”.

* Seleccionando de manera aleatoria un nombre de la siguiente lista:

Readme
Setup
Card
Docs
News
Image
Images
Pics
Resume
Photo
Video
Music
Song
Data


* El gusano busca ficheros con extensión .BMP, .BAT, .COM, .CPL, .DIZ, .DLL, .DOC, .GIF, .HTM, .HTML, .INI, .JPG, .JPEG, .RTF, .REG, .SYS, .TXT, .VXD, y toma el nombre de aquellos que encuentra, añadiendo una extensión seleccionada de manera aleatoria de la siguiente lista:

.SCR
.PIF
.EXE



Bugbear.b emplea los siguientes modos de inclusión en el mensaje:

Content-Type: application/octect-stream
Content-Type: image/gif
Content-Type: image/jpeg
Content-Type: text/html
Content-Type: text/plain


Finalmente, el gusano añade, en algunos casos, una característica especial al mensaje, con el fin de explotar una vulnerabilidad en Outlook Express. Esta vulnerabilidad permite que el fichero adjunto a un mensaje de correo electrónico se ejecute automáticamente al ser visualizado.

Infección de ejecutables de Windows

El gusano infecta aplicaciones de Windows (Ficheros .EXE con formato PE) incorporando las diferentes secciones del su propio ejecutable al fichero afectado. Una vez añadido el código, el gusano realiza modificaciones en la cabecera PE, así como los directorios de datos IMPORT y BASERELOC, con el fin de garantizar su ejecución al ejecutarse el programa anfitrión.

Durante la infección de estos ejecutables, el gusano emplea un nivel adicional de cifrado sobre la compresión UPX. Este cifrado presenta cierta variabilidad, generada a través de un pequeño motor de mutación (polimorfismo).

Infección en redes de área local

Bugbear.b presenta código destinado a facilitar su propagación a través de una red de área local. La idea detrás de ello es simple, pero a la vez potente:

* El gusano llega por correo electrónico a un usuario de una red. De esta manera el gusano penetra en la red de la compañía.

* Una vez infecta a un usuario, Bugbear.b procede a propagarse entre los diferentes sistemas Windows que encuentra. Esto le resulta en cierta manera sencillo, pues los equipos situados dentro de la red corporativa a menudo presentan un nivel de seguridad deficiente.


La enumeración de los recursos de red a partir de un sistema infectado permite a Bugbear.b localizar otros equipos en la LAN. Estos equipos presentan unidades compartidas a las que el gusano accede para infectar los ficheros ejecutables de Windows.

Si la unidad compartida corresponde al árbol de directorios del sistema, Bugbear.b localiza la carpeta de inicio, tal y como hacia durante la infección local. El gusano deja allí un ejecutable con nombre aleatorio (dropper) que garantizará la infección del sistema remoto durante el próximo inicio de sesión.

Esto nos muestra la necesidad de mantener un nivel de seguridad óptimo a todos los niveles, evitando el libre acceso a recursos compartidos y, especialmente, a recursos que dan acceso a la estructura total de directorios del sistema.

Puerta trasera

Bugbear.b crea un “socket” en escucha en el puerto 1080. A través de este puerto, un intruso puede enviar órdenes al gusano, que le permitirían:

* Obtener información acerca del contenido del disco del sistema afectado.
* Copiar, mover y borrar ficheros en dichos volúmenes.
* Terminar la ejecución de una aplicación.
* Obtener información acerca de las aplicaciones ejecutándose en el sistema.
* Descargar ficheros al sistema y ejecutarlos.
* Ejecutar cualquier aplicación.
* Activar el servicio HTTP.
* Guardar las pulsaciones de teclas en el sistema (keylogger) y facilitar esta información al intruso.


Contramedidas

Bugbear.b pone en practica ciertas contramedidas (retrovirus) destinadas a desactivar las posibles protecciones que puedan encontrarse instaladas en el sistema. La siguiente lista recoge los nombres de las aplicaciones que Bugbear.b tratará de finalizar:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE


Con Snort puedes detectar también creando reglas basadas en los subjets.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com

Última edición por Alfon; 06/06/2003 a las 04:47
  #4 (permalink)  
Antiguo 07/06/2003, 01:47
Avatar de Slayer_X
Colaborador
 
Fecha de Ingreso: mayo-2001
Ubicación: Lima
Mensajes: 865
Antigüedad: 23 años, 7 meses
Puntos: 1
Justo hoy postee en mi blog sobre el bicho de marras, alli puse varias soluciones para el mismo, asi que si desean verlo, aqui esta el enlace

HTH
__________________
(o> Cesar Villegas Ureta
// "Slayer_X"
V_/_ http://www.slayerx.org/
  #5 (permalink)  
Antiguo 07/06/2003, 02:30
Avatar de sagitaria  
Fecha de Ingreso: abril-2002
Ubicación: Limpiando parabrisas en l
Mensajes: 1.064
Antigüedad: 22 años, 8 meses
Puntos: 1
¿De nuevo dándote problema los ositos, daz?
  #6 (permalink)  
Antiguo 08/06/2003, 23:28
Avatar de AlZuwaga
Colaborador
 
Fecha de Ingreso: febrero-2001
Ubicación: 34.517 S, 58.500 O
Mensajes: 14.550
Antigüedad: 23 años, 10 meses
Puntos: 535
Alfon.... snort????

jeje, sagi: esta vez el "osito" no nos dio problemas (por suerte y nada más que por eso)


mmm... se me está ocurriendo una idea para darle MAS TRABAJO (:P) a los moderadores de éste foro...

no les gustaría un sistema, tipo pop-up, que con sólo entrar al foro nos alerte cuando se detecte algún virus o vulnerabilidad que pueda hacer tronar nustros sistemas?

a mi si
  #7 (permalink)  
Antiguo 09/06/2003, 00:26
Avatar de sagitaria  
Fecha de Ingreso: abril-2002
Ubicación: Limpiando parabrisas en l
Mensajes: 1.064
Antigüedad: 22 años, 8 meses
Puntos: 1
Ten cuidado; no vayas a matar al oso equivocado:













Y sí...me late la idea del Pop up
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 19:54.