> MAPA del WEB <
|
||||||||||||
|
|
||||||||||||
Noticias Profesionales
|
|
Martes 20 de enero de 2004 |
Noticias
Seguridad de la Información y Protección de DatosEl Cat eleva a "extremo" el grado de peligrosidad del nuevo virus
Caducará el 28 de enero
El Centro de Alerta Temprana sobre Virus y Seguridad Informática (CAT) ha elevado hoy del grado 'medio' al de 'extremo' el nivel de peligrosidad del nuevo virus informático Beagle (también conocido como Bagle o Bbgle), detectado ayer. Éste puede infectar a los sistemas operativos Windows de Microsoft en sus versiones 95, 98, ME, NT, Server 2003 y XP, aunque el CAT destacó que su propio código prevé su caducidad el próximo 28 de enero. El virus se propaga a través del correo electrónico, ya que cuenta con su propio motor de envío y rastrea direcciones de 'e-mail' contenidas en archivos de varios tipos -libreta de contactos, texto o páginas 'web'- existentes en el ordenador infectado, excepto aquellas pertenecientes a los dominios 'hotmail.com', 'msn.com' y de Microsoft. El código maligno está escrito en lenguaje Visual C++ y se distribuye en un archivo ejecutable de nombre aleatorio, pero de un tamaño fijo (15.872 bytes), que llega en un mensaje de correo con el asunto "Hi" (abreviatura de "hola" en inglés). El gusano, que se guarda en la carpeta del sistema y permanece residente en memoria, incluye un componente que permitiría el acceso remoto por parte de su autor al equipo infectado, utilizando para ello el puerto TCP 6777. Asimismo, intenta conectarse a varias direcciones de Internet, posiblemente para actualizarse. Según la compañía de seguridad informática Trend Micro, el virus ya ha provocado infecciones en Estados Unidos, Alemania, Australia y Japón, y lo ha calificado como de riesgo medio. Para la empresa española Panda Software, el objetivo del gusano es propagarse rápidamente, pero no tiene efectos destructivos más allá del posible colapso que pudiera producir su difusión en redes informáticas.
Descripción del gusano
Gusano que se difunde mediante el envio masivo de correo electrónico a direcciones que captura de diversos ficheros en la máquina infectada. Utiliza un truco de ingeniería social muy simple pero efectivo, consistente en hacerse pasar por un mensaje de prueba con un fichero adjunto que usa el icono de la calculadora de Windows, lo que parece que hace pensar a las víctimas que es inofensivo. Además de las molestias que causa la rutina de envío masivo de correo, lo que hace más peligroso a este gusano es su capacidad de puerta trasera. El gusano se queda residente en la máquina infectada y aguarda comandos de un usuario remoto no autorizado, que podría obtener control total del sistema infectado, dependiendo de la configuración del sistema y de la red.
Está programado para dejar de funcionar el día 28 de Enero de 2004. El gusano obtiene la fecha del PC infectado (que podría ser incorrecta) y termina su ejecución si ésta es posterior al 28 de Enero.
Detalles
Instalación y Autoarranque
Verifica que la fecha del sistema sea anterior al 29 de enero de 2004. Si no es menor, el gusano finalizará su ejecución.
Copia el fichero %system%\bbeagle.exe en la carpeta del sistema.
Nota: %System% es una variable que representa la carpeta del sistema. Por defecto será C:\Windows\System para (Windows 95/98/Me), C:\Winnt\System32 para (Windows NT/2000), o C:\Windows\System32 para (Windows XP).
Crea las siguientes entradas en el registro, para facilitarse la ejecución al iniciarse Windows.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\CurrentVersion\Run
También podrá crear las siguientes entradas para mantener en el sistema ciertas huellas de sus actividades:
d3dupdate.exe = "%System%\bbeagle.exe"
HKEY_USERS\%SystemInfo%\Software\Windows98
Uid =
HKEY_USERS\%SystemInfo%\Software\Windows98
Nota: %SystemInfo% se refiere una variable que contiene información del sistema, como "Class ID" o "Username".
Frun = %SystemInfo%
Propagación vía Correo.
Para propagarse, buscará y capturará direcciones de correo existentes en ficheros de los siguientes tipos:
Intentará evitar aquellas direcciones de correo que contengan las siguientes cadenas de texto:
- WAB
- TXT
- HTM
- HTML
- @hotmail.com
- @msn.com
- @microsoft
- @avp
A continuación enviará un mensaje a todas las direcciones de correo electrónico recopiladas, al que adjuntará una copia de sí mismo.
El mensaje enviado tiene las siguientes características:
Asunto: Hi
Texto del mensaje:Test =) [Caracteres al azar] Test, yep.
Adjunto:xxx.exe (siendo xxx entre 3 y 11 caracteres en minúsculas escogidos al azar)El gusano posee su propio SMTP (Simple Mail Transfer Protocol) para auto-enviarse. Rutina de ocultación.
Si su ejecución no se realiza con el nombre de fichero %System%\BBEAGLE.EXE, ejecutará el fichero CALC.EXE (Calculadora de Windows). que posee el siguiente icono:
Mientras, el gusano está ejecutándose en otro proceso, continuando sus actividades. Si el usuario finaliza el proceso de Calculadora, el gusano continuará su ejecución como un proceso distinto. En caso de ejecutar directamente la Calculadora, el gusano fallará en su ejecución.
Capacidad de puerta trasera.
El gusano abre el puerto TCP 6667 y permanece a la espera de conexiones. Esto podría permitir a un usuario remoto no autorizado ejecutar comandos en la máquina infectada.
Intenta acceder a varias direcciones de Internet, posiblemente para actualizarse o para notificar la infección a su creador.
- www.elrasshop.de
- www.it-msc.de
- www.getyourfree.net
- www.dmdesign.de
- 64.176.228.13
- www.leonzernitsky.com
- 216.98.136.248
- 216.98.134.247
- www.cdromca.com
- www.kunst-in-templin.de
- vipweb.ru
- antol-co.ru
- www.bags-dostavka.mags.ru
- www.5x12.ru
- bose-audio.net
- www.sttngdata.de
- wh9.tu-dresden.de
- www.micronuke.net
- www.stadthagen.org
- www.beasty-cars.de
- www.polohexe.de
- www.bino88.de
- www.grefrathpaenz.de
- www.bhamidy.de
- www.mystic-vws.de
- www.auto-hobby-essen.de
- www.polozicke.de
- www.twr-music.de
- www.sc-erbendorf.de
- www.montania.de
- www.medi-martin.de
- vvcgn.de
- www.ballonfoto.com
- www.marder-gmbh.de
- www.dvd-filme.com
- www.smeangol.com
Nota:Las direcciones permanecen accesibles aunque el fichero 1.php no se encuentra disponible en ninguna de ellas.
El gusano intentará realizar un escaneo de puertos para conectarse con el sistema remoto.
Solución
Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado. Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable. Elimine las siguientes entradas del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"
HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"
HKEY_USERS\%SystemInfo%\Software\Windows98
Uid =
HKEY_USERS\%SystemInfo%\Software\Windows98
Frun = %SystemInfo%
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Alternativamente, puede usar alguna de las herramientas de desinfección gratuitas disponibles:
Fuente: www.elmundo.es
www.alerta-antivirus.es
20/01/2004Noticias relacionadas:
* Los ataques informáticos se multiplican (12.01.04)
* Los expertos prevén un 2004 lleno de virus (29.12)
* Detenido por primera vez en España un creador de virus informáticos (26.11)
* Virus informático camuflado en mensaje de Paypal (21.11)
* El nuevo gusano "Swen" se propaga a gran velocidad gracias a su perfecta imitación de los mensajes de Microsoft (22.09)
* 'Nachi', una variante del gusano Blaster, elimina los ficheros corruptos instalados por el virus (20.08)
* Todo sobre el gusano 'GRUEL.H' (22.07)
