- Menú -

HOME

Noticias...
Se busca...
Eventos...
Legislación...
Bibliografía...
Artículos...

> MAPA del WEB <

Su opinión...

Envíenos la noticia o el comentario que desee.

 

 

Noticias Profesionales

  

Noticias

Lunes 3 de mayo de 2004


Seguridad de la Información y Protección de Datos

El Gusano informático Sasser afectó a miles de ordenadores el pasado fin de semana

En las últimas horas se esta registrando un alto número de incidencias provocadas por los gusanos Sasser y Sasser.B.

 

Los síntomas de la infección son:

• Aviso de reinicio del equipo en 1 minuto.
• Tráfico en los puertos TCP 445, 5554 y 9996.
Se propaga a equipos Windows 2000/XP sin proteger frente a una vulnerabilidad en el servicio LSASS.
 

SOLUCIÓN

 Para evitar ser infectado, descargue e instale el parche para esta vulnerabilidad desde el Boletín de Seguridad de Microsoft MS04-011.

ELIMINACIÓN AUTOMÁTICA:

Descargue el software antivirus gratuito de MCAFEE STINGER. Para más detalles, consultar la página: http://vil.nai.com/vil/stinger/

ELIMINACIÓN MANUAL:

  1. Reiniciar el sistema en modo a prueba de Fallos (Pulsar la tecla F8 al arrancar el sistema hasta que aparezcla un menú de arranque. Elegir la opción: Arrancar en modo a prueba de fallos.)

  2. Eliminar el fichero AVSERVE2.EXE del directorio de Windows (Normalmente c:\windows o c:\winnt)

  3. Editar el registro del sistema.

    • Eliminar el valos “avserve2” de la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. Reiniciar el equipo

DETALLES TÉCNICOS

1. Worm.Sasser.B se copia a sí mismo en el directorio de instalación de Windows con el nombre c:\windows\avserve2.exe.

Nota: El directorio "c:\windows" puede variar según la versión del sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x/Me/XP, etc.).

2. Crea los siguientes archivos:

• c:\win.log
• c:\windows\system32\#_up.exe (varias copias)

donde # es un número de cinco dígitos, ejemplos:
• c:\windows\system32\15643_up.exe
• c:\windows\system32\12383_up.exe
• c:\windows\system32\21730_up.exe

3. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, el gusano añade a la siguiente clave del registro de Windows, el valor indicado.

4. Clave:

 HKLM\Software\Microsoft\Windows\CurrentVersion\Run

5. Valor: avserve2.exe = c:\windows\avserve2.exe

6. El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables. TCP/445 es el puerto por defecto para el servicio vulnerable, SMB (Server Message Block).
Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.
Más información y acceso al parche que repara esta vulnerabilidad en el Boletín de Seguridad de Microsoft MS04-011.

7. Worm.W32/Sasser.B provoca un desbordamiento de búfer en LSASS.EXE, lo que hace que dicho programa falle y requiera el reinicio de Windows.
Podrían presentarse los siguientes mensajes:

Imagen de PerAntivirus

Esta es una ventana similar a la que aparece en Windows XP por acción del gusano Blaster (Lovsan):

Imagen de McAfee

8. El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).
Windows 9x, Me y NT, no son vulnerables.

9. Si el ataque tiene éxito, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.

A través de ese intérprete de comandos, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo una rutina llamada CMD.FTP.

La rutina descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE, donde # es un número de cinco dígitos), provocando la infección.

10. El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

11. El archivo C:\WIN.LOG registra todas las transacciones FTP realizadas.

12. El gusano crea los siguientes mutex para no ejecutarse más de una vez en memoria:

• Jobaka3

• JumpallsNlsTillt

Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.

 

Fuentes:
Dpto. de Seguridad de la Información y Protección de Datos.
Belt Ibérica S.A

Alerta Antivirus
McAfee Security
03/05/2004

 

Nuevas variantes del gusano informático:
Sasser C y Sasser D

A lo largo de las últimas horas se ha producido una mutación del gusano informático Sasser, provocando así dos nuevas versiones

 

SASSER C es la nueva variante de este gusano informático que ataca a miles de ordenadores desde el pasado fin de semana. Su funcionalidad es idéntica al Sasser.B, salvo que ejecuta 1024 hilos simultáneos en lugar de 128. Su código solo ha sido recompilado para intentar eludir su detección. Sasser se propaga utilizando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en el parche MS04-011. Solo afecta computadoras bajo Windows XP o 2000, que no posean dicho parche instalado. Por el momento su peligrosidad ha sido considerada como baja estando a la espera de los efectos que el gusano provoque en los sistemas informáticos que intente invadir.

Así mismo se ha detectado también la variante SASSER D cuya principal característica es que está escrito en el lenguaje de programación Visual C++. Este gusano tiene un tamaño de 16834 Bytes. Al igual que SASSER C su peligrosidad hasta el momento es considerada como baja.

El virus informático «Sasser» infectará 300 millones de PC

El Centro de Alerta Temprana advierte de su peligrosidad al aprovechar fallos de Windows.

Vive en la red, y chequea constantemente las direcciones IP de los ordenadores con fallos específicos en su programación Windows, para identificarlos e infectarlos con copias de sí mismo. El gusano informático «Sasser» podría llegar a infectar hasta 300 millones de ordenadores.

El virus informático «Sasser», detectado por primera vez el sábado pasado, podría infectar hasta 300 millones de ordenadores personales, sobre todo aquellos conectados con redes corporativas, según las estimaciones realizadas por la compañía de seguridad informática Panda Software, que ha otorgado el grado de «Alerta Roja» a la infección, informa Ep.

El Centro de Alerta Temprana (CAT) dependiente del antiguo ministerio de Ciencia y Tecnología, ha calificado al «gusano» como de peligrosidad «alta», es decir, cuatro puntos sobre cinco.

Infección exponencial. Aunque en principio el «Sasser» está causando problemas a los equipos conectados a internet, la consultora independiente de seguridad Hispasec manifestó su preocupación porque su difusión pudiera aumentar exponencialmente si el virus lograba colarse en redes locales e intranets. «Sasser» sólo afecta a las versiones «XP» y «2000» del sistema operativo Windows de Microsoft y le sería mucho más fácil propagarse a través de los entornos cerrados de empresas redes con direcciones privadas y cortafuegos perimetrales, con menor seguridad interior, provocando el «colapso de sistemas y comunicaciones».

La creación de los nuevos virus está facilitada, en parte, por los fallos en la programación de Microsoft en sus distintos sistemas operativos, lo que permite «agujeros» en su seguridad. El pasado 13 de abril la compañía de Bill Gates anuncio un «parche»

 ( www.microsoft.com/spain/technet/seguridad/boletines/MS04-011-IT.asp

El «Sasser» no se propaga por correo electrónico, sino que ataca los puertos TCP que usan las máquinas para conectarse a la Red. El presidente de la Asociación de Internautas, Víctor Domingo, afirmaba ayer que «los creadores de virus son los máximos responsables» de la saturación de la Red, «por lo que habría que adoptar medidas legales contra ellos».

Fuentes:
Dpto. de Seguridad de la Información y Protección de Datos.
Belt Ibérica S.A
Alerta Antivirus
McAfee Security
Enciclopedia Virus
La Razón
04/05/2004

 

 

El virus «Sasser» podría ser neutralizado hoy por la acción de parches y antivirus

La propagación del virus «Sasser» y sus cuatro variantes se ha ralentizado después de un fin de semana obstaculizando el trabajo de empresas y particulares

 

A la sombra de los potentes «Netsky» o «Mydoom» comenzó a actuar el pasado viernes el virus informático «Sasser». Hoy, la propagación del gusano ha alcanzado a varios millones de ordenadores en todo el mundo -20 millones según McAfee, 6 millones de acuerdo con los datos de la finlandesa F-Secure -.

Sin embargo, parece que su devastadora acción ha comenzado a disminuir. Ayer se observó un debilitamiento de su propagación, debido, según indican los expertos, a la actualización de los sistemas de protección informática. Por ello, se ha previsto para hoy la neutralización del virus y, por tanto, el fin de la epidemia. Lo que es cierto es que el virus sigue circulando. Ahora existen cuatro versiones -aunque la que golpea con más fuerza es la B- pero se expanden más lentamente. Pese a todo y, aunque se consiga extinguir al gusano, éste podría permanecer activo durante años, dado que no está programado para dejar de difundirse en una fecha precisa.

Muchas empresas afectadas

Por el momento, varias empresas han sufrido los efectos de «Sasser», desde la Comisión Europea -donde el virus infectó a 1.200 ordenadores, un 5 por ciento de sus equipos- hasta gran parte de los juzgados y tribunales de Cantabria, que se vieron obligados a desempolvar sus viejas máquinas de escribir y retomar la engorrosa tarea de cumplimentar a mano las diligencias más urgentes. La guardia costera británica ha sido otra de las grandes afectadas. Un portavoz ha manifestado que los empleados están trabajando con mapas, lápices y papel. Los teléfonos y las radios aún funcionan, pero los fax y télex no.

La seguridad de la criticada Microsoft se ha vuelto a poner en tela de juicio estos días, y es que una vulnerabilidad en los sistemas Windows XP y Windows 2000 ha sido la culpable de que el virus se introdujera en millones de computadoras. Si bien la empresa ya avisó hace unos meses de este defecto en sus sistemas, eran muchos los usuarios que no se habían descargado en sus discos duros el parche que lo solventaba cuando «Sasser» comenzó a atacar.

A diferencia de otros gusanos, las múltiples versiones de «Sasser» no se contagian a través de correos electrónicos o mensajes adjuntos. La empresa de seguridad Symantec ha explicado que el virus actúa infectando a sistemas vulnerables estableciendo una conexión remota con la computadora y provoca que el ordenador se reinicie constantemente al intentar acceder a internet. Además, el código malicioso es capaz de escanear automáticamente la red en busca de los ordenadores con esta vulnerabilidad en el servicio LSAAS, que sólo se puede corregir con los parches que proporciona Microsoft -la empresa asegura que los usuarios se han descargado 9,5 copias de este archivo-. Los síntomas de la infección son el aviso de reinicio del equipo en un minuto y tráfico en los puertos TCP 445, 5554 y 9996, según ha informado el Centro de Alerta Temprana sobre Virus y Seguridad Informática.

El gusano «Sasser» causa estragos en los juzgados españoles

Hay 18 millones de PCs afectados, entre ellos los de la Audiencia Nacional y la Comisión Europea.

El virus «Sasser», que ha provocado una epidemia autopropagable a través de internet sin intervención humana, ha afectado a redes corporativas de todo el mundo, entre ellas la Audiencia Nacional, la Comisión Europea y la Bolsa de París. Detener la plaga es posible si los usuarios actualizan Windows.

Mensaje de reinicio que provoca el «Sasser»

La epidemia que asola internet en los últimos tiempos ha alcanzado su punto culminante con la propagación del gusano «Sasser», que ni siquiera necesita acción alguna por parte del usuario para infectar su máquina. Basta con que la deje conectada a internet para que el virus rastree su dirección, detecte un agujero de seguridad en Windows 2000 ó XP y la infecte.

Aunque los efectos no son muy dañinos en sí, ya que no destruye ficheros ni documentos, sí resulta muy molesto e impide el correcto funcionamiento de las máquinas, ya que mantiene el equipo ocupado, ralentiza las conexiones y reinicia el equipo constantemente.

Algunas estimaciones cifran en dieciocho millones los ordenadores «parasitados» por el gusano en todo el mundo. Entre las víctimas destacan las redes de la Audiencia Nacional, donde se investigan los atentados del 11-M; la Bolsa de París, diversas instituciones bancarias, sistemas de reservas de viajes en línea, 1.200 PCs de la Comisión Europea y 19 oficinas de los guardacostas británicos. Los servicios postales de Taiwán registraron que una tercera parte de sus ordenadores quedaban fuera de servicio durante horas.

Máquinas de escribir. La extensión del virus Sasser a través de la red ha paralizado el trabajo en gran parte de juzgados y tribunales, como los de Santander, que se vieron obligados a rescatar de los almacenes las viejas máquinas de escribir o a cumplimentar a mano las diligencias más urgentes, informa Efe.

«Sasser» se suma a las últimas epidemias de «Netsky» y «Bagle», que cambian sus versiones casi a diario, lo que hace más difícil su detección y obliga a los antivirus a actualizarse constantemente. Las compañías antivirus temen que la epidemia provocada por el «código malicioso» -como también se conoce a los virus- aumente exponencialmente en los próximos días, pudiendo llegara a afectar a 300 millones de computadoras. Sin embargo, también podría neutralizase hoy mismo gracias a la rápida actualización de los sistemas de protección informática. Sasser «sigue circulando; existen ahora cuatro versiones, pero se difunde más lentamente que antes», aseguró el portavoz de una importante compañía antivirus. Aunque cese la pandemia, «Sasser» podría permanecer activo durante años, dado que no está programado para detenerse en una fecha precisa.

Este «virus-gusano» ha sido ya reivindicado. Aunque no se conoce su identidad ni localización, los autores podrían ser los mismos que los de «Netsky», según se ha descubierto en una línea oculta de la vigésimo octava versión del virus, la «Netsky AC». Los autores aportan como «prueba» parte de su código de programación.

De las cuatro variantes de «Sasser» destaca la B, que es la que más daños está causando, lo cual se explica por los 128 procesos en memoria que esta variante pone en marcha para conseguir propagarse e infectar.

Por su parte, Microsoft afirma que los usuarios han descargado 9,5 millones de copias del parche que soluciona la vulnerabilidad del proceso «lsass.exe», que verifica la validez y autenticidad de los usuarios locales y remotos, y que es la utilizada por el «gusano» para instalarse y clonarse en los ordenadores.
«Sasser» se suma a la lista de los virus más dañinos y extendidos de la historia, junto a nombres temidos por los administradores de redes como «I love you», «Blaster», «Sobig», «Mydoom» y «Netsky».

Fuentes: ABC
La Razón
05/05/2004

 

Network Associates teme que el virus 'Sasser' se combine con 'Netsky'

Continúa la investigación para localizar a los creadores del virus

 

Expertos informáticos advirtieron hoy de que Sasser, que ya ha alcanzado a un millón de usuarios, podría dar más quebraderos de cabeza si se combina con el virus Netsky. El gusano, que comenzó a extenderse el pasado viernes, se distribuye hoy a un ritmo mucho más lento. Pero los analistas señalan que es improbable que desaparezca de la red, ya que las variantes añaden nuevas formas de dispersión.

A pesar de su gran difusión, 'Sasser' no ha causado en los sistemas informáticos el daño alcanzado por otros virus como Blaster, pero la historia de este gusano no parece haber terminado. El grupo de programadores, presumiblemente rusos, sospechosos de crear tanto el gusano Sasser como las últimas versiones del Netsky, podrían combinar las dos amenazas para unir fuerzas, según dijo Jimmy Kuo, un investigador de la compañía antivirus Network Associates.

Ante las críticas de que podrían estar dando ideas a los piratas informáticos, Kuo se defendió, señalando que la posibilidad es "bastante obvia" y que más valía advertir de ello.

Microsoft y el FBI buscan al creador del virus

Mientras, Microsoft continúa trabajando con la Oficina Federal de Investigaciones (FBI) para tratar de encontrar a los autores del virus, y ha lanzado una web (www.microsoft.com/sasser) para ayudar a los usuarios a instalar los consiguientes parches. De momento, el gigante del software no ha dicho si ofrecerá una recompensa por la captura del autor del Sasser, tal y como hizo con los de MSBlast, Sobig o MyDoom.

El virus se aprovecha de un agujero en la seguridad en los sistemas operativos Windows 2000 y XP, de Microsoft. El gigante informático advirtió el mes pasado de la existencia de este problema en las últimas versiones de Windows, pero muchos usuarios individuales y corporativos todavía no han instalado el correspondiente parche.

Fuentes: El País
07/05/04

 

La policía alemana detiene al creador del virus Sasser

Sven J., de 18 años, podría haber creado el 'gusano' informático para favorecer a su madre, que tiene una empresa de reparación de ordenadores

 

Un cerebro perversamente ingenioso, pero también excesivamente joven, fue el creador del virus informático Sasser. La policía alemana ha detenido a un estudiante de 18 años, Sven J., como el autor del gusano que ha afectado en la última semana a millones de ordenadores de todo el mundo.

El viernes por la noche, las Fuerzas de Seguridad irrumpieron en la casa de los padres del detenido, en Rotenburg, requisando todo tipo de material. Las pruebas incautadas (ordenadores y disquetes), más la propia confesión del chaval, permitieron a Frank Federau, portavoz del Departamento Regional de lo Criminal de Baja Sajonia, anunciar ayer por la mañana, con orgullosa serenidad: «Tenemos al programador de Sasser».

El gusano en forma de cuenta atrás, que apagaba y reiniciaba sin parar las pantallas de los sorprendidos usuarios, aprovechaba un vacío de seguridad en los sistemas de Windows XP y Windows 2000. Su letal rapidez se debía a que se contraía por entrar sólo en Internet, sin necesitar siquiera del intercambio de un correo electrónico, y a que él mismo era capaz de escanear automáticamente la Red en busca de ordenadores que no tuvieran sus sistemas operativos al día.

El virus, uno de los seis mayores de la Historia, comenzó su terrible andadura cibernética el 1 de mayo. Sin embargo, en Alemania, los ordenadores empezaron a fallar tres días antes. No obstante, este detalle no fue la pista que la CIA y el FBI utilizaron para encontrar al joven en territorio germano (pues incluso se pensaba que el creador residía en Rusia).

Una frase en el código de un nuevo virus, Netsky.ac, llevó a los investigadores (entre los que se encontraban expertos de Microsoft) hasta Sven J.

Según informa, sin entrar en más detalles, el semanario Der Spiegel, esta sentencia apuntaba: «¿No sabes que nosotros hemos programado el virus Sasser? ¡Pues sí, es verdad!».

El Netsky.ac es una nueva versión del famoso Netsky, de dos meses de existencia y tras el cual se encuentra un autodenominado Grupo Netsky. La policía germana aún no ha confirmado si el joven detenido creó también el Netsky.ac y si entró en contacto con la supuesta banda. En todo caso, se subrayó que el detenido había actuado en todo momento solo.

El implacable Sasser afectó a bancos y aerolíneas internacionales, organizaciones estatales, hospitales... El coste de las reparaciones fue desmesurado y, precisamente, ahí se encuentra la razón esgrimida por el joven para dar vida a Sasser: beneficiar a su madre, quien tiene una empresa de reparación de ordenadores con este tipo de problemas.

Sven J. se encuentra en libertad, tras haber sido interrogado y puesto en marcha el mecanismo que le llevará a juicio, donde se enfrentará a una pena de hasta cinco años de prisión.

Su creación, el incordiante gusano Sasser, no se manifestará, previsiblemente, por mucho tiempo más, pero tampoco desaparecerá.

De hecho, existen ya nuevas versiones del virus, de las que se desconoce sin embargo si el joven de Rotenburg fue también el autor, quien, por cierto, estaba deseando iniciar la carrera de Informática en la Universidad.

Uno de los involucrados en el caso Sasser que con más alivio ha respirado tras la detención ha sido la propia Microsoft, que había puesto a sus mejores hombres a trabajar, conjuntamente, con las Fuerzas de Seguridad estadounidenses y alemanas.

Es más, estos mismos profesionales del gigante de la informática son los que han confirmado la identidad y autoría, sin duda alguna, de Sven J.

En las últimas jornadas se estaba apuntando la idea que Microsoft podía llegar a adoptar la medida de ofrecer una recompensa a aquella persona que aportase las pistas suficientes para arrestar al ideólogo del gusano.

La oferta no sería inaudita, ya que Microsoft señaló en su día -cuando otro virus, Blaster, hacía sus más crueles estragos- que daría 250.000 dólares a quien consiguiera identificar y capturar al creador del mencionado gusano.

Precisamente, en los primeros momentos de la aparición de Sasser, gran parte de los expertos informáticos le confundieron con una variante de éste.

En la actualidad, estos mismos profesionales consideran que Sasser es igual de temible que Blaster o Mr. Blast, como también se le conoce en los círculos informáticos.

Y es que si la versión inicial del gusano de Sven J. era complicada de fulminar, las nuevas variaciones se extendieron por la Red a una velocidad prácticamente imposible de parar.

Fuentes: El mundo
09/05/2004

 

Noticias relacionadas:

* Los virus informáticos viven su propia guerra (14.04.04)
* El gusano Netsky-D se propaga masivamente (03.03.04)
* Comienza a extenderse una nueva versión del MyDoom programada para atacar a la RIAA (26.02.04)
* El sitio web de Microsoft sale ileso del ataque del virus MyDoom.B (04.02.04)
* El Gusano 'MyDoom' se extiende rápidamente a través del 'e-mail' y de redes P2P (28.01.04)
*
El Cat eleva a "extremo" el grado de peligrosidad del nuevo virus (20.01.04)
* Los ataques informáticos se multiplican (12.01.04)
* Los expertos prevén un 2004 lleno de virus (29.12)

© BELT.ES  Copyright. Belt Ibérica, S.A. Madrid - 2004. belt@belt.es