beruby.com - Empieza el día ganando

    martes, 20 de enero de 2009

    ALERTA VIRUS

    En los últimos días se está detectando una infección masiva de ordenadores producida por el gusano Downadup, también conocido como Conficker.

    La infección se puede realizar de tres formas:

    • Aprovechando la vulnerabilidad CVE-2008-4250, solucionada por Microsoft en su parche extraordinario de Octubre MS08-067.
    • A través de carpetas compartidas en red protegidas con contraseñas débiles.
    • A través de dispositivos extraíbles, por ejemplo, lápices USB, creando un fichero con nombre autorun.inf cuya acción sea autoejecutar la copia del gusano cada vez que un usuario conecta el dispositivo extraíble a un ordenador.

    No se descarta que en los próximos días el gusano pueda mutar e intentar acceder a los ordenadores a través de nuevas formas de acceso.

    Es importante mencionar que, aunque un ordenador tenga instalado el parche MS08-067, también se puede quedar infectado si se conecta en el equipo un dispositivo extraíble infectado o mediante las carpetas compartidas en red de Microsoft.

    Los mecanismos de propagación utilizados por Downadup son muy comunes y se basan en la relajación de los usuarios para seguir unas pautas de buenas prácticas. Recomendamos a todos los usuarios que sigan estos consejos para evitar la infección:

    • Actualizar el Sistema Operativo, asegurándose especialmente de tener instalado el parche MS08-067, que soluciona la vulnerabilidad explotada por el gusano.
    • Tener instalado un antivirus actualizado en el ordenador, el siguiente enlace contiene un listado de antivirus de escritorio gratuitos.
    • Proteger con contraseñas fuertes las carpetas compartidas (más información sobre las carpetas compartidas para Windows Vista y Windows XP).
    • Asegurarse de que todos los dispositivos extraíbles que se vayan a conectar al equipo están libres de virus, para ello conviene analizarlos con un antivirus actualizado antes de que se ejecute su contenido.
    • Para evitar problemas de seguridad y prevenir las infecciones más comunes, seguir nuestros Consejos de Seguridad.

    Entre las acciones de Downadup está la de acceder a determinadas direcciones de Internet que tiene en su código, F-Secure ha sacado el siguiente listado de direcciones de control hasta el 31 de enero. El gusano aprovecha el acceso a estas páginas para descargarse otros programas maliciosos, aunque no se descarta que, de este modo, el servidor remoto cree un listado de las direcciones infectadas y que en un futuro se utilicen estos ordenadores comprometidos para crear una red zombie (botnet).

    Para más información consultar el Aviso no técnico de seguridad.

    Publicado por en

    1 comentario:

    1. javigarvil20/1/09 11:52

      Downadup

      Actualidad Virus

      Buscar virus

      Gusano que se propaga explotando la "Vulnerabilidad del Servicio del Servidor": CVE-2008-4250.

      * Detalles técnicos
      * Propagación
      * Infección/Efectos
      * Contramedidas
      o Desinfección

      Detalles técnicos

      * Peligrosidad: 2 - Baja
      * [Explicación de los criterios]

      * Difusión: Baja
      * Daño: Alto
      * Dispersibilidad: Media

      * Fecha de alta: 23/11/2008
      * Última actualización: 18/01/2009

      * Nombre completo del virus: Worm.W32/Downadup@VULN+Otros
      * Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
      *
      Plataformas afectadas: W32 Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95
      * Mecanismo principal de difusión: VULN Se difunde aprovechando alguna vulnerabilidad, típicamente de servicios de red. + Otros Otro mecanismo de propagación.
      * Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
      * Tamaño (bytes): 62.976
      * Alias:
      o WORM_DOWNAD.A (Trend Micro) (se abre en nueva ventana)
      o W32/Confick-A (Sophos) (se abre en nueva ventana)
      o W32/Conficker.A.worm (Panda Security) (se abre en nueva ventana)
      o Trj/Downloader.VAU (Panda Security)
      o W32/Conficker.worm (McAfee) (se abre en nueva ventana)
      o W32.Downadup (Symantec) (se abre en nueva ventana)
      o Trojan.Downloader-59911 (ClamAV)
      o Downadup.AL (F-Secure) (se abre en nueva ventana)
      o Worm:W32/Downadup.AA (F-Secure)
      o Win32/Conficker.A (Computer Associates) (se abre en nueva ventana)
      o W32/Downldr2.EXAE (Authentium)
      o Trojan.Downloader.JLIW (Bit Defender)
      o Trojan-Downloader.Win32.Agent.aqfw (Kaspersky) (se abre en nueva ventana)
      o Net-Worm.Win32.Kido.t (Kaspersky)
      o W32/Downadup (PerAntivirus) (se abre en nueva ventana)
      o Trojan/Downloader.Agent.aqfw (Hacksoft) (se abre en nueva ventana)
      o W32/DownAdup (Hacksoft)
      o TrojanDownloader.Agent.aqfw (Quick Heal)
      o Win32/Conficker.A (ESET)
      o Worm.Win32.Conficker!IK (Emsisoft)
      o TR/Dldr.Agent.aqfw (AVIRA)
      o Trojan.DownLoad.16849 (Doctor Web)
      o Downloader.Agent.APKO (AVG)
      o W32/Conficker.A!worm (Fortinet)
      o Trojan.Win32.Downloader.62976.AJ (Hauri)
      o Win32/Conficker.worm.62976 (Ahn Lab)
      o Trojan.Disken.B (VirusBuster)
      o Trojan.Downloader.JLIW (G DATA)
      o Worm.Win32.Conficker (Ikarus)
      o Worm:Win32/Conficker.A (Microsoft) (se abre en nueva ventana)
      o Trojan-Downloader.Agent (PC Tools)
      o Trojan-Downloader.Win32.Agent.aron (VBA (VirusBlockAda))

      Arriba
      Propagación

      Capacidad de autopropagación: Sí

      Se propaga de las siguientes maneras:
      Explotando Vulnerabilidades

      Se difunde aprovechando alguna vulnerabilidad, típicamente de servicios de red.

      Este gusano se propaga mediante la explotación de la vulnerabilidad CVE-2008-4250 , solucionada por Microsoft en su boletín MS08-067 (se abre en nueva ventana) , que se trata de una vulnerabilidad en el servicio de servidor de Windows, que permite a atacantes remotos ejecutar código de su elección a través de una petición RPC manipulada.
      Arriba
      Infección/Efectos

      Cuando Downadup se ejecuta, realiza las siguientes acciones:

      Al ejecutarse copia el siguiente fichero:

      * %System% \[Nombre del fichero aleatorio].dll

      Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

      Después borra los puntos de Restauración creados por el usuario.

      Crea el servicio netsvcs con las siguientes características:

      Nombre: netsvcs
      Ruta : %SystemRoot% \\system32\\svchost.exe -k netsvcs

      Crea la siguiente entrada en el registro:

      Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\
      Valor: "ServiceDll" = "[PathToWorm]"

      Después el gusano se conecta a las siguientes URLs para obtener la dirección IP del ordenador comprometido:

      * http://www.getmyip.org
      * http://getmyip.co.uk
      * http://checkip.dyndns.org

      Descarga y ejecuta ficheros de la siguiente URL:

      * [http://]trafficconverter.biz/4vir/antispyware/loada[ELIMINADO]

      El gusano crea un servidor http en el ordenador comprometido en un puerto aleatorio, por ejemplo:

      * http://[Dirección IP externa de la máquina infectada]:[Puerto aleatorio]

      Envía esta URL como parte de su carga útil a equipos remotos.

      Tras una explotación exitosa, el ordenador remoto se conectará de nuevo a esta URL y descargará el gusano.

      De esta forma cada ordenador comprometido puede propagar el gusano por sí mismo, en contraposición a la descarga desde una ubicación predeterminada.

      Después el gusano se conecta a un router UPnP y abre el puerto http.

      A continuación, intenta localizar el dispositivo de red registrado como puerta de Internet en la red y abre el anteriormente mencionado [puerto aleatorio], a fin de permitir el acceso al ordenador comprometido de redes externas.

      El gusano intenta descargar un fichero de datos de la siguiente URL:

      * [http://]www.maxmind.com/download/geoip/database/GeoIP.[Eliminado]

      El gusano se propaga explotando la Vulnerabilidad del Servidor de Servicio de Microsoft Windows que permite a atacantes remotos ejecutar código de su elección a través de una petición RPC manipulada.

      Tras ello intenta contactar con los siguientes sitios Web para obtener la fecha actual:

      * http://www.w3.org
      * http://www.ask.com
      * http://www.msn.com
      * http://www.yahoo.com
      * http://www.google.com
      * http://www.baidu.com

      Utiliza la información para generar una lista de nombres de dominio.

      Contacta con estos dominios para intentar descargarse ficheros adicionales en el ordenador comprometido.
      Otros detalles

      Puede encontrar un listado completo de los diferentes alias asignados por los antivirus en el siguiente enlace:

      * www.virustotal.com/es (se abre en nueva ventana)
      * www.virustotal.com/es (se abre en nueva ventana)

      Arriba
      Contramedidas
      Desinfección

      *

      Si utiliza Windows Me , XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ´Restauración del Sistema´ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista .
      *

      En caso de que no pueda volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me . A continuación siga estos pasos para la eliminación del virus:
      1.

      Detenga el servicio creado por acción del código malicioso siguiendo el proceso indicado:
      1. Pulse 'Inicio' -> 'Ejecutar'.
      2. Teclee services.msc, y pulse 'Aceptar'.
      3. Localice y seleccione el servicio con nombre: " netsvcs ".
      4. Pulse 'Acción' -> 'Propiedades'.
      5. Pulse 'Detener'.
      6. Cambie el 'Tipo de inicio:' a Manual.
      7. Pulse 'Aceptar' y cierre la ventana de Servicios.
      8. Reinicie su equipo.
      2.

      Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos .
      3.

      Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos .

      Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
      4.

      Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
      En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/ Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE .
      5.

      A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro . Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

      Elimine la siguiente clave del registro y todo su contenido:

      Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs

      6.

      Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
      7.

      Actualice todo el software de su ordenador, asegúrese especialmente de que tiene instalado el parche de Microsoft MS08-067 (se abre en nueva ventana) , de este modo evitará volver a quedarse infectado por el gusano.
      8.

      Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

      Arriba
      Gobierno de España, Ministerio de Industria, Turismo y Comercio

      ResponderEliminar

    Suscribirse a: Enviar comentarios (Atom)