Boletin ASC 002-2000
Area de Seguridad en Computo
asc en conga.super.unam.mx
Jue Mayo 4 21:47:10 CDT 2000
-----BEGIN PGP SIGNED MESSAGE-----
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
'Area de Seguridad en C'omputo
DGSCA- UNAM
Bolet'in de Seguridad 2000-002 GUSANO LOVE LETTER
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
La madrugada del 4 de Mayo del 2000 el CERT/CC (Cert /Cordination
Center)comenz'o a recibir m'ultiples reportes de un script realizado en
Visual Basic, dicho script fue titulado "Love Letter", el cual comenzaba a
circular por el Internet. Dichos reportes indicaban que dicho programa
ten'ia la propiedad de un gusano (Programa que se autoreplica por si
mismo) y que para su propagaci'on atrav'es de la red dicho programa era
distribuido v'ia correo electr'onico que contienen las siguientes
Caracter'isticas :
----------------------
Subject:ILove YOU
Dentro del cuerpo del mensaje conten'ia lo siguiente :
Un documento en forma de ATTACH inclu'ido, titulado :
LOVE-LETTER-FOR-YOU.txt.vbs
-----------------------
Como datos oficiales del CERT/CC uno de los Organismos de Seguridad en
Los Estados unidos y a nivel Mundial, se reportaba que antes de las 3:00
PM dicho gusano habr'ia afectado cerca de 300,000 equipos distribu'idos
alrededor de diversas empresas.
El CERT haste ese momento ten'ia registrados m'as de 250 reportes que
indicaban la prescencia de un gusano atrav'es de la red.
Si deseas consultar el documento en su formato original en versi'on en
ingles te recomendamos visitar :
http://www.cert.org/current/current_activity.html#loveletter
Dicho gusano se expandi'o no s'olo v'ia correo electr'onico, sino que
encontro como otro medio de distribuci'on los IRC (Chats) como cabida para
su pronta propagaci'on.
Fecha de Detecci'on en los EU : Mayo 4 del 2000
Fecha de Detecci'on en M'exico : Mayo 4 del 2000 *
'Ultima Revisi'on : Mayo 4 del 2000
Sistemas Afectados : Sistema Operativo Windows, con
la peculiaridad de funcionar como servidor.
, , , , , , , , , , , , , , ,
* Descripci'on del Problema *
, , , , , , , , , , , , , , ,
En el momento en que dicho gusano se ejecutaba era autoguardarse dentro
del equipo infectado en tres diferentes lugares y con nombre distintos,
MSKernel32.vbs, LOVE-LETTER-FOR-YOU.TXT.vbs y bajo el directorio windows
como Win32DLL.vbs.
Enseguida crea un numero de entradas al registro del Sistema Operativo
Windows al ejecurtar dichos programas, que en su mayor'ia son b'asicos al
momento de la instalaci'on de dicho sistema Operativo
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32D$
De igual forma modifica la p'agina de inicio del Internet Explorer para
que al momento de ejecutarse 'este pueda bajar un archivo binario
de forma aleatoria llamado WIN-BUGSFIX.exe, el cual primordialmente lo
obten'ia de las siguientes direcciones :
http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gv$
http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324h$
http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b$
http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasd$
Enseguida el programa cambia las llaves del registro para que pueda
ejecutarse el archivo binario reci'en obtenido y que posteriormente pueda
ejecutarse.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
about:blank
Posteriormente el gusano ayuda a crear un archivo en formato html que lo
ayudar'a a que se pueda expander atrav'es de la red. Dicho archivo se
llama LOVE-LETTER-FOR-YOU.HTM
El gusano intenta expandirse y replicarse en todas las direcciones
de la libreta de direcciones del sistema WINDOWS ( Windows Address Book ),
enviando el archivo recien creado LOVE-LETTER-FOR-YOU.TXT.vbs como
attachment.
El virus una vez que ha sido enviado y recibido del lado de su objetivo,
hace una b'usqueda por discos duros, dispositivos y archivos con ciertas
extensiones. A su vez sobreeescribe archivos agregandoles la terminaci'on
.vbs y vbe. Los archivos detectados que renombra son aquellos que
contienen las extensiones js, jse, css, wsh, sct, hta y los renombra con
la extensi'on .vbs. De igual forma para los archivos con la extensi'on jpg
y jpeg an~adiendole la terminaci'on .vbs.
De igual forma busca por las aplicaciones mIRC windows y IRC client y
sobreescribe el archivo script.ini. enseguida modifica dicho archivo para
que pueda ser distribu'ido mediante la funci'on DCC del IRC el archivo
LOVE-LETTER-FOR-YOU.HTM a toda la gente que entre al foro de discusi'on.
- ----------
SOLUCION
- ---------
Se han enviado por las principales listas de Seguridad y Administraci'on
tanto en los Estados Unidos y en M'exico, diversas formas para poderlo
prevenir y detener en nuestros equipos.
* Existe un parche simple que se agrega en el archivo sendmail.cf y que
se puede encontrar en :
http://www.freshmeat.net/news/2000/05/04/957464489.html
Como administradores exhortamos aplicar dicho parche en el programa de
Sendmail para evitar que dicho gusano se propague a traves de nuestro
dominio .unam.mx y .mx.
* Las 'ultimas variaciones de dicho gusano por la tarde-noche indican que
dicho gusano usa como subject las cadenas "Joke" o' "fw: Joke"
y el attachment es llamado VeryFunny.vbs.
* Si manejas Procmail puedes usar los filtros realizados por John
D. Hardin para detener el gusano y est'a disponible en
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-security.html
* Si usas sendmail a su vez ha publicado recientemente en su pagina
comercial de sendmail.com una regla para filtrar el gusano que se basa en
el encabezado del correo 'o subject. dicha regla trabaja para Sendmail
8.9 en adelante y es'a disponible en la siguiente direcci'on
http://www2.sendmail.com/loveletter. A esta regla puede an~adirse las
nuevas variaciones detectadas hasta la noche de hoy.
* Para servidores Exchange se recomienda el producto Mail essentials, pero
este es un producto comercial que ayuda a configurar y bloquear mensajes
que pueden ser detectados en su contenido 'o incluso en su
encabezado. dicho producto se encuentra en la siguiente direcci'on :
http://www.gfi.com/mesindex.htm
* Se recomienda actualizar la versi'on de antivirus que se este ejecutando
en tu equipo.
* De igual forma debido a que el virus est'a escrito en VBS, 'este requere
que se ejecute la funci'on Windows Scripting Host (WSH) para poder
ejecutarse. Recomendamos desactivar dicha opci'on, si no sabes como
llevarlo a cabo, te recomendamos leer el siguiente documento :
http://www.sophos.com/support/faqs/wsh.html
* Desactivar la opci'on Active Scripting en el internet Explorer, si no
sabes como llevar a cabo este paso, te recomendamos visitar :
http://www.cert.org/tech_tips/malicious_code_FAQ.html#steps
- -------------------------------------------
APENDICE A : Lista de principales contactos
- --------------------------------------------
Anexamos una lista de posibles contactos de vendedores de antivirus a
nivel muundial y que actualmente est'an estudiando las formas de
protecci'on y ana~adiendolo a sus productos.
Alladin: http://www.aks.com/home/csrt/valerts.asp
CA: http://www.ca.com/virusinfo/virusalert.htm
DrSolomon: http://www.drsolomons.com/home/extra.zip
F-Secure: http://www.f-secure.com/download-purchase/updates.html
Finjan:
http://www.finjan.com/attack_release_detail.cfm?attack_release_id=34
McAffe: http://download.mcafee.com/extrafiles/love-4.zip
NAI: http://vil.nai.com/villib/dispVirus.asp?virus_k=98617
Proland: http://www.pspl.com/virus_info/worms/loveletter.htm
Sophos: http://www.sophos.com/virusinfo/analyses/vbsloveleta.html
Sophos: http://www.sophos.com/virusinfo/analyses/trojloveleta.html
Symantec: http://www.symantec.com/avcenter/venc/data/vbs.loveletter.a.html
TrendMicro: http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_LOVELETTER-
Se informa que la 'ultima versi'on del Norton antivirus detiene la
propagaci'on del gusano, ya que lo confunde con el virus VBS.BubbleBoy,
por lo que no lo deja autoreplicarse.
________________
INFORMACI'ON
________________
Para Mayor Informaci'on o Detalles de este bolet'in contactar a:
'Area de Seguridad en C'omputo
DGSCA- UNAM
Tel : 56 22 81 69
Fax : 56 22 80 43
E-Mail : asc en asc.unam.mx
http://www.asc.unam.mx/boletines
- ---
Juan Carlos Guel L'opez
Area de Seguridad en C'omputo E-mail: asc en conga.super.unam.mx
DGSCA, UNAM Tel.: 5622-81-69 Fax: 5622-80-43
Circuito Exterior, C. U. WWW: http://www.asc.unam.mx/
04510 Mexico D. F. PGP: finger asc en ds5000.super.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.1i
iQEVAwUBORI2Qj6HeEeO/+C1AQGIXgf+L9XqC/kqqWhpnV3wtOqGgbpgWaEdK0dI
bgbWGO4yhlB+YCYZs7UvN+WWwQ6clTd+/MmBetSY2/QVS5n5FR7ijvHL/qMP6Wc9
iQCj1I5Vd5Dxt0yQtmbEEyGzX/GVbRA7eghQa5Nwskr0OoEGFGtLlzh+Y28N8L+7
Oa0E3uYaGo1IwPOMTG37MaT/bzTLyZVxsian2HSj+KfpKr/+sGoM4tKlcpvENjy7
ElBHKdJGSmrPByEmrRpmUZ7tOtEKqsIMU1iYlFEsrb3itpkZyDhL6znYC0rvi9Tm
z98rEptybJf1u5WOh2ZAeGFOIWAVGYutHdfVmL5rVi5ssAVrRtLihQ==
=NxJw
-----END PGP SIGNATURE-----
--
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux.org.mx
Para comandos adicionales, envíelo a: ayuda-help en linux.org.mx
Más información sobre la lista de distribución Ayuda