[Ayuda] [Nota de Seguridad UNAM-CERT-007] "Propagacion Gusano SASSER"
Seguridad en Computo - UNAM
seguridad en seguridad.unam.mx
Sab Mayo 1 18:18:39 CDT 2004
-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Nota de Seguridad UNAM-CERT 2004-007
Propagacion de Gusano SASSER
----------------------------------------------------------------------
En las ultimas Horas UNAM-CERT ha recibido información a través de
diversos foros y listas de discusión de los principales Equipos de
Respuesta a incidentes del Mundo acerca de la propagación de un
nuevo gusano que intenta explotar las vulnerabilidades descritas en
el Boletín de Seguridad de Microsoft MS04-011:
*Actualización de Seguridad para Microsoft Windows (835732)*
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
El gusano trata de propagarse escaneando direcciones IP escogidas de
forma aleatoria en lo sistemas vulnerables.
Fecha de Liberación: 1 de Mayo de 2004
Ultima Revisión: ---
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes, así como Foros y
Listas de Discusión.
Sistemas Afectados
==================
* Windows 2000
* Windows XP
* Windows 2003
Descripción
============
De acuerdo con los últimos reportes de diversos Equipos de Respuesta
a Incidentes de Cómputo, el gusano Sasser podría ser comparado con
el gusano Blaster o Lovsan aparecido en Agosto del año pasado.
El gusano Sasser al igual que el gusano Blaster es un gusano de red
que se propaga de forma automática afectando sistemas Windows 2000,
XP y 2003, escaneando direcciones IP aleatorias y utilizando un FTP
para transferir el archivo del gusano al servidor infectado.
De forma similar, Sasser causa que las máquinas no actualizadas se
reinicien, apareciendo una pantalla similar a la que aparecía con el
gusano Blaster, solo que ahora hace referencia al archivo de sistema
/C:\WINNT\system32\lsass.exe/.
Detalles Técnicos
=================
1. Intenta crear un mutex llamado /Jobaka3l/ y termina si el
intento falla. Esto asegura que exista más de una instancia
del gusano en ejecución en la computadora.
2. Se copia a sí mismo como %Windir%\avserve.exe. La variable
%Windir% se refiere al directorio de instalación
predeterminado C:\Windows (Windows XP/2003) o C:\Winnt
(Windows 2000).
3. Agrega el valor:
"avserve.exe"="%Windir%\avserve.exe"
a la clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
para que el gusano se ejecute cuando inicie Windows.
4. Utiliza el API /AbortSystemShutdown/ para intentar apagar o
reiniciar los sistemas infectados.
5. Inicia un servidor FTP en el puerto 5554. Este servidor es
utilizado para propagar el gusano a los servidores.
6. Intenta conectarse de forma aleatoria a direcciones IP a
través del puerto TCP 445. Cuando una conexión es realizada a
un equipo de cómputo, el gusano envía el código de explotación
para que la computadora víctima pueda ejecutar un shell de
forma remoto a través del puerto TCP 9996.
Enseguida el gusano usa la conexión a través del shell en la
computadora víctima para conectarse de a través del protocolo
FTP estableciendo una conexión a un servidor FTP mediante del
puerto 5554 y así obtener la copia del gusano. Esta copia
tendrá un nombre que consiste de 4 o 5 dígitos seguido de la
leyenda by_up.exe(por ejemplo: 74353_up.exe).
Las direcciones IP generadas por el gusano son distribuidas de
la siguiente forma:
* El 50% son completamente aleatorias.
* El 25% tienen el primer octeto igual a la dirección IP
del servidor infectado.
* El 25% tienen el primero y segundo octeto igual a la
dirección IP del servidor infectado.
El gusano inicia 128 subprocesos que escanean direcciones
escogidas de forma aleatoria. Esto consume una gran cantidad
de CPU y como resultado una computadora infectada podría
disminuir su desempeño considerablemente.
Solución
=========
* Aplicar una Actualización del Distribuidor
Se recomienda instalar la actualización de seguridad que
soluciona la vulnerabilidad que explota este gusano.
*Microsoft Security Bulletin MS04-011
Security Update for Microsoft Windows (835732)*
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
<http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx>
*Departamento de Seguridad en Cómputo/UNAM-CERT
Actualización de Seguridad para Microsoft Windows (835732) *
http://www.seguridad.unam.mx/vulnerabilidades/vulnerabilidad.microsoft11-20040413.html
<http://www.seguridad.unam.mx/vulnerabilidades/vulnerabilidad.microsoft11-20040413.html>
* Ejecutar, administrar y actualizar un software antivirus
Aunque un paquete de software antivirus actualizado no puede
brindar protección contra todos los códigos maliciosos, para
la mayoría de los usuarios representa la primera línea de
defensa contra ataques de código malicioso.
La mayoría de los distribuidores antivirus liberan
frecuentemente información actualizada, herramientas, o bases
de datos de virus para ayudar a detectar y recuperar un
sistema que ha sido infectado mediante un código malicioso,
incluyendo Sasser. De esta forma, es importante que los
usuarios mantengan su software antivirus actualizado.
* Utilizar un Firewall Personal
El primer paso que se debe tomar para proteger su computadora
de posibles infecciones es tener instalado y activado un
firewall.
Si su computadora ya ha sido infectada, el activar o instalar
un firewall ayudará a limitar los efectos del gusano en su
computadora.
Si su computadora se reinicia constantemente, desconécte la
computadora del Internet antes de activar o instalar un firewall.
Los sistemas operativos *Windows XP* y *Windows 2003* ya
cuentan con un Firewall incorporado (Internet Connection
Firewall) y puede ser habilitado de forma sencilla.
Muchos firewall personales están disponibles en versiones
gratuitas o de prueba.
Algunos distribuidores de firewalls personales son los
siguientes:
o ZoneAlarm Pro (Zone Labs)
<http://www.zonelabs.com/store/content/catalog/products/zap/zap_details.jsp>
o Norton Personal Firewall (Symantec)
<http://www.symantec.com/sabu/nis/npf/>
o McAffe Personal Firewall (McAffe)
<http://us.mcafee.com/root/package.asp?pkgid=103&cid=8391>
o Tiny Personal Firewall (Tiny Software)
<http://www.tinysoftware.com/home/tiny2?la=EN>
o Outpost Firewall (Agnitum)
<http://www.agnitum.com/download/outpostfree.html>
o Kerio Personal Firewall (Kerio Technologies)
<http://www.kerio.com/us/kpf_download.html>
o BlackICE PC Protection (Internet Security Systems)
<http://blackice.iss.net/product_pc_protection.php>
* Eliminación Manual
o Finalizar el proceso malicioso.
Para finalizar el proceso:
1. Presione Ctrl+Alt+Delete una sola vez.
2. De clic en el Administrador de Tareas.
3. De clic en la pestaña Procesos.
4. De doble clic en la columna Nombre de Imagen para
ordenar alfabéticamente los procesos.
5. Localice en la lista los siguientes procesos:
+ avserve.exe
+ cualquier proceso con un nombre consistente
de 4 o 5 dígitos seguidos por _up.exe.
6. Si se encuentran dichos procesos, de clic en
ellos, y después en Terminar Proceso.
7. Salga del Administrador de Tareas.
o Deshabilitar System Restore (Windows XP).
+ Windows XP
1. Haga clic en Inicio.
2. Haga clic con el botón secundario en el
icono Mi PC y, a continuación, haga clic en
Propiedades.
3. Haga clic en la pestaña Restaurar sistema.
4. Marque la casílla Desactivar Restaurar
sistema o la casílla Desactivar Restaurar
sistema en todas las unidades.
5. Haga clic en Aplicar y a continuación, en
Aceptar.
6. Como verá en el mensaje, esta acción
eliminará todos los puntos de restauración
existentes. Haga clic en Sí para llevar a
cabo esta acción.
7. Haga clic en Aceptar y reinice el sistema.
o Actualizar las definiciones de Antivirus.
Independientemente del software antivirus que este
utilizando, actualice su base de datos de firmas
antivirus para poder eliminar el gusano Sasser.
o Escanee su sistema y elimine los archivos infectados.
Ejecute su software antivirus actualizado en su sistema
con el propósito de buscar los archivos correspondientes
al gusano Sasser.
o Eliminar los valores que fueron agregados al registro y
reiniciar el equipo.
1. Dar clic en Inicio y después en Ejecuta.
2. Escribir regedit y presionar Aceptar.
3. Buscar la siguiente llave:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. En el panel de la derecha eliminar el siguiente
valor:
"avserve.exe"="%Windir%\avserve.exe"
5. Salir del editor del registro.
6. Reiniciar el equipo.
Apéndice A. Referencias
=======================
* F-Secure - http://www.f-secure.com/weblog/
* Sophos - http://www.sophos.com/virusinfo/analyses/w32sassera.html
* Symantec Corp. -
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
* Trend Micro -
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
* Panda Software -
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46865&sind=0
* McAffe -
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=125007
* Computer Associates -
http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012
------------------------------------------------------------------------
El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el
apoyo en la elaboración y revisión de éste Nota de Seguridad a:
* Juan Carlos Guel López (cguel en seguridad.unam.mx)
* Jesus Ramón Jiménez Rojas(jrojas en seguridad.unam.mx)
------------------------------------------------------------------------
Información
===========
Éste documento se encuentra disponible en:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx/Notas/Notas2004/nota-UNAM-CERT-2004-007.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad.unam.mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQJQwVnAvLUtwgRsVAQFDdQf/WKlW4S0rfxVGZjgFPoPGLvy20FwVi8PH
oE/DQs2PqEFYBTlBlmsZOrBrthg1TIk2kudx3WQnqriVVg7QCXG/cTIV+6iDqP3W
jBQjFJGN/G6/wLDq6R6gtheMKXhZkzGr+4JwARsfBdZDZzNEei+HDDLFf+fAIVaS
fLv0heAVGMcD9KFvSQiOIi7oNdp7y8RqWUP38OS9HZdAuTH57aoP79bMoZoNQTb5
9OzTOX4IwXsci05HosQXHvRomOlvReejRJtbvxoJ+Le3swPtwaer3NkcR04LsRDM
XTzMu1cElmSYrhCCFIdYzDT8BQ77pAI5h9M9tq4cmQgWhBPv8MIH7w==
=4JPG
-----END PGP SIGNATURE-----
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/
Más información sobre la lista de distribución Ayuda