Seguridad Derecho informático Derecho nuevas tecnologías

Derecho informático Derecho nuevas tecnologías
Seguridad Derecho informático Derecho nuevas tecnologías
 Noticias
  • Aparece un nuevo gusano: "Bugbear", alias "Tanatos" [02-10-02]  

    Fuente: Hispasec.


    Este nuevo gusano, cuyas primeras muestras se descubrieron el pasado 29 de septiembre, está consiguiendo un número significativo de infecciones, aunque de momento muy por debajo de los ratios que aun
    mantiene el perenne "Klez". Su capacidad para eliminar muchos
    antivirus y firewalls personales, así como el robo de nombres de
    usuarios y contraseñas o la apertura del puerto TCP/36794 para
    permitir la entrada a los equipos infectados, son algunas de sus
    funcionalidades más destacadas.

    Escrito en Visual C++, su tamaño original fue reducido por el
    creador a unos 50kb gracias a la utilidad de compresión UPX. Nos
    encontramos ante un espécimen que, sin aportar nada nuevo, recoge
    mucha de las funcionalidades y técnicas que han dado resultado a otros
    gusanos, consiguiendo finalmente una muestra bastante completa y
    funcional.

    Así, en lo que a propagación se refiere, utiliza su propio módulo
    SMTP (en vez de utilizar un cliente de correo como Outlook), recoge
    direcciones a las que enviarse desde la libreta de direcciones de
    Windows y de archivos con extensión .dbx, .eml, .mbx, .mmf, .nch,
    .tbb, y .OCS, así como se ocupa de modificar el asunto, el cuerpo
    del mensaje, el nombre y extensiones del archivo adjunto donde se
    envía para evitar ser reconocido a primera vista.

    De forma aleatoria el gusano envía algunos de los mensajes infectados
    aprovechando la explotación de la famosa vulnerabilidad MIME/IFRAME
    de Internet Explorer para intentar ejecutarse de forma automática,
    sin necesidad de que el usuario abra el archivo adjunto, como ya lo
    hicieran Nimda, BadTrans o el propio Klez.
    El resto de mensajes no aprovechan ninguna vulnerabilidad, por lo
    que será necesario que el usuario los abra haciendo doble click en
    ellos para infectarse.

    Una vez infecta un sistema, realiza una copia de si mismo en la
    carpeta de sistema de Windows y modifica la siguiente entrada en
    el registro para asegurarse su ejecución en cada inicio de sistema,
    tal y como suelen hacer los troyanos y backdoors en Windows:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

    Bugbear también es capaz de infectar a través de los recursos
    compartidos de las redes locales, copiándose en las carpetas de Inicio
    para forzar su primera ejecución al iniciar de nuevo el sistema y
    conseguir la infección sin intervención por parte del usuario.

    Una vez instalado en el sistema, además de continuar con su propagación
    enviando de forma masiva mensajes infectados e intentando acceder a
    los recursos compartidos a los que tenga alcance, Bugbear se encarga
    de recopilar cuentas de usuario/contraseña y enviarlas por e-mail al
    autor, así como abre el puerto TCP/36794 donde un módulo backdoor
    permite que terceros puedan controlar el sistema del usuario infectado
    a través de Internet.

    Como ya comentamos al inicio, Bugbear también dispone de una serie
    de medidas contra-antivirus, de forma que cuando infecta un sistema
    el gusano busca si en el sistema están ejecutándose una serie de
    procesos (en su mayoría residentes de antivirus y firewalls personales)
    e intenta eliminarlos.

    La mayoría de soluciones antivirus ya cuentan con actualizaciones para
    detectar a Bugbear, por lo que en teoría, pese a la rápida propagación
    que ha conseguido en apenas unos días de existencia, sería de esperar
    que a medida que se actualicen los antivirus las infecciones fueran
    decreciendo. No obstante, y tras la experiencia con gusanos como
    "Klez", con el que guarda algunas similitudes, haremos un seguimiento
    y estaremos expectantes a su evolución.


    Algunos datos complementarios sobre Bugbear/Tanatos

    Listado de asuntos entre los que elige para enviarse por e-mail:

    Greets!
    Get 8 FREE issues - no risk!
    Hi!
    Your News Alert
    $150 FREE Bonus!
    Re:
    Your Gift
    New bonus in your cash account
    Tools For Your Online Business
    Daily Email Reminder
    News
    free shipping!
    its easy
    Warning!
    SCAM alert!!!
    Sponsors needed
    new reading
    CALL FOR INFORMATION!
    25 merchants and rising
    Cows
    My eBay ads
    empty account
    Market Update Report
    click on this!
    fantastic
    wow!
    bad news
    Lost & Found
    New Contests
    Today Only
    Get a FREE gift!
    Membership Confirmation
    Report
    Please Help...
    Stats
    I need help about script!!!
    Interesting...
    Introduction
    various
    Announcement
    history screen
    Correction of errors
    Just a reminder
    Payment notices
    hmm..
    update
    Hello!

    Procesos que busca en el sistema infectado e intenta eliminar:

    ZONEALARM.EXE
    WFINDV32.EXE
    WEBSCANX.EXE
    VSSTAT.EXE
    VSHWIN32.EXE
    VSECOMR.EXE
    VSCAN40.EXE
    VETTRAY.EXE
    VET95.EXE
    TDS2-NT.EXE
    TDS2-98.EXE
    TCA.EXE
    TBSCAN.EXE
    SWEEP95.EXE
    SPHINX.EXE
    SMC.EXE
    SERV95.EXE
    SCRSCAN.EXE
    SCANPM.EXE
    SCAN95.EXE
    SCAN32.EXE
    SAFEWEB.EXE
    RESCUE.EXE
    RAV7WIN.EXE
    RAV7.EXE
    PERSFW.EXE
    PCFWALLICON.EXE
    PCCWIN98.EXE
    PAVW.EXE
    PAVSCHED.EXE
    PAVCL.EXE
    PADMIN.EXE
    OUTPOST.EXE
    NVC95.EXE
    NUPGRADE.EXE
    NORMIST.EXE
    NMAIN.EXE
    NISUM.EXE
    NAVWNT.EXE
    NAVW32.EXE
    NAVNT.EXE
    NAVLU32.EXE
    NAVAPW32.EXE
    N32SCANW.EXE
    MPFTRAY.EXE
    MOOLIVE.EXE
    LUALL.EXE
    LOOKOUT.EXE
    LOCKDOWN2000.EXE
    JEDI.EXE
    IOMON98.EXE
    IFACE.EXE
    ICSUPPNT.EXE
    ICSUPP95.EXE
    ICMON.EXE
    ICLOADNT.EXE
    ICLOAD95.EXE
    IBMAVSP.EXE
    IBMASN.EXE
    IAMSERV.EXE
    IAMAPP.EXE
    FRW.EXE
    FPROT.EXE
    FP-WIN.EXE
    FINDVIRU.EXE
    F-STOPW.EXE
    F-PROT95.EXE
    F-PROT.EXE
    F-AGNT95.EXE
    ESPWATCH.EXE
    ESAFE.EXE
    ECENGINE.EXE
    DVP95_0.EXE
    DVP95.EXE
    CLEANER3.EXE
    CLEANER.EXE
    CLAW95CF.EXE
    CLAW95.EXE
    CFINET32.EXE
    CFINET.EXE
    CFIAUDIT.EXE
    CFIADMIN.EXE
    BLACKICE.EXE
    BLACKD.EXE
    AVWUPD32.EXE
    AVWIN95.EXE
    AVSCHED32.EXE
    AVPUPD.EXE
    AVPTC32.EXE
    AVPM.EXE
    AVPDOS32.EXE
    AVPCC.EXE
    AVP32.EXE
    AVP.EXE
    AVNT.EXE
    AVKSERV.EXE
    AVGCTRL.EXE
    AVE32.EXE
    AVCONSOL.EXE
    AUTODOWN.EXE
    APVXDWIN.EXE
    ANTI-TROJAN.EXE
    ACKWIN32.EXE
    _AVPM.EXE
    _AVPCC.EXE
    _AVP32.EXE



    Más información:

    Win32.BugBear.A@mm
    http://www.bitdefender-es.com/virusi/virusi_descrieri.php?virus_id=109

    W32/Bugbear.A@mm Worm
    http://www.commandsoftware.com/virus/bugbear.html

    Bugbear
    http://www.f-secure.com/v-descs/tanatos.shtml

    I-Worm.Tanatos
    http://www.avp.ch/avpve/worms/email/tanatos.stm

    W32/Bugbear@MM
    http://vil.nai.com/vil/content/v_99728.htm

    W32/Bugbear.A@mm
    http://www.norman.com/virus_info/w32_bugbear_a_mm.shtml

    W32/Bugbear
    http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Bugbear

    W32/Bugbear-A
    http://www.sophos.com/virusinfo/analyses/w32bugbeara.html

    W32/Bugbear@MM
    http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Bugbear@MM

    W32.Bugbear@mm
    http://www.symantec.com/avcenter/venc/data/w32.bugbear@mm.html

    WORM_BUGBEAR.A
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BUGBEAR.A&VSect=T

    W32/Bugbear.A (Tanatos), un gusano de rápida propagación
    http://www.vsantivirus.com/bugbear-a.htm





  • Noticias actuales...
    Archivo de noticias...
    •  
    Gratis Servicio de noticias
    Suscribir Borrado
    Tus Sugerencias son bienvenidas
    Pincha Aquí
    ¡¡Lista de correo!!
    Introduzca su correo: