|
Título: ATENCION ECHARLE UN OJO (mas info pag 2) Publicado por: Somey en 15 de Agosto 2005, 18:08:13 Un nuevo gusano afecta a los usuarios de Windows
15/08/2005 - 13:54 IBLNEWS, AGENCIAS Un nuevo virus que puede infectar las plataformas Windows de Microsoft más rápido que los anteriores gusanos ha sido detectado en Internet, dijo un fabricante de software antivirus. El virus ZOTOB apareció poco después de que el mayor fabricante mundial de software advirtiera de tres nuevos y "críticos" desperfectos en su aplicación, incluyendo uno que podría permitir a los atacantes hacerse con el control completo del ordenador. Este gusano se aprovecha de los defectos de seguridad del Windows 95, 98, ME, NE, 2000 y XP y puede permitir a los atacantes informáticos acceder remotamente a los sistemas afectados, dijo Trend Micro. "Se han percibido cientos de infecciones en Estados Unidos y Alemania", dijo Trend Micro, con sede en Tokio, en un comunicado emitido a finales de la semana pasada. "Dado que la mayoría de los usuarios pueden no estar al tanto del fallo recientemente anunciado para instalar los parches necesarios durante el pasado fin de semana, podemos prever más infecciones de WORM_ZOTOB", añadió. El último virus deja una copia de sí mismo en la carpeta del sistema Windows que aparece como BOTZOR.EXE y modifica el archivo de servidor del sistema en el ordenador infectado para impedir que el usuario tenga acceso a ayuda online de sitios antivirus, añadió Trend Micro. También puede conectarse a un servidor de chat y da a los piratas informáticos control remoto sobre los sistemas afectados, que puede ser usado para infectar otras máquinas en una red y ralentizar el funcionamiento de la misma. El martes pasado, Microsoft sacó parches para fijar sus desperfectos de seguridad como parte de su boletín de seguridad mensual. Los problemas afectan al sistema operativo Windows y al buscador Internet Explorer de Microsoft. Microsoft ha advertido de que un atacante puede aprovecharse de la vulnerabilidad del buscador web y llevar a los usuarios a páginas web con fines malintencionados, y podrían poner en funcionamiento un código de software en el PC que dé al atacante control del ordenador infectado. Los usuarios informáticos deberían actualizar sus archivos antivirus y aplicar los últimos parches de Microsoft para proteger sus ordenadores, dijo Trend Micro. Más del 90 por ciento de los ordenadores del mundo funcionan con el sistema operativo Windows y Microsoft ha estado trabajando para reforzar la seguridad de su software Título: Re: ATENCION ECHARLE UN OJO Publicado por: Guks en 15 de Agosto 2005, 18:13:48 Umm Interesante!!!!
Título: Re: ATENCION ECHARLE UN OJO Publicado por: chus en 15 de Agosto 2005, 18:25:27 -ok -ok -ok Interesante información -ok -ok -ok
Un saludo. Título: Re: ATENCION ECHARLE UN OJO Publicado por: Yessylena en 15 de Agosto 2005, 21:23:21 gracias x la info Somey -ok
Título: Re: ATENCION ECHARLE UN OJO Publicado por: Moophee en 15 de Agosto 2005, 23:30:10 karma por la info somey -ok
Título: Re: ATENCION ECHARLE UN OJO Publicado por: Somey en 16 de Agosto 2005, 16:59:16 Mas info:
Nuevo virus informático Zotob ataca a los usuarios de Windows Un nuevo virus informático apodado Zotob que se aprovecha de un fallo recientemente descubierto en el sistema operativo Windows, de Microsoft, ha comenzado a hacer su ronda por la red, advirtieron hoy expertos en la materia. -------------------------------------------------------------------------------- Se trata de un gusano que desarrolla su acción a partir de tres errores 'críticos' que Microsoft difundió la semana pasada. Uno de ellos, en el navegador Internet Explorer, podría permitir que los atacantes se hagan con el control remoto del ordenador. Este código malicioso también intenta bloquear muchos de los más conocidos sitios de Internet relacionados con seguridad informática, como el servicio VirusTotal de la empresa española Hispasec. Además, intenta bloquear sitios de importancia como Amazon, eBay o Paypal. La peculiaridad de Zotob es que puede afectar a los ordenadores que utilicen diferentes versiones de Windows (95, 98, ME, NE, 2000 y XP) más rápidamente que otros gusanos recordando el modo de actuar de dos "clasicos": Sasser y Lovsan (Blaster) que causaron grandes problemas una vez introducidos en las redes corporativos. Si por la acción de algún usuario, este pudiera entrar en una red informática su rapidez de actuación le permitira contaminar a todos los equipos antes de que los administradores pudieran reaccionar. Microsoft, por su parte, contradijo esta información y aseguró que el gusano sólo afecta a los usuarios de Windows 2000. 'Por el momento el virus ha tenido un impacto muy limitado', señaló en un comunicado Stephen Toulouse, de la división de seguridad de la empresa. Título: Re: ATENCION ECHARLE UN OJO Publicado por: Fes en 16 de Agosto 2005, 16:59:21 gracias Somey -ok
(que hacer con esta gente que no tiene nada mejor que hacer ?? -cabezon -cabezon ) Título: Re: ATENCION ECHARLE UN OJO Publicado por: Somey en 16 de Agosto 2005, 17:03:04 gracias Somey -ok ya sabes vacaciones la gente se aburre y hala a putear al resto :-X(que hacer con esta gente que no tiene nada mejor que hacer ?? -cabezon -cabezon ) Título: Re: ATENCION ECHARLE UN OJO Publicado por: PeterPointer en 16 de Agosto 2005, 17:12:49 Gracias por info -ok
Título: Re: ATENCION ECHARLE UN OJO Publicado por: Select en 17 de Agosto 2005, 09:49:01 Gracias por el aviso Somey -ok
Título: Re: ATENCION ECHARLE UN OJO Publicado por: David Bowie en 17 de Agosto 2005, 23:01:15 Gracias Somey x la info -ok
Título: Re: ATENCION ECHARLE UN OJO Publicado por: Alan_Dillinger en 17 de Agosto 2005, 23:15:58 Gracias, interesante.... -beer
Título: Re: ATENCION ECHARLE UN OJO Publicado por: Somey en 18 de Agosto 2005, 09:25:38 ¿Como actúa el gusano Zotob?
-------------------------------------------------------------------------------- Para aprovecharse de la vulnerabilidad de ejecución remota de código en Plug and Play (PnP), los distintos virus detectados en las últimas horas generan direcciones IP aleatorias a las que tratan de conectarse a través del puerto 445, en busca de sistemas vulnerables. En caso de encontrar alguno, enviará instrucciones para descargar una copia suya por TFTP (una versión simplificada del tradicional protocolo FTP). Se instalan en el equipo, modificando una clave del registro para asegurarse su ejecución en cada reinicio del sistema, e inicializan un componente backdoor que está accesible a través de IRC, y quedan a la espera de órdenes en un determinado canal, que pueden permitir a un atacante remoto controlar el equipo. Sólo se propaga a máquinas con los sistemas operativos Windows 2000, XP, y Server 2003. Zotob.D, además, busca en el equipo algunos de los programas más conocidos de adware, y a continuación procede a borrar los ficheros y los directorios de los mismos. El efecto más visible que provocan estos gusanos en los equipos infectados es el constante reinicio de los mismos, lo que inutiliza los equipos, por lo que sus efectos pueden ser muy dañinos, especialmente en entornos corporativos. Título: Re: ATENCION ECHARLE UN OJO Publicado por: Somey en 18 de Agosto 2005, 09:26:57 ¿Como saber si Zotob esta instalado en mi ordenador?
Este gusano se propaga usando una vulnerabilidad recientemente detectada por Microsoft. El uso del parche de seguridad incluido en el boletín de Agosto de la multinacional informática protege a nuestro equipo de verse infectado por este código malicioso -------------------------------------------------------------------------------- ¿Como saber si Zotob esta instalado en mi ordenador? Nuevo virus informático Zotob ataca a los usuarios de Windows Nombre Zotob Nombre NOD32 Win32/Mytob Tipo Gusano de Internet y caballo de Troya Alias Zotob, Zotob.A, Zotob.B, Mytob, I-Worm/Mytob.LY, Malware.n, Net-Worm.Win32.Mytob.cd, W32.IRCBot, W32.Zotob.A, W32.Zotob.B , W32/Bozor.A.worm, W32/Zotob.A, W32/Zotob.A.worm, W32/Zotob.A-net, W32/Zotob.worm, W32/Zotob.worm.b, W32/Zotob-A, Win32.HLLM.MyDoom, Win32.Worm.Zotob.A, Win32.Zotob.A, Win32/Mytob, Win32/Zotob.A, Win32/Zotob.A!Worm, Worm.IRCBot.DL, Worm.Zotob.A, WORM_MYTOB.JS, WORM_ZOTOB.A, WORM_ZOTOB.B Fecha 14/ago/05 Plataforma Windows 32-bit Tamaño 22,528; 15,489; 27,648; 15,386 bytes Puertos TCP 445, 8080, 8888, 33333 Fuente: http://www.vsantivirus.com/zotob.htm Gusano que se propaga utilizando la vulnerabilidad descripta en el boletín MS05-039 de Microsoft: MS05-039 Vulnerabilidad en Plug and Play (899588) http://www.vsantivirus.com/vulms05-039.htm Cuando el gusano se ejecuta, crea el siguiente archivo: c:\windows\system32\botzor.exe Agrega las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WINDOWS SYSTEM = "botzor.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices WINDOWS SYSTEM = "botzor.exe" Existe una segunda versión del gusano que utiliza el siguiente nombre: c:\windows\system32\csm.exe Y crea las siguientes entradas: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run csm Win Updates = "csm.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices csm Win Updates = "csm.exe" NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Ambas versiones, modifican la siguiente entrada para deshabilitar el servicio de "Conexión de seguridad a Internet" (ICF): HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start = "4" También intenta eludir las restricciones de seguridad del cortafuegos, cambiando la siguiente entrada en el registro (esto no funciona en Windows 2000, que es actualmente el único sistema que puede ser atacado por la vulnerabilidad aprovechada por este gusano): HKLM\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy \DomainProfile\AuthorizedApplications\List C:\WINDOWS\system32\botzor.exe = "C:\WINDOWS\system32\botzor.exe:*:Enabled:botzor" Se conecta a un servidor IRC en el siguiente dominio a través del puerto TCP 8080: diabl0.turkcoders.net La segunda versión, intenta conectarse al siguiente dominio: wait.atillaekici.net La conexión al servidor IRC, permite que un usuario remoto pueda acceder al sistema infectado y realizar acciones como las siguientes: - Actualizar el gusano via FTP - Atacar determinados hosts (flood atack) - Borrar archivos - Descargar y ejecutar archivos vía HTTP - Enviar información del sistema infectado - Finalizar la ejecución del gusano - Finalizar procesos - Solicitar fecha de infección - Solicitar versión del gusano - Visitar determinadas direcciones También abre un servidor FTP en el puerto TCP 33333 por el que otros equipos descargarán una copia del gusano. El gusano intenta propagarse utilizando la vulnerabilidad en el servicio Plug and Play de Windows, descripta en el boletín de seguridad MS05-039. Para ello puede crear hasta 300 threads (hilos de ejecución) para buscar sistemas vulnerables enviando paquetes SYN por el puerto TCP 445. Si el ataque tiene éxito (equipos con Windows 2000 sin el parche MS05-039), ejecuta un shell (cmd.exe) en el puerto TCP 8888. Por este puerto, envía al equipo remoto los comandos para descargarse y ejecutarse a si mismo. Primero, copia el siguiente archivo en los sistemas vulnerables: 2pac.txt Este archivo contiene un script FTP, que el gusano intentará usar al ejecutar el comando FTP.EXE por el shell abierto antes, con el resultado que el equipo accedido descargue una copia del malware usando el servidor FTP en el puerto TCP 33333 creado antes en el equipo infectado. El archivo descargado es guardado con el siguiente nombre y luego ejecutado: haha.exe El gusano agrega las siguientes entradas al archivo HOSTS de Windows, impidiendo además el acceso a muchos sitios de antivirus y otras firmas de seguridad: .... Made By .... Greetz to good friend ..... Based On .... MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!! 127 .0 .0 .1 www .symantec .com 127 .0 .0 .1 securityresponse .symantec .com 127 .0 .0 .1 symantec .com 127 .0 .0 .1 www .sophos .com 127 .0 .0 .1 sophos .com 127 .0 .0 .1 www .mcafee .com 127 .0 .0 .1 mcafee .com 127 .0 .0 .1 liveupdate .symantecliveupdate .com 127 .0 .0 .1 www .viruslist .com 127 .0 .0 .1 viruslist .com 127 .0 .0 .1 viruslist .com 127 .0 .0 .1 f-secure .com 127 .0 .0 .1 www .f-secure .com 127 .0 .0 .1 kaspersky .com 127 .0 .0 .1 kaspersky-labs .com 127 .0 .0 .1 www .avp .com 127 .0 .0 .1 www .kaspersky .com 127 .0 .0 .1 avp .com 127 .0 .0 .1 www .networkassociates .com 127 .0 .0 .1 networkassociates .com 127 .0 .0 .1 www .ca .com 127 .0 .0 .1 ca .com 127 .0 .0 .1 mast .mcafee .com 127 .0 .0 .1 my-etrust .com 127 .0 .0 .1 www .my-etrust .com 127 .0 .0 .1 download .mcafee .com 127 .0 .0 .1 dispatch .mcafee .com 127 .0 .0 .1 secure .nai .com 127 .0 .0 .1 nai .com 127 .0 .0 .1 www .nai .com 127 .0 .0 .1 update .symantec .com 127 .0 .0 .1 updates .symantec .com 127 .0 .0 .1 us .mcafee .com 127 .0 .0 .1 liveupdate .symantec .com 127 .0 .0 .1 customer .symantec .com 127 .0 .0 .1 rads .mcafee .com 127 .0 .0 .1 trendmicro .com 127 .0 .0 .1 pandasoftware .com 127 .0 .0 .1 www .pandasoftware .com 127 .0 .0 .1 www .trendmicro .com 127 .0 .0 .1 www .grisoft .com 127 .0 .0 .1 www .microsoft .com 127 .0 .0 .1 microsoft .com 127 .0 .0 .1 www .virustotal .com 127 .0 .0 .1 virustotal .com 127 .0 .0 .1 www .amazon .com 127 .0 .0 .1 www .amazon .co .uk 127 .0 .0 .1 www .amazon .ca 127 .0 .0 .1 www .amazon .fr 127 .0 .0 .1 www .paypal .com 127 .0 .0 .1 paypal .com 127 .0 .0 .1 moneybookers .com 127 .0 .0 .1 www .moneybookers .com 127 .0 .0 .1 www .ebay .com 127 .0 .0 .1 ebay .com También crea el siguiente mutex para no ejecutarse más de una vez en memoria: B-O-T-Z-O-R Título: Re: ATENCION ECHARLE UN OJO (mas info pag 2) Publicado por: Somey en 18 de Agosto 2005, 11:36:42 Las actualizaciones pueden descargarse de los siguientes enlaces:
Microsoft Windows 2000 Service Pack 4 Actualización de seguridad para Windows 2000 (KB899588) (http://www.microsoft.com/downloads/details.aspx?familyid=E39A3D96-1C37-47D2-82EF-0AC89905C88F&displaylang=es) Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 Actualización de seguridad para Windows XP (KB899588) (http://www.microsoft.com/downloads/details.aspx?familyid=9A3BFBDD-62EA-4DB2-88D2-415E095E207F&displaylang=es) Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 Actualización de seguridad para Windows Server 2003 (KB899588) (http://www.microsoft.com/downloads/details.aspx?familyid= 6275D7B7-DAB1-47C8-8745-533EB471072C&displaylang=es) Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. Título: Re: ATENCION ECHARLE UN OJO (mas info pag 2) Publicado por: Iranzo en 19 de Agosto 2005, 15:34:04 gracias somey -ok
Título: Re: ATENCION ECHARLE UN OJO (mas info pag 2) Publicado por: Somey en 19 de Agosto 2005, 16:14:05 gracias somey -ok ya pensaba que nadie iba a responder -okTítulo: Re: ATENCION ECHARLE UN OJO (mas info pag 2) Publicado por: David Bowie en 19 de Agosto 2005, 17:20:15 no se q hariamos sin ti, oh gran guru de la informatica internautica!
Título: Re: ATENCION ECHARLE UN OJO (mas info pag 2) Publicado por: Somey en 19 de Agosto 2005, 21:41:14 no se q hariamos sin ti, oh gran guru de la informatica internautica! jjaja q pelota -saltar -saltar :PTítulo: Re: ATENCION ECHARLE UN OJO (mas info pag 2) Publicado por: David Bowie en 19 de Agosto 2005, 21:42:19 no se q hariamos sin ti, oh gran guru de la informatica internautica! jjaja q pelota -saltar -saltar :P-juasjuas Título: Re: ATENCION ECHARLE UN OJO (mas info pag 2) Publicado por: Guks en 23 de Agosto 2005, 18:25:06 -ok karmazo somey muy buena info, a la noche la repaso bien -beer
Título: Re: ATENCION ECHARLE UN OJO (mas info pag 2) Publicado por: PeterPointer en 23 de Agosto 2005, 18:30:09 Gracias por la info... -ok
Currado de verdad, te debo Karmita.... Título: Re: ATENCION ECHARLE UN OJO (mas info pag 2) Publicado por: Iranzo en 23 de Agosto 2005, 19:44:37 Muy bueno Somey,karmita,yo tengo las actualizaciones desactivadas desde que tengo el Mccafee security center y con este cortafuegos me va de lujo,de todas maneras nunca digas nunca jamas,gracias por la info -ok
Título: Re: ATENCION ECHARLE UN OJO (mas info pag 2) Publicado por: Somey en 23 de Agosto 2005, 22:41:54 -ok karmazo elan muy buena info, a la noche la repaso bien -beer como que Elan ???si no ha escrito nada ;) -beer -beer -beer Título: Re: ATENCION ECHARLE UN OJO (mas info pag 2) Publicado por: David Bowie en 23 de Agosto 2005, 22:43:49 -ok karmazo elan muy buena info, a la noche la repaso bien -beer como que Elan ???si no ha escrito nada ;) -beer -beer -beer Título: Re: ATENCION ECHARLE UN OJO (mas info pag 2) Publicado por: Guks en 23 de Agosto 2005, 22:51:54 -bye -juasjuas toi dopadossss :P ;D
Título: Re: ATENCION ECHARLE UN OJO (mas info pag 2) Publicado por: uiviuv en 29 de Agosto 2005, 19:46:23 Interesante. Una vez mais minipunto para el LINUX -oeoeoe
|