VSantivirus No. 1590 Año 8, sábado 13 de noviembre de 2004
W32/Bofra.H. Se vale de la vulnerabilidad en
IFRAME
http://www.vsantivirus.com/bofra-h.htm
Nombre: W32/Bofra.H
Nombre Nod32: Win32/Bofra.H
Tipo: Gusano de Internet
Alias: Bofra.H, Win32/Bofra.H, W32/Bofra-G, W32.Bofra.E,
W32.Bofra.E@mm, I-Worm.Bofra.gen, W32/Mydoom.gen@MM
Fecha: 12/nov/04
Plataforma: Windows 32-bit
Tamaño: 20 Kb
Puertos: TCP 1639, TCP 1640, TCP 6667
Basado en el código del Mydoom, este gusano posee
características propias debido a lo cuál, la mayoría de los
antivirus lo clasifican dentro de una nueva familia de gusanos
denominada Bofra.
Esta variante ha sido detectada el 12 de noviembre de 2004. Se
vale de una vulnerabilidad recientemente descubierta en el
Internet Explorer y que se describe en el siguiente artículo:
Desbordamiento de búfer con etiqueta IFRAME en IE
http://www.vsantivirus.com/vul-ie-iframe-031104.htm
El gusano se propaga por medio de mensajes de correo
electrónico, enviados a direcciones obtenidas en archivos del
sistema infectado.
El mensaje no posee adjunto alguno. El enlace incluido en su
texto, apunta al sistema infectado. Haciendo clic en dicho
enlace, se accede a un servidor Web que se está ejecutando en el
sistema comprometido (la computadora que envió el mensaje).
Dicho servidor ofrece un documento HTML conteniendo el código en
JavaScript para provocar un desbordamiento de búfer, debido a un
error de límites en el manejo de ciertos atributos de las
etiquetas FRAME e IFRAME por parte del Internet Explorer. Este
desbordamiento de búfer provoca la ejecución del gusano.
Los mensajes enviados poseen las siguientes características:
De: [usuario]@[dominio]
Donde [usuario] puede ser alguno de los siguientes nombres:
adam
alex
alice
andrew
anna
bill
bob
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom
y [dominio] uno de los siguientes (entre
otros):
aol.com
hotmail.com
msn.com
yahoo.com
Asunto: [alguno de los siguientes]
- [caracteres al azar]
- [vacío]
- Confirmation
- CONFIRMATION
- funny photos :)
- hello
- Hello!
- hello!
- Hey!
- HEY!
- hey!
- Hi!
- HI!
Texto del mensaje:
Ejemplo 1:
Congratulations! PayPal has successfully
charged $175
to your credit card. Your order tracking number is
A866DEC0, and your item will be shipped within three
business days.
To see details please click this link.
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is
being sent by an automated message system and the reply
will not be received.
Thank you for using PayPal.
Ejemplo 2:
Hi! I am looking for new friends.
My name is Jane, I am from Miami, FL.
See my homepage with my weblog and last webcam photos!
See you!
Ejemplo 3:
Hi! I am looking for new friends. I am from
Miami, FL.
You can see my homepage with my last webcam photos!
Hello!
Ejemplo 4:
FREE ADULT VIDEO! SIGN UP NOW!
Ejemplo 5:
Look at my homepage with my last webcam
photos!
Los mensajes contienen un enlace al equipo
infectado que envía el mensaje.
Las propiedades del mensaje, pueden contener alguno de los siguientes campos:
X-AntiVirus: scanned for viruses by AMaViS 0.2.1
(http:/ /amavis .org/)
X-AntiVirus: Checked by Dr.Web (http:/ /www .drweb .net)
X-AntiVirus: Checked for viruses by Gordano's AntiVirus
Software
Los sistemas infectados mostrarán al
Internet Explorer escuchando por el puerto TCP 1639 o 1640, el
puerto donde se ejecuta el servidor Web.
Si el usuario sigue el enlace enviado por el gusano, es
conectado con un servidor Web la computadora infectada:
http://[dirección IP]:[puerto]/[página]
Donde [dirección IP] es la IP actual de la
máquina que envió el mensaje, [puerto] es el puerto usado (por
ejemplo 1639 o 1640), y página el nombre de un documento HTML,
por ejemplo INDEX.HTM, WEBCAM.HTM, etc.
Esa página es la que contiene el código para provocar el
desbordamiento de búfer. Al ser visualizada, se ejecuta el
código de una consola de comandos (shell), que instruye a la
máquina local a descargar un archivo remoto:
http://[dirección IP]:[puerto]/[archivo a
descargar]
El [archivo a descargar], (generalmente
REACTOR, sin extensión), es almacenado en el escritorio del
usuario con el nombre de VV.DAT y luego ejecutado.
Cuando se ejecuta, el gusano crea un archivo en la carpeta
System de Windows:
c:\windows\system32\??????32.exe
Donde los "????" son caracteres al azar.
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows XP y
Windows Server 2003, como "c:\winnt\system32" en Windows NT y
2000 y "c:\windows\system" en Windows 9x y ME).
También se crean las siguientes entradas en el registro, las
primeras para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[nombre] = C:\WINDOWS\System32\??????32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre] = C:\WINDOWS\System32\??????32.exe
Donde [nombre] puede ser alguno de los
siguientes:
center
reactor
Rhino
Reactor?
El caracter "?" en "Reactor" representa un
dígito, por ejemplo "Reactor3", "Reactor4", "Reactor8", etc.
También se pueden crear las siguientes entradas:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore\Version
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore\Version
Cuando el archivo "??????32.exe" es ejecutado,
se ejecuta un servidor en el equipo infectado, y se envían los
mensajes antes descriptos, conteniendo el enlace a dicho equipo.
El gusano contiene una lista de servidores IRC, a los que
intenta conectarse a través del puerto TCP 6667:
broadway.ny.us.dal.net
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
ced.dal.net
coins.dal.net
diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org
ozbytes.dal.net
qis.md.us.dal.net
vancouver.dal.net
viking.dal.net
washington.dc.us.undernet.org
Posee un componente de acceso remoto a través
de una puerta trasera, capaz de recibir instrucciones de un
atacante desde los canales de IRC a los que se conecta.
El gusano obtiene direcciones a las que enviarse, de archivos de
la máquina infectada con las siguientes extensiones:
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab
Evita enviarse a direcciones que contengan
cualquiera de las siguientes cadenas en sus nombres:
.gov
.mil
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
you
your
El gusano intenta además borrar las entradas
en el registro de versiones anteriores del propio gusano.
Funciona hasta el 16 de diciembre de 2004. Después de esa fecha,
al ser ejecutado no realiza ninguna acción.
Los usuarios con Windows XP SP2 no son afectados por la
vulnerabilidad que permite la ejecución de este gusano.
Reparación manual
Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\ComExplore
3. Haga clic en la carpeta "ComExplore" y
bórrela.
4. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel
de la derecha, bajo la columna "Nombre", busque y borre todas
las entradas que coincidan con alguno de los siguientes nombres:
center
reactor
Rhino
Reactor?
El caracter "?" en "Reactor" representa un
dígito, por ejemplo "Reactor3", "Reactor4", "Reactor8", etc.
6. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\ComExplore
7. Haga clic en la carpeta "ComExplore" y
bórrela.
8. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
9. Haga clic en la carpeta "Run" y en el panel
de la derecha, bajo la columna "Nombre", busque y borre todas
las entradas que coincidan con alguno de los siguientes nombres:
center
reactor
Rhino
Reactor?
El caracter "?" en "Reactor" representa un
dígito, por ejemplo "Reactor3", "Reactor4", "Reactor8", etc.
10. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
Información adicional
Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|