|
VSantivirus No. 1405 Año 8, martes 11 de mayo de 2004
W32/Cycle.A. Se propaga usando vulnerabilidad LSASS
http://www.vsantivirus.com/cycle-a.htm
Nombre: W32/Cycle.A
Tipo: Gusano de Internet
Alias: Cycle.A, Win32/Cycle.A, WORM_CYCLE.A, Exploit-DcomRpc.gen, Win32.Cycle.A, Cycle.A, W32/Cycle.A.worm
Fecha: 10/may/04
Plataforma: Windows 32-bit
Tamaño: 10,240 bytes (UPX)
Este gusano, programado en Visual C++, explota la misma vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm), de la que se vale el gusano Sasser.
Afecta computadoras que estén ejecutándose bajo Windows XP o 2000, sin el parche MS04-011 instalado. Sin embargo, aunque no las infecta, si puede ejecutarse en máquinas con Windows 95, 98 y Me, donde solo ejecuta su rutina para infectar otras máquinas.
LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.
El gusano escanea direcciones IP y una vez que detecta un sistema vulnerable, libera un archivo de texto (CYCLONE.TXT), con contenido político.
El gusano escucha por el puerto TCP/3332. Eso lo hace para reconocer máquinas que ya han sido infectadas. Cada vez que se inicia un escaneo por otros equipos vulnerables, intenta conectarse antes a ese puerto y si puede hacerlo, no intenta infectar ese equipo.
El gusano también es capaz de lanzar un ataque de denegación de servicio (DoS) a sitios específicos, además de finalizar los procesos asociados con otros gusanos (Sasser y Netsky).
Cuando se ejecuta, el gusano crea el siguiente archivo en la carpeta System de Windows:
c:\windows\system\svchost.exe
Crea el servicio "Host Service" para dicho archivo:
HKLM\SYSTEM\CurrentControlSet\Services\Host Service
ObjectName = c:\windows\system\svchost.exe
IMPORTANTE:
Tome nota que el gusano utiliza la carpeta SYSTEM y
no SYSTEM32. En Windows XP y 2000, C:\WINDOWS\SYSTEM32
contiene el legítimo archivo de Windows SVCHOST.EXE,
que usted NO DEBE BORRAR.
Un paquete especialmente creado es enviado al puerto TCP/445 de la máquina vulnerable. Este puerto es un puerto usado legítimamente por Windows 2000 y para el servicio SMB (Server Message Block), tanto sobre TCP como UDP.
Este paquete provoca un desbordamiento de búfer que permite la creación de un shell (consola de comandos) en el equipo vulnerable, quedando este a la escucha para recibir ordenes, por un puerto TCP seleccionado al azar.
El sistema invitado ejecuta un servidor TFTP, un cliente FTP, incluido por defecto en la instalación de Windows 2000, XP y Server 2003.
TFTP (Trivial File Transfer Protocol), es una versión simplificada de FTP (File Transfer Protocol), un protocolo que permite la transferencia de archivos entre dos computadoras conectadas en red.
Este servidor permite que los equipos infectados puedan descargar una copia del gusano propiamente dicho, utilizando el puerto TCP/69. La copia es guardada en el directorio del sistema de Windows.
El gusano crea el siguiente archivo de texto:
cyclone.txt
Este archivo contiene el siguiente texto con referencias políticas:
Hi,
My name is Cyclone and I live in Iran,
and I want to speak with you about problems that we have in iran:
A.In Iran we don't have any kind of freedom, because we have islamic republic in iran:
1.we can't speak freely about regime, we can't speak even a little bit against them!!!
2.I have to be a moslem otherwise they don't care about me!
3.we CAN'T even wear the clothes and styles that we wants!
4.women MUST wear a cloth that no one can even see their hair!!!
5.they do not allow our national celebrations to be held, they beat us!!
6.Many more...
B.The human rights is not implemented in Iran and there is no justice,
1.Lynch is very common in Iran. If you are against the regime then you may silently killed, or if there is a tribunal, you can't say anything, everyone works against you there.
2.1985-1990, the Islamic Republic of IRAN has been killed more than 10,000 Iranian youngs. that has been comfirmed by the documentations! This people killed without any tribunal or any proof.
3.there is a punishment that is used so much during this years, in this punishment, the person who must be killed stand in a hole then others attack him with stones, this will continue until he/she dead. there is some pictures and videos that shows this terrible torture!
4.Many more...
C.Misery and poverty grows in Iran, because the islamic republic leaders steal the money, they stolen the money that provided by selling oil, and then the people must die because they don't have enough money to even buy a bread!!!
D.Misery and poverty cause vice to grow, you see many young people in Iran using drugs and I think this is also a trick by the government to not allow us to arise against them!
E.Islamic republic gave Iran a bad name. before islamic republic we can travel anywhere in the world without any problem but now we have so much problems if we want to travel a foreign country, anyone think that we are terrorist. THE PEOPLE OF IRAN ARE NOT TERRORIST, THE ISLAMIC REPUBLIC OF IRAN IS TERRORIST.
The people of Iran trying to arise, but failed to do. About one year ago, Iranian people try to say to the world that we don't need Islamic republic but the government and police beat the people who try to tell the truth and they killed some people.
You see that they don't even care about their own people, think what happen if they gain access to an ATOMIC BOMB!!! it's very dangerous for the world.
With all of this conditions and injustices, european governments still support islamic republic, they say that they just care about their own country!
and I want to show them our WRATH!
All of the european people are my friends and I never want to harm them, just government and the Politicians!
If you protest against iraq war and say why there must be a war against iraq, and if you do this for humanity, please do anything that you can do for helping iranian people.
at least make your country not to support islamic republic anymore, I'm deadly sure that if european countries do not support islamic republic. it will be destroyed after 3-6 months! so please help!
I don't want to damage, I just want my country to grow, to improve!!! I have no other way to tell this words to world, sorry!!
El gusano también puede lanzar un ataque de denegación de servicio (DoS) a los siguientes sitios de Internet, siempre que la fecha actual del sistema no se encuentre entre el 1 y el 18 de mayo, ambos inclusive:
www.bbc.com (British Broadcasting Company)
www.irna.com (Islamic Republic News Agency)
También finaliza los procesos asociados con los gusanos Sasser.A y Netsky.A:
avserve.exe
avserve2.exe
msblast.exe
skynetave.exe
Cómo el gusano provoca un desbordamiento de búfer en el archivo LSASS.EXE de Windows, como en el caso del Sasser, ello provoca el fallo de este componente con el consiguiente reinicio del sistema, mostrando mensajes como el siguiente:
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
El proceso del sistema
C:\WINDOWS\system32\lsass.exe ha
finalizado inesperadamente y muestra el
error de código 0
Windows debe reiniciar ahora.
El gusano también crea los siguientes mutex para evitar que el gusano Sasser se ejecute:
Jobaka3
Jobaka3l
JumpallsNlsTillt
SkynetSasserVersionWithPingFast
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
IMPORTANTE:
Instalar parches para la vulnerabilidad LSASS (MS04-011) antes de cualquier otra acción a tomar para la limpieza del gusano.
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
NOTA:
Debido a que los equipos infectados se reinician constantemente cada 60 segundos, las tareas de limpieza, incluida la descarga de antivirus, herramientas y parches de Microsoft, pueden verse dificultadas.
Uno de lo trucos para evitar esto, consiste en atrasar la hora del sistema. Para ello, cuando aparezca la ventana que indica que el sistema será reiniciado por un error, haga doble clic sobre el reloj que aparece en la parte inferior del escritorio de Windows, y atrase la hora en la pantalla de configuración que se despliega (una o dos horas es suficiente). Recuerde volver a actualizar el reloj, una vez que su equipo esté libre del gusano.
Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Herramientas específicas de limpieza
Descargue y ejecute cualquiera de estas herramientas en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.
McAfee AVERT Stinger
http://download.nai.com/products/mcafee-avert/stinger.exe
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Host Service
3. Pinche en la carpeta "Host Service" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
ObjectName = c:\windows\system\svchost.exe
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
[Actualizado 21/05/2004 15:32 -0300]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|