Acerca del gusano MyDoom/Novarg

[Oscar Javier]

<font color="00009f">Análisis del gusano MyDoom/Novarg</font>>

Este nuevo gusano ha protagonizado una propagación explosiva, llegándose a contabilizar cientos de miles de mensajes infectados en apenas sus primeras horas de vida. Durante toda la madrugada la actividad de los laboratorios antivirus ha sido frenética, y a primera hora de la mañana todos contaban con la correspondiente actualización. Ahora analizaremos además la estrategia seguida por el gusano para engañar e infectar a los usuarios, así como el resto de características.

La reacción de las diferentes soluciones antivirus, en ofrecer la actualización pertinente a sus usuarios para detectar el nuevo gusano, ha sido la siguiente:


TrendMicro, el 26/01/2004 a las 23:52:29 como WORM_MIMAIL.R
NOD32, el 27/01/2004 a las 00:55:43 como Win32/Mydoom.A
Antigen, el 27/01/2004 a las 01:39:51 como MyDoom.A@mm
Norton, el 27/01/2004 a las 01:50:13 como W32.Novarg.A@mm
Kaspersky, el 27/01/2004 a las 02:08:53 como I-Worm.Novarg
Sophos, el 27/01/2004 a las 02:09:19 como Win32/MyDoom-A
InoculateIT, el 27/01/2004 a las 02:28:42 como Win32.Shimg.Worm
Panda, el 27/01/2004 a las 05:39:04 como W32/Mydoom.A.worm
McAfee, el 27/01/2004 a las 05:57:49 como W32/Mydoom@MM

Estos datos pertenecen a las soluciones antivirus monitorizadas 24hx7d por el laboratorio de Hispasec. Destacan los distintos nombres con los que el gusano ha sido bautizado (Mimail.R, Mydoom, Novarg y Shimg), y como en prácticamente 6 horas se han concentrado todas las actualizaciones de los diferentes productos, muestra del peligro que representa el gusano.


Táctica del gusano para engañar a los usuarios

Este gusano no infecta de forma automática a los sistemas, a diferencia de aquellos, como Blaster, que se aprovechaban de vulnerabilidades de los productos de Microsoft. En este caso, el usuario debe abrir y ejecutar el archivo que contiene el gusano para infectar su sistema.

Para engañar a los usuarios, el gusano suele llegar adjunto en un mensaje que simula haber tenido algún problema con el servidor de correo. Entre otras "excusas", el mensaje del gusano puede indicar que el correo electrónico contenía caracteres no válidos y ha requerido enviarlo como archivo binario adjunto. Algunos de estos
mensajes "trampa" son:

- "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment".

- "The message contains Unicode characters and has been sent as a binary attachment."

- "Mail transaction failed. Partial message is available."

Aunque también se han recibido muestras con otros textos o con el cuerpo del mensaje vacío.

Los textos más comunes que aparecen en el asunto del mensaje son:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error


El archivo adjunto, donde viaja el código del gusano, es un ejecutable con extensión .BAT, .CMD, .EXE, .PIF, .SCR o como ZIP, su icono en Windows simula ser un archivo de texto y también se han detectado casos en los que aparece como acceso directo de MsDos, entre los nombres más comunes reportados se encuentran:

readme
file
text
doc
hello
body
message
test
document
data

Cuando se ejecuta en un sistema crea los siguientes archivos:

- "Message" en el directorio temporal de Windows
- "shimgapi.dll" y "taskmon.exe" en el directorio de sistema (system) de Windows

El archivo "Message" lo crea con caracteres al azar, y muestra su contenido ilegible con el bloc de notas. Con este efecto el gusano intenta engañar al usuario, para que crea que el archivo adjunto en el e-mail que ha ejecutado era sólo texto sin sentido debido a algún error del correo electrónico, cuando en realidad ha activado el gusano y da comienzo su rutina de infección y propagación.


Infección del sistema

Añade las siguientes entradas en el registro de Windows para asegurarse su ejecución en cada inicio del sistema:

- HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVer sionRunTaskMon = %System%taskmon.exe

- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunTaskMon = %System%taskmon.exe

El archivo "taskmon.exe", puede sobreescribir a un ejecutable legítimo de Windows que tiene el mismo nombre, por lo que los usuarios no se deben alertar por encontrar únicamente este nombre de archivo en sus sistemas. Para corroborar la infección deben comprobar el resto de síntomas aquí descritos o utilizar un antivirus puntualmente actualizado.

Adicionalmente crea las siguientes entradas en el registro de Windows:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionExplorerComDlg32Version

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionExplorerComDlg32Version


Puerta trasera

El archivo "shimgapi.dll" es inyectado en el ejecutable de Windows " explorer.exe" a través de la siguiente entrada en el registro:

HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32" (Default)" = %SysDir%shimgapi.dll

Esta DLL actúa como proxy, abriendo un puerto TCP en el sistema en el rango 3127-3198, que permite el acceso de terceras personas. Además cuenta con funcionalidades para descargar y ejecutar programas de forma arbitraria, lo que posibilita todo tipo de acciones.


Propagación por correo electrónico

Una vez infecta un sistema, el gusano recoge direcciones de correo a las que enviarse buscando en los archivos con extensión .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab y .txt. El formato del mensaje en el que se autoenvía es el que describimos con anterioridad, haciéndose pasar por un problema en el envío o visualización del correo electrónico.

Como curiosidad, parece ser que el autor del gusano ha querido tener cierto trato de favor con las universidades de Estados Unidos, ya que evita enviarse a las direcciones de e-mail que finalizan en .edu


Propagación a través del cliente KaZaa (red P2P)

En los sistemas que infecta localiza la carpeta de archivos compartidos del cliente P2P KaZaa y se copia con la extensión .pif, .scr, .bat o .exe y alguno de los siguientes nombres:

nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp

Para que otro usuario se infecte a través de esta vía, es necesario que realice en la red P2P una búsqueda por alguno de los nombres utilizados por el gusano, que proceda a su descarga, y ejecute el archivo.

En realidad esta vía de contagio es apenas insignificante en comparación con la propagación alcanzada por correo electrónico.


Ataque por denegación de servicio distribuido

El gusano contiene un payload o efecto que se activa a partir del 1 de febrero, dejará de propagarse a través del correo electrónico para iniciar un ataque por denegación de servicio contra el dominio [url="http://www.sco.com/"]<font color="green">www.sco.com</font>[/url]. Este ataque también tiene fecha de caducidad, ya que el gusano dejará de realizar peticiones GET al puerto 80 de sco.com a partir del 12 de febrero, fecha a partir de la cual sólo quedará activa la puerta trasera en el sistema infectado a través del puerto TCP abierto.

Al parecer el creador del gusano tiene interés en perjudicar al grupo SCO, empresa que está en los últimos tiempos en el punto de mira de la comunidad Linux, ya que demandó a IBM argumentando que el código fuente de Linux contiene fragmentos copiados del Unix de SCO, supuesto plagio que hasta el momento ha sido incapaz de demostrar.


<b<Prevención[/b]

Como siempre la regla de oro a seguir es no abrir o ejecutar archivos potencialmente peligrosos, sobre todo si no hemos demandado su envío. Adicionalmente, contar con soluciones antivirus correctamente instaladas y puntualmente actualizadas.

Fuente:
[url="http://www.laflecha.net"]<font color="green">La Flecha</font>[/url]

***

Lírico
El Centurion de la Noche
"Que seria de mi sin los domingos..."

[Oscar Javier]

<font color="00009f">Sospechan que el gusano Mydoom se originó en Rusia</font>

El gusano informático Mydoom, que ha infectado a medio millón de computadoras en todo el mundo, pudo haberse generado en Rusia afirmaron expertos de la empresa antivirus Laboratorio de Kasperski de ese país.
La fuerte sospecha surge a partir del hecho de que en ese país se localizaron los primeros correos infectados tras la aplicación de programas especiales para seguir el tráfico de Internet a través del mundo, informó Alexandre Gostiev, de la compañía de seguridad informática.
El analista precisó que ahora uno de cada 12 correos electrónicos puede ser contagiado con Mydoom, por lo que calculó que la epidemia de este virus se prolongará varios días más.
En tanto, Microsoft ha ofrecido una recompensa de 250 mil dólares a quien ayude a las autoridades a capturar al autor del virus informático MyDoom.B que comenzó a propagarse el lunes a través del correo electrónico.
La empresa, con sede en Redmond (Washington) afirmó que se trata de “un ataque criminal ...y Microsoft quiere ayudar a las autoridades a capturar al creador de ese nuevo virus”.
La recompensa de Microsoft es la tercera de su tipo y forma parte de un programa de cinco millones de dólares que lanzó en noviembre pasado la empresa estadounidense para identificar a los responsables de virus cibernéticos.
Microsoft ha dicho que cualquier persona en cualquier lugar del mundo podrá reclamar la recompensa, dado que los virus cibernéticos afectan a los usuarios de internet a escala mundial.
El gigante informático explicó que MyDoom es una variante del virus anterior, MyDoom.A, también conocido como Novarg, y tiene como objetivo lanzar un ataque cibernético contra la página de internet de la empresa, a partir del próximo martes.

Además, el virus, que se presenta como un mensaje inofensivo en el que alerta sobre un presunto error de computación, impide que los usuarios accedan a las compañías que ofrecen productos para eliminar los virus de las computadoras.
La empresa ha recibido pocas pistas sobre el posible autor del nuevo virus, aunque éste tenía un mensaje que reza: “Andy; sólo cumplo con mi trabajo, no es nada personal, lo siento”.
La aparición del nuevo virus informático obligó al Departamento de Seguridad Nacional a lanzar un sistema de alerta cibernética en el que los usuarios podrán recibir informaciones sobre los nuevos virus y cómo protegerse de ellos.

Algunos expertos informáticos consideran que el virus MyDoom.B se ha convertido en el peor que ha habido nunca a causa de su alarmante velocidad de transmisión.

El virus Mydoom.A sigue diseminándose rápidamente. Uno de cada cinco mensajes de correo electrónico lleva este gusano, lo que lleva a cuatro millones los mensajes electrónicos infectados en circulación.

Según los datos recopilados por el antivirus en línea ActiveScan de Panda Software, Mydoom.A ha infectado seis veces más computadoras que el virus Bugbear.B, el segundo entre los virus detectados con mayor frecuencia.

El gusano informático Mydoom, que ha infectado a medio millón de computadoras.

Fuente:
[url="http://www.cronica.com.mx/"]<font color="green">La Cronica de Hoy</font>[/url]

***

Lírico
El Centurion de la Noche
"Que seria de mi sin los domingos..."

[Frs]

W32.Mydoom.A@mm (también conocido como W32.Novarg.A@mm) es un nuevo gusano de envío masivo de correo electrónico, los archivos adjuntos tienen extensiones .bat, .cmd, .exe, .pif, .scr, o .zip.

Cuando una computadora es infectada por este gusano, se crea un "backdoor" dentro del sistema abriendo los puertos TCP dentro del rango del 3127 al 3198. Lo cual permite al atacante conectarse al equipo y utilizarlo como proxy para obtener el acceso a los recursos compartidos de red.

Adicionalmente al "backdoor" (puerta trasera) tiene la habilidad de descargar y ejecutar archivos en forma arbitraria.

Existe un 25 % de probabilidades de que el gusano lleva a cabo una negación de servicio (DoS) en un equipo infectado el cual comienza el 1o de febrero del 2004 a las 16:09:18 UTC es decir 00:09:18 PST, basándose en la hora y fecha del equipo local (infectado). Si el gusano comienza el ataque de negación de servicio DoS, no hará envío masivo de correos a si mismo. También cuenta con un mecanismo de disparo para dejar de dispersarse el día 12 de febrero del 2004. Mientras que el gusano dejará de dispersarse el 12 de febrero del 2004, el backdoor continuará su función después de esa fecha.




--------------------------------------------------------------------------------
Nota:
Los productos Symantec para consumidor que soportan la función Bloqueo de gusanos detectan automáticamente esta amenaza al momento que intenta acceder al equipo.
Symantec Security Response ha desarrollado una herramienta para limpiar las infecciones causadas por W32.Mydoom.A@mm.
Las definiciones de virus posteriores al 4 de febrero del 2004, detectarán esta amenaza como W32.Novarg.A@mm.

--------------------------------------------------------------------------------


También conocido como: W32.Novarg.A@mm, W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend], Win32.Mydoom.A [Computer Associates], W32/Mydoom-A [Sophos], I-Worm.Novarg [Kaspersky]

Tipo: Worm
Longitud de la infección: 22,528 bytes



Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Sistemas no afectados: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x






Definiciones de virus (Intelligent Updater) *
26/01/2004


Definiciones de virus (LiveUpdate™) **
26/01/2004


*
Las definiciones de virus de Intelligent Updater se publican a diario, pero precisan ser descargadas e instaladas manualmente.
Haga clic aquí para realizar la descarga manualmente.

**
Las definiciones de virus de LiveUpdate se publican, por lo general, todos los miércoles.Haga clic aquí si desea obtener más instrucciones sobre el funcionamiento de LiveUpdate.







Salvaje:

Número de infecciones: Más de 1000
Número de sitios: Más de 10
Distribución geográfica: Alta
Contención de peligrosidad: Fácil
Eliminación: Moderado
Datos de la amenaza


Salvaje:
Alta
Daño:
Media
Distribución:
Alta



Daño

Disparador de carga útil: n/a
Carga útil: n/a
Envío de mensajes a gran escala: Se envía a direcciones de correo encontradas en archivos específicos. Ignora direcciones de correo que finalizan en .edu.
Elimina archivos: n/a
Modifica archivos: n/a
Reduce el rendimiento: Realiza una negación de servicio (DoS) en contra de [url]www.sco.com[/url].
Desestabiliza el sistema: n/a
Publica información confidencial: n/a
Pone en peligro la configuración de seguridad: Permite accesos remotos no autorizados.
Distribución

Línea de asunto del mensaje de correo electrónico: Varios
Nombre del archivo adjunto: Varios con extensiones .pif, .scr, .exe, .cmd, .bat, o .zip
Tamaño del archivo adjunto: 22,258 bytes
Fecha y hora del archivo adjunto: n/a
Puertos: TCP 3127-3198
Unidades compartidas: n/a
Objetivo de la infección: n/a


Cuando W32.Mydoom.A@mm se ejecuta realiza lo siguiente:


Crea los siguientes archivos:

%System%Shimgapi.dll. Shimgapi.dll trabaja como un servidor proxy, permitiendo escuchar los puertos TCP dentro del rango del 3127 al 3198. El backdoor también tiene la habilidad de descargar y ejecutar archivos en forma arbitraria.
%Temp%Message. Este archivo contiene letras de forma aleatoria y se puede ver abriendo el Notepad.
%System%Taskmon.exe


--------------------------------------------------------------------------------
Notas:
Taskmon.exe es un archivo real de Windows 95/98/Me, pero se encuentra en la carpeta %Windir% y no en la carpeta %System%. (En forma predeterminada es C:Windows o C:Winnt) No elimine el archivo legítimo que está en la carpeta %Windir%.
%System% es una variable. El gusano busca la carpeta System y se copia por si mismo en esa ubicación. En forma predeterminada es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).
%Temp% es una variable. El gusano busca la carpeta de archivos temporales y se copia por si mismo en esa ubicación. En forma predeterminada es C:WindowsTEMP (Windows 95/98/Me), o C:WINNTTemp (Windows NT/2000), o Cocument and Settings<UserName>Local SettingsTemp (Windows XP).
--------------------------------------------------------------------------------


Agrega el valor:

"(Default)" = "%System%shimgapi.dll"

a la clave de registro:

HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32

por lo que shimgapi.dll se carga por medio de explorer.exe.


Agrega el valor

TaskMon = %System%taskmon.exe

a las claves de registro

HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVer sionRun
y
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun

por lo que TaskMon se ejecuta al iniciar Windows.


Verifica la fecha, y si está dentro del periodo del 1 al 12 de febrero del 2004, permite al gusano llevar a cabo un ataque de negación de servicio contra [url]www.sco.com[/url]. El DoS se lleva a cabo por medio de la creación de 63 nuevas a menazas que envían peticiones GET y utilizan una conexión directa al puerto 80. Si el ataque es disparado el gusano no evía correos en forma masiva por si misma.


--------------------------------------------------------------------------------
Nota:

La negación de servicio ( DoS) está activa del 1o. de febrero al 12 de febrero del 2004 a las 16:09:18 UTC. El gusano verifica la hora y fecha del sistema y determina si debe iniciar el ataque DoS.
Debido a la lógica que utiliza para verificar la fecha, la negación de servicio sólo ocurre en un 25% de las ocasiones.
La negación de servicio se presentará al iniciar la infección, durante la revisión inicial de la fecha o si se reinicia el equipo.
El gusano utiliza un DNS local para resolver el nombre de dominio utilizado en el ataque del DoS ([url]www.sco.com[/url]).

--------------------------------------------------------------------------------


Crea las siguientes claves de registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion
ExplorerComDlg32Version

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion
ExplorerComDlg32Version


Busca por direcciones de correo electrónico en archivos con las siguientes extensiones.

.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt


Trata de enviar correos electrónicos haciendo uso de su propio motor SMTP. El gusano lleva a cabo un círculo del servidor de correo utilizado, al recibir en una primera instancia para después proceder con los envíos. Si no es exitoso el proceso, hará uso del servidor de correo local. El correo electrónico tiene las siguientes características:

De: Puede ser una dirección electrónica falsa o falsificada

Asunto:
(uno de los siguientes)
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Mensaje:
(uno de los siguientes)
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Archivo adjunto:
(uno de los siguientes)
document
readme
doc
text
file
data
test
message
body


--------------------------------------------------------------------------------
Notas:
El archivo adjunto puede que tenga dos sufijos. De ser así el primero, puede ser uno de los siguientes:
.htm
.txt
.doc

La terminación será cualquiera de las siguientes:
.pif
.scr
.exe
.cmd
.bat
.zip ( En un archivo .zip se encontrará una copia del gusano el cual tendrá el mismo nombre que el archivo .zip. Por ejemplo readme.zip contendrá readme.pif)

En caso de que el gusano tenga extensión .exe o .scr, el archivo tendrá un icono como el que se muestra a continuación. En caso contrario, el icono corresponderá al tipo de archivo con el que se muestre.



--------------------------------------------------------------------------------

Se copia por si mismo al directorio de descargas de KaZaA como uno de los siguientes archivos:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

Con una de las siguientes extensión de archivo

pif
scr
bat

Symantec Gateway Security 1.0
Hay una actualización para el motor de Symantec Gateway Security IDS/IPS que protege específicamente su red de W32.Mydoom.A@mm y se liberó el 30/1/04 a las 9:24 PM PST. Se les recomienda a los administradores de Symantec Gateway Security ejecutar LiveUpdate para asegurarse de estar protegido contra esta amenaza.

Symantec Gateway Security 2.0
Hay una actualización para el motor de Symantec Gateway Security IDS/IPS que protege específicamente su red de W32.Mydoom.A@mm y se liberó el 29/1/04 a las 3:02 PM PST. Se les recomienda a los administradores de Symantec Gateway Security ejecutar LiveUpdate para asegurarse de estar protegido contra esta amenaza.

Intruder Alert
Symantec ha liberado la política Intruder Alert 3.6 W32_Mydoom_Worm Policy.

Symantec HIDS 4.1.1
Symantec liberó por medio de LiveUpdate un paquete el día 27 de enero del 2004 para usuarios de Symantec HIDS 4.1.1. Para mayor información, por favor lea Symantec Host IDS 4.1.1 Security Update 1.

Symantec ManHunt
Security Update 16 ha sido liberado para proporcionar firmas específicas para las actividades asociadas al backdoor creado por W32.Mydoom.A@mm Worm.

En forma adicional, Symantec ManHunt 2.2/3.0/3.01 es la firma con la que se puede detectar la negación de servicio en contra de against [url]www.sco.com[/url]. Esta negación de servicio comenzará el 1o de febrero del 2004. El 12 de febrero del 2004 el gusano deja de dispersarse. Esta firma ayudará a determinar en que equipos fue hecha la petición.

*******************start file********************

alert tcp any any -> any 80 (msg:"W32_Mydoom_SCO_DOS"; content:"GET / HTTP/1.1|0d0a|Host: www.sco.com|0d0a0d0a|"; offset:0; dsize:37

*************EOF*********************

Para mayor información de como crear firmas digitales, por favor lea "Symantec ManHunt Administrative Guide: Appendix A Custom Signatures for HYBRID Mode."







Symantec Security Response invita a todos los usuarios y administradores a adherirse a las siguientes "mejores prácticas" básicas para su seguridad:

Desconecte y elimine todos los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como clientes de FTP, telnet y servidores de web. A través de estos servicios penetran buena parte de los ataques. Por lo tanto, si se eliminan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.
Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
Mantenga siempre el parche actualizado, sobre todo en equipos que ofrezcan servicios públicos, a los que se puede acceder a través de algún firewall como, por ejemplo, servicios HTTP, FTP, de correo y DNS.
Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños cuando un equipo es atacado o, al menos, limita esta posibilidad.
Configure su servidor de correo electrónico para que bloquee o elimine los mensajes que contengan archivos adjuntos que se utilizan comúnmente para extender virus, como archivos .vbs, .bat, .exe, .pif y .scr.
Aísle rápidamente los equipos que resulten infectados para evitar que pongan en peligro otros equipos de su organización. Realice un análisis posterior y restaure los equipos con medios que sean de su confianza.
Instruya a sus empleados para que no abran archivos adjuntos a menos que los esperen. El software descargado desde Internet no debe ejecutarse, a menos que haya sido analizado previamente en busca de virus. Basta únicamente con visitar un sitio web infectado para que pueda infectarse si las vulnerabilidades del explorador de web no han sido correctamente corregidas con parches.




Eliminación de W32.Mydoom.A@mm por medio de la herramienta
Symantec Security Response ha desarrollado una herramienta de eliminación de W32.Mydoom.A@mm. Esta es la forma más sencilla de eliminar las infecciones causadas por esta amenaza y debería de utilizarse en primera instancia.

Eliminación manual
Como una alternativa a la herramienta de eliminación, usted puede eliminar de forma manual esta amenaza.

Las siguientes instrucciones pertenecen a todos los productos antivirus de Symantec actuales y recientes, incluyendo las líneas de producto Symantec AntiVirus y Norton Antivirus.

Desactive Restaurar el sistema (Windows Me o XP).
Actualice las definiciones de virus.
Reinicie el equipo en modo a prueba de fallos o modo VGA.
Ejecute un análisis completo del sistema y elimine todos los archivos que se detecten como W32.Mydoom.A@mm.
Elimine el valor que se haya agregado al registro.
Registre el archivo webcheck.dll.

Para obtener detalles específicos sobre cada uno de estos pasos, lea las instrucciones a continuación.

1. Deshabilitar Restaurar sistema de Windows ME/XP
Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

Cómo deshabilitar y habilitar Restaurar sistema en Windows Me.
Cómo habilitar o deshabilitar Restaurar sistema en Windows XP.

Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la base de conocimientos de Microsoft.

--------------------------------------------------------------------------------
Nota: Una vez que concluya con el procedimiento de eliminación y esté seguro de que haya sido exitoso el proceso, vuelva a habilitar System Restore siguiendo las instrucciones antes mencionadas.
--------------------------------------------------------------------------------

Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, consulte el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la Base de conocimientos de Microsoft, cuyo ID es: Q263455.

2. Actualice las definiciones de virus
Symantec Security Response comprueba extensamente la calidad de todas sus definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:
Ejecute LiveUpdate (esta es la forma más sencilla de obtener las definiciones de virus). Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza disponibles a través de LiveUpdate, consulte las Definiciones de virus (LiveUpdate), en la sección "Protección", en la parte superior de este documento.
Descargue las definiciones utilizando la herramienta Intelligent Updater. Las definiciones de virus se publican en los servidores los días laborales (de lunes a viernes) y deben descargarse e instalarse manualmente desde el Sitio Web Symantec Security response. Para determinar si existen definiciones disponibles para esta amenaza a través de Intelligent Updater, consulte las Definiciones de virus (Intelligent Updater), en la sección "Protección", en la parte superior de este documento.
Las definiciones de virus por medio Intelligent Updater están disponibles: Lea "Cómo actualizar los archivos de definiciones de virus utilizando Virus definition Update installer" para instrucciones detalladas.

3. Reinicie su computadora en Modo a prueba de fallos o modo VGA
Para usuarios con equipos Windows 95, 98, Me, 2000, o XP, reinicie la computadora en Modo a prueba de fallos. Para más información lea:

Cómo reiniciar Windows 9x o Windows ME en Modo a prueba de fallos.
Cómo iniciar Windows XP en Modo a prueba de fallos.
Para usuarios con Windows NT 4 , reinicie su computadora en modo VGA.

4. Búsqueda y eliminación de archivos infectados
Inicie su programa de antivirus Symantec y asegúrese de que esté configurado para analizar todos los archivos.

Para productos de consumidor Norton AntiVirus: Lea el documento, "Cómo configurar Norton Antivirus para que analice todos los archivos."
Para productos Symantec AntiVirus Enterprise: Lea el documento, "How to verify that a Symantec Corporate antivirus product is set to scan All Files."

Ejecute una búsqueda completa de virus.
Sí se detecta algún archivo infectado por W32.Mydoom.A@mm, haga clic en Eliminar.

5. Eliminación de los valores que fueron agregados al registro de Windows


--------------------------------------------------------------------------------
ADVERTENCIA: Symantec recomienda insistentemente que se haga una copia de respaldo del Registro antes de efectuar cualquier cambio. La realización de cambios incorrectos en el registro puede ocasionar la pérdida definitiva de datos o daños en los archivos. Modifique sólo las claves que se indiquen. Las instrucciones para hacer la copia se detallan en el documento Cómo crear una copia de respaldo del Registro de Windows.
--------------------------------------------------------------------------------

Haga clic en Inicio y, después, en Ejecutar. (Aparecerá el cuadro de diálogo Ejecutar.)

Escriba regedit.

A continuación, haga clic en Aceptar. (Se abrirá el Editor del Registro.)

Desplácese hasta la clave:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun
y
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVe rsionRun


En el panel derecho, elimine el valor:

"Taskmon"="%System%taskmon.exe"


--------------------------------------------------------------------------------
Nota: %System% es una variable que hace referencia a la carpeta System y se copia por si mismo en esa ubicación. En forma predeterminada es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).

--------------------------------------------------------------------------------


Salga del registro de Windows.


6. Registre el archivo Webcheck.dll

Haga clic en Inicio y, después, en Ejecutar. (Aparecerá el cuadro de diálogo Ejecutar.)

Escriba regedit.

A continuación, haga clic en Aceptar. (Se abrirá el Editor del Registro.) Escriba o copie el siguiente texto:

regsvr32 webcheck.dll


Haga clic en Aceptar cuando vea el mensaje, "DllRegisterServer en webcheck.dll
fue exitoso," Haga clic en Aceptar.





Información adicional:

Cuando W32.Mydoom.A@mm envía un correo electrónico, evita distribuirse a los dominios que cuentan con alguno de los siguientes valores:


avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla


cuentas que coinciden con alguno de los siguientes valores:
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page


o cuentas con alguno de los siguientes valores:
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun


El gusano también evita alguno de los siguientes nombres de dominio obtenidos

adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

Historial de revisiones:


February 3, 2004:
Se cambia el nombre de W32.Novarg.A@mm por W32.Mydoom.A@mm.
Se agregaron actualizaciones de Norton Internet Security y Norton Personal Firewall.
27 de enero del 2004:
Se agregó la liga electrónica de la herramienta de eliminación de W32.Novarg.A@mm.
Se actualizó información de alias.
Se agregó referencia para actualizar Symantec HIDS.
30 de enero del 2004. Se modificó procedimiento de eliminación manual para utilizar el comando regsvr32 y registrar el archivo webcheck.dll en lugar de hacer la modificación en el registro.
31 de enero del 2004.
Se agregó información referente a amenazas que llevan el ataque de DoS.
Se agregó información sobre la hora en la que comienza el ataque.
Se agregó información referente a la probabilidad del 25% de llevarse a acabo el ataque DoS.
Se agregó información sobre la actualización de Symantec ManHunt y SGS.


Escrito por: Peter Ferrie & Tony Lee

IMIX[Dragon.Auto-Existente.Rojo]

[Oscar Javier]

Te agradecemos la info, forsepsillo, de verdad la necesitabamos...

Saludos

Lírico
El Centurion de la Noche
"Que seria de mi sin los domingos..."

[Oscar Javier]

<font color="00009f">Un nuevo virus Mydoom podría atacar el portal de Microsoft</font>

Unos piratas informáticos han desarrollado Doomjuice o Mydoom.C, una nueva versión del poderoso virus informático de tipo 'gusano' Mydoom, que se extiende entre los ordenadores ya infectados por el virus original. La finalidad es colapsar el portal de Microsoft con solicitudes de información, indicaron algunos expertos.

El nuevo 'gusano' utiliza los ordenadores ya infectados por el Mydoom para propagarse. "Para localizar máquinas con el 'backdoor' (el programa 'puerta de atrás', instalado por el virus Mydoom A) abierto, Doomjuice busca al azar direcciones del IP (Protocolo de Internet). Si el puerto está abierto, el gusano se envía a sí mismo en un paquete especial que hace a la máquina infectada con el Mydoom A ejecutar el archivo, y así se infecta con el Doomjuice también", informó la empresa F-Secure.

El objetivo de Doomjuice es conseguir bloquear la página [url]www.microsoft.com[/url]. "Para bloquear [url="http://www.microsoft.com/"]www.microsoft.com[/url], el gusano pone en marcha entre 16 y 80 hilos paralelos que se conectan a la 'web' e intentan descargar la página principal en un bucle infinito", explicó la misma fuente.

El Mydoom B, la segunda versión del 'gusano', también intentó lanzar un ataque contra Microsoft, aunque no lo consiguió. Por su parte, el Mydoom A, hizo caer el portal de SCO, dueña del sistema operativo Unix.


La empresa de seguridad británica mi2g afirmó que el portal de Microsoft "ha permanecido intermitentemente inaccesible en algunas ocasiones para la mayor parte de las ciudades de Norteamérica, Europa y Asia el sábado y el domingo, mientras el Mydoom continúa extendiéndose implacablemente y el Mydoom B utilizaba las máquinas infectadas por el Mydoom A".

El Mydoom original infectó más de un millón de ordenadores en todo el mundo, alcanzando su pico a finales de enero.

Fuente:
[url="http://tecnologia.tiscali.es/"]<font color="green">Tiscali[Tecnologia]</font>[/url]

***

Lírico
El Centurion de la Noche
"Que seria de mi sin los domingos..."

[Oscar Javier]

<font color="00009f">Dos nuevos virus aprovechan las consecuencias de Mydoom</font>

Tras los millones de infecciones que el virus MyDoom ha provocado en todo el mundo, varias empresas de seguridad ha advertido de la aparición de dos nuevos códigos maliciosos, Doomjuice y Deadhat, que amenazan a los ya infectados por Mydoom.

El peligro de Doomjuice.A es que la infección no se produce a través del correo electrónico como pasó como MyDoom, sino que para propagarse aprovecha los puertos abiertos por Mydoom.A y MyDoom.B, luego lanza ataques DDoS (Denegación de Servicio Distribuida) contra el sitio web [url="http://www.microsoft.com/"]www.microsoft.com[/url].

Aunque aún no se tiene información muy detallada acerca de este virus, Panda Software advierte que Doomjuice.A es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia. Menos datos aún se tienen del virus Deadhat, la compañía de seguridad Network Associates señala que el virus escanea los ordenadores infectados por MyDoom y su variante.

Más detalles sobre Doomjuicen en esta dirección: [url="http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=44510"]http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=44510[/url]

Fuente:
[url="http://inicio.tiendapc.com/"]<font color="green">Inicio.com</font>[/url]

***

Lírico
El Centurion de la Noche
"Que seria de mi sin los domingos..."

[Oscar Javier]

<font color="00009f">Cuatro nuevos gusanos navegan por la red</font>

Las epidemias víricas relacionadas con Mydoom parecen no tener fin. Cuatro nuevos jinetes invaden el ciberespacio: Nachi.B, DoomHunter.A, Deadhat.B y Mitglieder.A.


Nachi.B es una variante del virus que se propagó el pasado mes de agosto y se dedica a limpiar equipos infectados por otros virus. En este caso, elimina a Mydoom.A y Mydoom.B, pero no de forma gratuita, ya que desborda los agujeros de seguridad de Windows.

Por su parte, DoomHunter parece ser algo más altruista y además de los anteriores, elimina Blaster y Doomjuice. Deadhat.B utiliza las puertas abiertas por Mydoom para entrar en los ordenadores, y finalmente Mitglieder.A detiene los procesos de memoria de diversos programas y asegura su presencia permanente, tras introducirse por los mismos huecos que Deadhat.B.

Fuente:
[url="http://www.redestelecom.com/"]<font color="green">Redes & Telecom</font>[/url]

***

Lírico
El Centurion de la Noche

[Oscar Javier]

<font color="00009f">Acerca de Worm_Netsky.B y Bagle.B</font>

La aparición de Worm_Netsky.B, un nuevo código malicioso que se propaga por correo electrónico que simula ser un documento de procesador de texto, motivó la segunda alerta amarilla consecutiva del año.

De acuerdo con un comunicado de la firma de soluciones antivirus Trend Micro, Netsky.B es un gusano de envío masivo de correo, residente en memoria, que utiliza el protocolo SMTP para propagarse y distribuir copias de sí mismo.

Refiere que va alojado en un archivo adjunto con doble extensión, con un tamaño de 22.0 KB y que cuando se ejecuta las copias del código malicioso se instalan en las carpetas compartidas de la víctima con un archivo de nombre SERVICES.EXE que utiliza el icono de Word.

Al abrir el archivo adjunto se despliega el mensaje "The file could not be opened!" e inicia su rutina de envío masivo de mensajes de correo electrónico; toma las direcciones de envío de archivos que encuentra en la máquina infectada con las extensiones EML, TXT, PHP, PL, HTM, HTML, VBS, RTF, UIN, ASP, WAB, DOC, ADB, TBB, DBX, SHT, OFT y MSG.

Por su parte, Panda Software informa que Netsky.B falsifica la dirección del remitente del mensaje para tratar de confundir a los usuarios y conseguir que ejecuten el archivo adjunto que utiliza el icono típico de los documentos de MS Word, que contiene al gusano.

En un comunicado refiere que el gusano también se copia en los directorios que contengan las palabras "share" o "sharing" de cualquiera de las unidades. De esta manera, puede propagarse también a través de aplicaciones P2P como KaZaA, eMule, etcétera.

Netsky.B introduce varias entradas en el registro de Windows y borra las que puedan existir como consecuencia de la infección por otros códigos maliciosos por ejemplo Mydoom.A y Mimail.T.

Ante las incidencias causadas por Netsky.B, Panda Software aconseja extremar precauciones, por lo que las correspondientes actualizaciones de sus productos para la detección y eliminación de este gusano están disponibles en [url="http://www.panda-software.com.mx"]http://www.panda-software.com.mx[/url].

Por otra parte, Trend Micro señala que continúa la alerta amarilla ocasionada por la segunda versión del virus Bagle, debido a su alto potencial de distribución que le permite diseminarse libremente en la red.

En un comunicado por separado, refiere que el virus Bagle.B distrae al usuario de sus actividades infecciosas al iniciar la aplicación SNDREC32.EXE, que es la grabadora de sonidos de Windows y se esconde al mostrar el icono correspondiente.

Al infectar un sistema, el gusano intenta conectarse a las páginas: [url]http://www.strato.de/1.php;[/url] [url]www.strato.de/2.php;[/url] [url]www.47df.de/wbboard/1.php;[/url] [url]www.intern.games-ring.de/2.php[/url], que al parecer están radicadas en Alemania y son inaccesibles.

Finalmente, la firma reitera que para detectar y eliminar estos y otros códigos maliciosos está disponible el patrón de virus número 767, así como su página de Internet que contiene el rastreador gratuito de virus en línea en [url="http://housecall.trendmicro.com"]http://housecall.trendmicro.com[/url].

Fuente:
[url="http://www.notimex.com.mx/"]<font color="green">Notimex</font>[/url]

***

Lírico
El Centurion de la Noche
"Que seria de mi sin los domingos..."

[Oscar Javier]

<font color="00009f">Mydoom.F y Netsky.C aumentan de intensidad</font>

Dos nuevos gusanos están extendiéndose a través del correo electrónico y los servicios de intercambio de archivos como KaZaA.


Una nueva variante del virus Mydoom está extendiéndose por la Red desde el pasado viernes, cuando el centro de Alerta Antivirus advirtió de la existencia de un gusano programado para lanzar un ataque de denegación de servicio contra el sitio web de Microsoft.

Según responsables de la compañía antivirus F-Secure, Mydoom.F no se propaga tan letalmente como las primeras versiones de Mydoom, “pero es más destructivo para los usuarios”. El gusano está programado para lanzar ataques de denegación de servicio a los sitios web de Microsoft y la RIAA, la asociación de la industria discográfica americana.

Se cree que los autores de Mydoom.F han desarrollado el gusano copiando el código de Mydoom original que se publicó en la Red.

Además de Mydoom.F, otro virus está extendiéndose ampliamente durante esta semana. Netsky.C está diseñado para propagarse a través del correo electrónico con mensajes variables, como “Something for you”, “Status”, “Fwd: lol”, “Question”, etc. En caso de que se ejecute el archivo adjunto al mensaje, el gusano genera copias de sí mismo con el nombre de Winlogon.exe en todas las unidades del equipo. Además, según Panda Software, se envía por correo electrónico a todas las direcciones que encuentra en los ficheros almacenados en el disco duro, utilizando un motor SMTP.

El gusano está diseñado para producir una secuencia de sonidos que puede escucharse a través del altavoz interno de los equipos afectados entre las 6 y las 8:59 del día 26 de febrero. Por si fuera poco, Netsky.C introduce varias entradas en el registro de Windows con el objeto de asegurar su ejecución cada vez que se reinicia el ordenador, y borra las entradas que puedan existir como consecuencia de otros virus como Mydoom.A o Mimail.T.

Fabricantes antivirus como Panda recomiendan instalar las últimas actualizaciones de sus herramientas, como la utilidad PQRemove, descargable gratuitamente en su sitio web.

[Sería bueno echar un vistazo a los siguientes sitios: [url="http://www.pandasoftware.es/"]http://www.pandasoftware.es[/url];
[url="http://www.f-secure.com/"]http://www.f-secure.com/[/url]]

Fuente:
[url="http://www.idg.es/pcworld/"]<font color="green">PC World</font>[/url]

***

Lírico
El Centurion de la Noche