Download virus plexus.b
Document related concepts
no text concepts found
Transcript
OFICINA NACIONAL DE GOBIERNO ELECTRONICO E INFORMATICA CONTENIDO Centro de Consulta e Investigación sobre Seguridad de la Información www.pcm.gob.pe Edición Nº 94 17 de junio de 2004 INFORMACION DE VIRUS INFORMATICOS VIRUS PLEXUS.B Alias: VIRUS PLEXUS.B W32/Plexus.B.worm MÉTODO DE INFECCIÓN VIRUS ZAFI.B VIRUS GAOBOT.XW VIRUS BRISS.A CONSEJOS PARA PROTEGERSE DE LOS VIRUS INFORMATICOS LISTA DE ANTIVIRUS El virus se propaga a través de Internet, explotando las vulnerabilidades RPC DCOM (http://www.microsoft.com/spain/technet/seguridad/boletines/MS03026-IT.asp) y LSASS (http://www.microsoft.com/spain/technet/seguridad/boletines/MS04011-IT.asp) en computadores remotos. La vulnerabilidad RPC DCOM es crítica en los sistemas operativos Windows 2003/XP/2000/NT que no han sido convenientemente actualizados mientras que, por su parte, LSASS es crítica para computadores con Windows XP/2000. El virus llega mediante el correo electrónico, en mensajes escritos en inglés que incluyen un archivo adjunto. A través del programa de intercambio de archivos punto a punto (P2P) KaZaA. Cuando aprovecha la vulnerabilidad LSASS, el virus Plexus.B se propaga de manera automática a computadores con Windows XP/2000 y que tengan el puerto 5000 abierto (por defecto, abierto en Windows XP y cerrado en Windows 2000). Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al virus es ejecutado de alguna forma por un usuario malicioso. En este último caso, Plexus.B convertiría dicho computador en un nuevo foco de propagación. • Fuentes o o o o Trend Micro Panda Software Hispasec Per Antivirus Aparece el siguiente mensaje en pantalla: 1 Visite el Portal del Estado Peruano: http ://www.perugobierno.gob.pe Server y la cuenta de administrador se encuentre en blanco. VIRUS ZAFI.B Una vez ejecutado, Gaobot.XW se conecta a un servidor IRC determinado y espera órdenes de control. Por sus características de backdoor, permite obtener información del ordenador afectado, ejecutar archivos, realizar ataques, subir archivos por FTP, etc. Alias: W32/Zafi.B.worm MÉTODO DE INFECCIÓN Zafi.B es un virus que busca los directorios donde se encuentren instalados diversos programas antivirus, y sobrescribe los archivos ejecutables pertenecientes a los mismos con copias de sí mismo. De este modo, el usuario estará desprotegido, además ejecutará inadvertidamente a Zafi.B cada vez que se desea emplear el antivirus. Gaobot.XW finaliza procesos pertenecientes a programas antivirus, firewalls y herramientas de monitorización del sistema. VIRUS BRISS.A Además, Zafi.B realiza una búsqueda continua de determinados procesos, tales como el Editor del Registro de Windows, el Administrador de tareas, etc. El virus Briss.A se coloca residente en memoria y realiza cada 24 horas la instalación de otros malware sin consentimiento del usuario. Para ello, consulta una lista de programas que obtiene conectándose al sitio web www2.flingstone.com. Zafi.B se propaga a través del correo electrónico, en un mensaje de correo de características variables que puede estar escrito en varios idiomas, y a través de los programas de intercambio de archivos punto a punto (P2P). Algunos ejemplos del malware que Briss.A instala son los siguientes: Adware/180Solutions, Trj/Revop.F, Adware/Searchcentrix, etc. SÍNTOMAS VISIBLES Además, Briss.A posee otras funcionalidades, tales como detectar la pulsación de ciertas combinaciones de teclas. El virus no se propaga automáticamente por sus propios medios, sino que precisa de la intervención del usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con ficheros adjuntos, descargas de Internet, transferencia de ficheros a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc. El virus Zafi.B es fácil de reconocer una vez que el virus ha infectado el computador, ya que abre una ventana de Internet Explorer e intenta abrir la página web www.google.com o www.microsoft.com. VIRUS GAOBOT.XW Alias: W32/Zafi.B.worm Gaobot.XW es un virus que afecta a los siguientes sistemas operativos Windows 2003/XP/2000/NT. Gaobot.XW aprovecha las vulnerabilidades LSASS y RPC DCOM para propagarse al mayor número de ordenadores posible. CONSEJOS PARA PROTEGERSE DE LOS VIRUS INFORMATICOS Gaobot.XW también se propaga realizando copias de sí mismo en recursos compartidos de red a los que logra acceso. El virus puede penetrar en computadores que tengan instalada la aplicación DameWare Mini Remote Control, o que tengan instalado SQL Hay muchos virus que se esparcen a mediante la red a nivel mundial y nacional, por lo cual estamos dando unas recomendaciones para que las instituciones y usuarios en general puedan proteger sus equipos informáticos: 2 Visite el Portal del Estado Peruano: http ://www.perugobierno.gob.pe ♦ Tener cuidado con los archivos que reciba a través de las aplicaciones de intercambio de archivos punto a punto (P2P). ♦ Actualice el antivirus del computador. ♦ Si dispone de herramientas de filtrado, configúrelas para que rechacen los mensajes que cumplan las características de los virus más conocidos. ♦ No ejecute archivos adjuntos desconocidos y bórrelos incluso de la carpeta de Elementos Eliminados. ♦ Los archivos adjuntos deben ser revisados por un antivirus actualizado. Se adjunta una lista de páginas webs donde el usuario puede obtener mayor información sobre virus y actualizar el antivirus: NOMBRE DEL ANTIVIRUS Panda Software Per Antivirus The Hacker AVAST Antivirus Zap Antivirus Sophos Antivirus Norton Antivirus (NAV) Antiviral Toolkit Pro (AVP) ESafe Antivirus Enterprise Protection InoculateIT McAfee VirusScan AVG Antivirus Symantec TrenMicro BitDefender PAGINA WEB http://www.pandasoftware.es/ http://www.persystems.net/ http://www.hacksoft.com.pe/ http://www.antivir.com/support.htm http://www.zapantivirus.com http://esp.sophos.com/ http://www.sarc.com/avcenter/download.html http://www.kaspersky.com/ http://www.esafe.com/download/virusig.html http://www.commandcom.com/html/files.html http://support.cai.com/Download/virussig.html http://download.mcafee.com/updates/updates.asp http://www.grisoft.com/us/us_index.php http://www.symantec.com/ http://www.trendmicro.com/download/pattern.asp http://www.bitdefender-es.com CUALQUIER CONSULTA ENVIAR UN CORREO AL CENTRO DE CONSULTA E INVESTIGACION SOBRE SEGURIDAD DE LA INFORMACION [email protected] 3 Visite el Portal del Estado Peruano: http ://www.perugobierno.gob.pe