« Boletín 00011 – 02/05/2005
Boletín 00013 – 16/05/2005 »

Feb

8

Boletín 00012 – 09/05/2005

Category: Seguridad | Leave a Comment

1.- Propagación de nueva variante del gusano Sober
2.- Vulnerabilidades en LibTiff afectan a Sun Solaris 7, 8, 9 y 10
3.- Vulnerabilidades en Lotus Notes y Domino
4.- Virus W32/Sober.p@MM (McAfee)
5.- Virus W32/Sober.p@MM (Trend Micro)
6.- Virus WORM_MYTOB.ED
7.- Actualización de Netcraft toolbar
8.- Congreso de Seguridad en Computo
==== 1.- Propagación de nueva variante del gusano Sober ====
Detectado en tránsito un gran número de correos electrónicos con una nueva variante del gusano Sober. Se recomienda a los usuarios extremen la precaución a la hora de abrir archivos adjuntos no solicitados, en este caso especialmente los que nos lleguen en formato ZIP con el cuerpo del mensaje en inglés.
En primer lugar destacar a los antivirus que han detectado esta nueva variante desde el primer instante de su aparición, bien por heurística o firma genérica, y por tanto han protegido a sus usuarios sin necesidad de una actualización a posteriori.
Detección proactiva:
Antivir :: Worm/Sober.gen
Dr.Web :: BACKDOOR.Trojan
NOD32 :: probably a variant of Win32/Sober Norman :: Sober.O@mm McAfee :: W32/Sober.gen@MM Panda :: [TruPrevent]
A continuación los tiempos en ofrecer la actualización reactiva, a posteriori de su aparición, con firmas de detección específicas.
Detección reactiva:
ClamAV 02.05.2005 18:39 :: Worm.Sober.P Kaspersky 02.05.2005 18:44 ::
Email-Worm.Win32.Sober.p F-Prot 02.05.2005 18:57 :: W32/Sober.O@mm BitDefender 02.05.2005 19:24 :: Win32.Sober.O@mm
NOD32 02.05.2005 20:15 :: Win32/Sober.O Panda 02.05.2005 20:55 ::
W32/Sober.V.worm eTrust-Iris 02.05.2005 21:57 ::
Win32/Sober.53554!Worm Antivir 02.05.2005 22:26 :: Worm/Sober.P Trend Micro 02.05.2005 23:17 :: WORM_SOBER.S McAfee 02.05.2005 23:44 ::
W32/Sober.p@MM!zip
El gusano está programado en Visual Basic, el ejecutable original ha ha sido comprimido con UPX, y a su vez el gusano lo envía adjunto por correo electrónico comprimido bajo formato ZIP. i un usuario abre el archivo y lo ejecuta, aparecerá una ventana simulando un error de descompresión:
WinZip Self-Extractor
Error: CRC not complete
[OK]
Mientras que el usuario visualiza ese mensaje el gusano ya habrá comenzado la infección del sistema. Copia en la carpeta Windows dentro del subdirectorio Connection WizardStatus los archivos %Windir%Connection WizardStatuscsrss.exe %Windir%Connection WizardStatuspacked1.sbr %Windir%Connection WizardStatuspacked2.sbr %Windir%Connection WizardStatuspacked3.sbr %Windir%Connection WizardStatusservices.exe %Windir%Connection WizardStatussmss.exe %Windir%Connection WizardStatussacri1.ggg
Y en la carpeta de sistema de Windows los siguiente:
%System%adcmmmmq.hjg
%System%langeinf.lin
%System%nonrunso.ber
%System%seppelmx.smx
%System%xcvfpokd.tqa
Además añade las típicas entrada en el registro de Windows para asegurarse su ejecución en cada inicio de sistema:
" WinStart" = "%Windir%Connection WizardStatusservices.exe" tanto en HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun como en HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Para enviarse por correo electrónico, en primer lugar examina la dirección a la que va a enviarse. Si el dominio es GMX o termina con .AT, .CH, .DE o .LI se envía con textos en alemán, para el resto de direcciones lo hará en inglés.
El archivo adjunto puede ser uno de los siguientes:
> _PassWort-Info.zip
> account_info.zip
> account_info-text.zip
> autoemail-text.zip
> error-mail_info.zip
> free_PassWort-Info.zip
> Fifa_Info-Text.zip
> LOL.zip
> mail_info.zip
> okTicket-info.zip
> our_secret.zip
El remite lo elige entre:
> Admin
> Hostmaster
> Info
> Postmaster
> Register
> Service
> Webmaster
Mientras que el asunto podrá ser alguno de los siguientes:
> mailing error
> Re:
> Registration Confirmation
> Your email was blocked
> Your Password
Y en el caso de la versión en alemán:
> Glueckwunsch: Ihr WM Ticket
> Ich bin's, was zum lachen ;) 
> Ihr Passwort
> Ihre E-Mail wurde verweigert
> Mail-Fehler!
> WM Ticket Verlosung
> WM-Ticket-Auslosung
En cuanto al cuerpo del mensaje, en inglés algunos de los siguientes:
>ok ok ok,,,,, here is it
> Account and Password Information are attached!
> Visit: http:/ /www.[dominio]
> This is an automatically generated E-Mail Delivery Status Notification.
> Mail-Header, Mail-Body and Error Description are attached
Con una línea al final que elige entre:
> Attachment-Scanner: Status OK
> AntiVirus: No Virus found
> Server-AntiVirus: No Virus (Clean)
> http:/ / www.[dominio]
 
==== 2.- Vulnerabilidades en LibTiff afectan a Sun Solaris 7, 8, 9 y 10 ====
Sun ha informado sobre diversas vulnerabilidades descubiertas en su sistema Solaris que potencialmente podrían ser explotadas por usuarios maliciosos para provocar denegaciones de servicio o comprometer la seguridad del sistema en sí.
Las vulnerabilidades afectarían a las siguientes combinaciones:
* Solaris 7 (OpenWindows)
* Solaris 8 (CDE)
* Solaris 9 (CDE)
* Solaris 9 (con paquetes SUNWTiff o SUNWTiffx instalados)
* Solaris 10 (con paquete SUNWTiff instalado)
Las vulnerabilidades descubiertas están relacionadas con LibTIFF, y pueden ser explotadas para provocar desbordamientos varios (búffer y enteros) que llevarían a las denegaciones de servicio o la ejecución remota de código arbitrario.
 
Las direcciones para descargar las actualizaciones son las siguientes:
Para plataforma SPARC:
Solaris 7 (OpenWindows):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=118953-02&method=f
Solaris 8 (CDE):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=109931-10&method=f
Solaris 9 (CDE):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=114219-11&method=f
Para plataforma x86:
Solaris 7 (OpenWindows):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=118954-02&method=f
Solaris 8 (CDE):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=109932-10&method=f
Solaris 9 (CDE):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=114220-11&method=f
Multiple Security Vulnerabilities in libtiff(3)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-57769-1
==== 3.- Vulnerabilidades en Lotus Notes y Domino ====
Se ha anunciado la existencia de diversas vulnerabilidades en Lotus Notes y en Lotus Domino que afectan de forma local y remota con diferentes resultados.
Respecto a Lotus Domino, el primero de los problemas reside en el tratamiento del protocolo Notes (NRPC) y permitirá a usuarios remotos provocar condiciones de denegación de servicio.
La segunda vulnerabilidad, también en Lotus Domino, se trata de un error en la validación de entradas y permitirá a un usuario local con ciertos privilegios construir ataques de desdoblamiento de respuestas HTTP. Un usuario local con privilegios de instalación de aplicaciones podrá crear código que llame a la función @SetHTTPHeader para inyectar contenido arbitrario en las cabeceras HTTP devueltas por el servidor. El atacante podrá explotar esto para falsificar contenido en el servidor objetivo, intentar envenenamientos de cualquier cache intermedia, o construir ataques de cross-site scripting.
Por último, también se ha anunciado un desbordamiento de búfer en el cliente Lotus Notes que puede ser explotado de forma local mediante la modificación del archivo "notes.ini". De esta forma un usuario local podrá provocar la caída del cliente Notes. IBM ha publicado actualizaciones para Lotus Notes y Domino 6.0.5 y 6.5.4.
Lotus Domino Format String Flaw in Processing NRPC Protocol Lets Remote Users Deny Service http://securitytracker.com/alerts/2005/Apr/1013842.html
Potential Denial of Service Vulnerability During Notes Authentication
http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21202525
Lotus Domino @SetHTTPHeader Permits HTTP Response Splitting Attacks http://securitytracker.com/alerts/2005/Apr/1013839.html
CERT VU#699798 - Lotus Domino allows HTTP header injection
http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21202437
Potential Denial of Service Vulnerability in Notes Client
http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21202526
Lotus Notes Can Be Crashed By Local Users Via the 'notes.ini' File http://securitytracker.com/alerts/2005/Apr/1013841.html
 
 
==== 4.- Virus W32/Sober.p@MM (McAfee) ====
This is a Medium Threat Advisory for W32/Sober.p@MM for Home Users Only.
Justification
W32/Sober.p@MM has been deemed Medium due to prevalence.
Read About It
Information about W32/Sober.p@MM is located on VIL at:
http://vil.mcafeesecurity.com/vil/content/v_133409.htm
Detection
W32/Sober.p@MM was first discovered on 05/02/2005 and has been proactively
detected since at least DAT version 4443. Specific detection and improved
repair will be added to the 4482 dat files (Release Date: 05/02/2005).
EXTRA.DATs are not necessary to be protected from this threat.
==== 5.- Virus W32/Sober.p@MM (Trend Micro) ====
As of May 2, 2005, 11:50 AM (Pacific Daylight Time/GMT -7:00), TrendLabs has
declared a Medium Risk Virus Alert to control the spread of WORM_SOBER.S.
TrendLabs has received numerous infection reports indicating that this
malware is spreading in Germany and the U.S.A.
This worm spreads by mass-mailing copies of itself using its own SMTP
(Simple Mail Transfer Protocol) engine. It gathers its target recipients
from files with certain extensions names. Notably, it avoids sending
messages to addresses that contain specific strings.
Using social engineering techniques, it sends out an email supposedly sent
by the soccer organization FIFA, informing recipients that they have won
tickets for the upcoming FIFA World Cup 2006 in Germany.
The email it sends out has the following details:
From: (any of the following)
. Admin
. hostmaster
. info
. postmaster
. register
. service
. webmaster
Subject: (any of the following German subjects)
. Glueckwunsch: Ihr WM Ticket
. Ich bin's, was zum lachen ;) 
. Ihr Passwort
. Ihre E-Mail wurde verweigert
. Mail-Fehler!*
. WM Ticket Verlosung*WM-Ticket-Auslosung
(or any of the following English subjects)
. Re:
. Your Password
. Registration Confirmation
. Your email was blocked
. mailing error
Message body: (any of the following)
. Passwort und Benutzer-Informationen befinden sich in der beigefuegten
Anlage.
*-* http://www.
*-* MailTo: PasswordHelp
. Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http://www.
. Folgende Fehler sind aufgetreten:
. Fehler konnte nicht Explicit ermittelt werden
. End Transmission
. Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl.
Daten gezippt & angehaengt werden. Wir bitten Sie, dieses zu
beruecksichtigen.
. Auto ReMailer# [
. Nun sieh dir das mal an!
Was ein Ferkel ....
. Herzlichen Glueckwunsch,
--- FIFA-Pressekontakt:
ok ok ok,,,,, here is it
r die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
ok2006
Team
St. Rainer Gellhaus
error-
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
. Account and Password Information are attached!
Visit: http://www.
. AntiVirus Service
**** WebSite: .
Attachment: (any of the following)
. mail_info.zip
. okTicket-info.zip
. LOL.zip
. _PassWort-Info.zip
. autoemail-text.zip
TrendLabs will be releasing the following EPS deliverables:
TMCM Outbreak Prevention Policy 171
Official Pattern Release 2.611.00
Damage Cleanup Template 588
For more information on WORM_SOBER.S, you can visit our Web site at:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBER.S
 
==== 6- Virus WORM_MYTOB.ED ====
As of May 9, 2005 4:30 AM PDT (Pacific Daylight Time/GMT -8:00), TrendLabs
has declared a Medium Risk Virus Alert to control the spread of
WORM_MYTOB.ED. TrendLabs has received several infection reports indicating
that it is spreading in Japan and Australia.
Like earlier WORM_MYTOB variants, this worm propagates by sending a copy of
itself as an attachment to an email message, which it sends to target
recipients, using its own Simple Mail Transfer Protocol (SMTP) engine.
The email it sends out has the following details:
Subject: (any of the following)
- Error
- hello
- Here is your documents.
- Mail Delivery System
- Mail Transaction Failed
- Re: Thank you for delivery
- Server Report
- something for you
- Status
Subject: (any of the following)
- *IMPORTANT* Please Validate Your Email Account
- *IMPORTANT* Your Account Has Been Locked
- Email Account Suspension
- Notice: **Last Warning**
- Notice:***Your email account will be suspended***
- Security measures
- Your email account access is restricted
- Your Email Account is Suspended For Security Reasons
Message Body: (any of the following)
- Account Information Are Attached!
- Once you have completed the form in the attached file , your account
records will not be interrupted and will continue as normal.
- please look at attached document.
- Please see the attachement.
- To safeguard your email account from possible termination, please see the
attached file.
- To unblock your email account acces, please see the attachement.
- We have suspended some of your email services, to resolve the problem you
should read the attached document.
Attachment: (any of the following file names)
- email-doc
- email-info
- email-text
- information
- your_details
- document_full
- IMPORTANT
- info-text
- {random}
(any of the following extensions)
- .exe
- .pif
- .scr
- .zip
It gathers target email addresses from the Temporary Internet folder,
Windows address book (WAB), as well as from files with certain extension
names. It may also generate email addresses by using a list of names and any
of the domain names of the previously gathered addresses.
This worm has backdoor capabilities, which allow a remote user to perform
malicious commands on the affected machine. The said routine provides remote
users virtual control over affected systems, thus compromising system
security.
Moreover, it prevents users from accessing several antivirus and security
Web sites by redirecting the connection to the local machine.
TrendLabs will be releasing the following EPS deliverables:
TMCM Outbreak Prevention Policy 172 - uploaded
Official Pattern Release 2.619.00 - currently being uploaded
Damage Cleanup Template 590 - ETA is 30 minutes
For more information on WORM_MYTOB.ED, you can visit our Web site at:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYTOB.E
D.
==== 7- Actualización de Netcraft toolbar ====
Netcraft actualizó su toolbar con la cual se pueden detectar sitios falsos.
Esta herramienta es muy útil contra phishing. Una vez que alguien reporta un
sitio fraudulento este es bloqueado para los miembros de la comunidad de
esta herramienta. Esta herramienta solo funciona para Windows 2000/XP con
Internet Explorer.
Muestra:
- Nivel de peligro del sitio.
- Fecha del inicio del sitio.
- El nivel que tiene en los más visitados (según netcraft)
- Ubicación de la página.
http://toolbar.netcraft.com/
http://news.netcraft.com/archives/2005/05/02/new_version_of_netcraft_toolbar
_available.html
 
==== 8- Congreso de Seguridad en Computo ====
El Congreso de Seguridad en Computo es uno de los principales
eventos en esta materia en Iberoamerica, organizado por el
Departamento de Seguridad en Computo de la UNAM y el UNAM-CERT, cuyo
objetivo primordial es impulsar la cultura de la Seguridad
Informatica, asi como proporcionar los conocimientos y herramientas
necesarias para mantener de forma integra los datos e informacion.
A traves de las Lineas de Especializacion es la propuesta
enfocada a la capacitacion y entrenamiento de forma PRACTICA en materia
de seguridad cubriendo 8 distintos aspectos de especializacion. En
cada linea de especializacion el participante podra poner en practica
sus conocimientos y habilidades obtenidos en cada sesion ademas de
conocer las ultimas tendencias para cada rubro.
Al final del programa a traves de la acreditacion de un examen
teorico-practico el participante tendra la opcion de certificarse en
materia de seguridad informatica, si los resultados le acreditan.
Las lineas de especializacion que se impartiran en Mayo del 2005 son:
¡¡Cierre de REGISTRO 16 de Mayo 2005 !!
L1. Administracion y Seguridad en Windows.
L2. Administracion y Seguridad en UNIX.
L3. Analisis Forense e Implicaciones Legales.
L4. Auditoria de Redes y Sistemas.
L5. Ethical Hacking -- Tecnicas de Intrusion.
L6. Deteccion de Intrusos y Honeynets
L7. Seguridad en Tecnologias Microsoft (3 dias)
L8. Estandares, Administracion y Planeacion de la Seguridad
Informatica Basados en el BS7799 -- NUEVA --
¡¡Cierre de REGISTRO 16 de Mayo 2005 !!
http://congreso.seguridad.unam.mx
Dentro de las actividades del Congreso de Seguridad en
Computo, los dias 26 y 27 de mayo, se realizara un ciclo de
conferencias dedicadas a presentar los trabajos y esfuerzos que en
materia de seguridad en computo se realizan Mexico y en el mundo,
donde se intercambiaran experiencias con reconocidas personalidades a
nivel mundial y organismos lideres en el campo de la Seguridad
Informatica, para mayor descripcion de los invitados especiales este año
en Seguridad en Computo Mexico 2005 sugerimos consultar:
http://congreso.seguridad.unam.mx/congreso/security2005/index.php?liga=keyno
tes


Possibly related:


Comments

Name (requerido)

Email (requerido)

Web

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Share your wisdom

    RSS
    Febrero 2007
    L M X J V S D
        Mar »
     1234
    567891011
    12131415161718
    19202122232425
    262728