Boletín 00025 – 22/08/2005

Justification
W32/IRCBot.worm!MS05-039 has been deemed High due to prevalence.

Read About It
Information about W32/IRCBot.worm!MS05-039 is located on VIL at: %VIL Link%

Detection
W32/IRCBot.worm!MS05-039 was first discovered on 08/16/2005 and detection will be added to the 4560 dat files (Release Date: 08/16/2005).  The EXTRA.DAT will be available soon.

McAfee AVERT – Anti Virus and Vulnerability Research, Analysis, and
Solutions visit us at www.avertlabs.com

==== 2.- Trend Micro Medium Risk Virus Alert – WORM_ZOTOB.D and WORM_RBOT.CBQ ====

As of August 16, 2005 5:12 PM (Pacific Daylight Time; GMT-7:00), TrendLabs has declared a Medium Risk Virus Alert to control the spread of WORM_ZOTOB.D and WORM_RBOT.CBQ. TrendLabs has received several infection reports indicating that this malware is spreading in Brazil and the U.S.A.

WORM_ZOTOB.D is a memory-resident worm that drops a copy of itself in the %System%\wbev folder as WINDRG32.EXE.

(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 95, 98, and ME, C:\WINNT\System32 on Windows NT and 2000, or C:\Windows\System32 on Windows XP.)

It takes advantage of the Microsoft Windows Plug and Play vulnerability to propagate across networks. For more information regarding this vulnerability, refer to the Microsoft Security Bulletin MS05-039 found in the following Web page:

It also has backdoor capabilities, and may execute commands coming from a remote malicious user.  This provides remote users virtual control over affected systems, thus compromising system security.

As a form of an anti-debugging technique, this worm also gathers Web sites from RSS feeds, then randomly sends these sites as messages in the IRC channel it is connected to. It does this in order to confuse or mislead anyone who is monitoring the IRC channel from the real IRC commands it issues.

================

WORM_RBOT.CBQ is a memory-resident worm that drops a copy of itself in the Windows system folder as WINTBP.EXE.

This worm also takes advantage of the Microsoft Windows Plug and Play vulnerability to propagate across networks. This propagation routine works only on Windows NT and 2000, as the Microsoft Windows Plug and Play vulnerability exists only on these platforms.

This worm also connects to an IRC server, joins a specific channel and then sends the following messages:

• {Random} :ER DL FH
• {Random} :ER DL IF

TrendLabs will be releasing the following EPS deliverables:

TMCM Outbreak Prevention Policy 183
Official Pattern Release 2.787.00
Damage Cleanup Template 638

Medios como la CNN, ABC y The New York Times se han visto este martes azotados por un gusano que afectaba a sus sistemas Windows 2000. Tal y como adelantábamos en Hispasec, el mayor peligro de Zotob y otros especímenes que explotan una de las últimas vulnerabilidades de Windows se presenta cuando logran penetrar en redes corporativas.

En los casos reportados en Estados Unidos parece que se trata de un nuevo gusano que, al igual que Zotob, infecta a los sistemas Windows 2000 que no hayan instalado la actualización MS05-039. Como efecto colateral los sistemas infectados se reinician constantemente, lo que impide trabajar con ellos.

Zotob y el resto de especímenes que están apareciendo tienen limitada su capacidad de propagación a través de Internet, ya que lo usual, y al menos así lo recomiendan las medidas más básicas de seguridad, es que el puerto TCP/445 que utiliza el gusano para propagarse no se encuentre accesible de forma indiscriminada desde Internet.

Sin embargo suele ocurrir lo contrario en las intranets, donde la seguridad suele ser más relajada porque se piensa que el firewall perimetral protege de los ataques de Internet y que el resto de sistemas que comparten la LAN o WAN son confiables. Además de que en ocasiones las propias aplicaciones o servicios corporativos requieren que servidores y/o estaciones tengan accesibles esos puertos.

El problema se presenta cuando dentro de esa red aparece un sistema infectado por un gusano de características similares a Blaster, Sasser o Zotob, capaz de propagarse automáticamente sin necesidad de la intervención del usuario. En cuestión de minutos se extiende entre todos los sistemas vulnerables e impacta en la informática y en todos los procesos que dependan de ella. Dependiendo del tipo de empresa puede llegar a suponer un colapso global.

¿Cómo entra el gusano a la red interna si el firewall perimetral protege de los ataques de Internet? Pues normalmente entra andando por la puerta principal del edificio, es decir, basta con que alguien conecte en la red local su portátil, previamente infectado en casa o en otra red donde hubiera estado conectado.

Ese es el escenario más típico, aunque no el único, por ejemplo los casos de teletrabajadores que conectan con el ordenador particular a la red corporativa, etc.

Ya ocurrió con gusanos similares, como Blaster o Sasser, que fueron protagonistas de infecciones masivas semanas después de su aparición. Por ello es importante insistir ahora, a tiempo, para que los sistemas sean actualizados contra la vulnerabilidad y prevenir incidentes similares.

De poco o nada sirven los avisos y alertas cuando ya se está sufriendo el daño. Ahora es el momento de prevenir, existe una amenaza y la solución es sencilla, hay que actualizar los sistemas Windows.

Más información:

At least seven new worms have been unleashed that affect Windows systems that don’t have the MS05-039 patch installed. Microsoft released the patch last week to correct problems with the Plug and Play service. The vulnerability affects Windows 2000, Windows XP, and Windows Server 2003. 

The worm variants, called Zotob and RBOT, currently exploit Windows 2000 platforms and infiltrate systems to install a backdoor, an FTP server, and connect to an IRC server where infected systems can then be detected and remote controlled. The worms also modify the system’s HOST file to block access to numerous security vendor Web sites, such as those that produce antivirus software. The worm also tries to block access to sites that belong to Microsoft (including the Windows Update site), as well as Amazon, eBay, Paypal, and Moneybookers.   The Plug and Play vulnerability doesn’t affect Windows NT, Windows ME, or Windows 9x. However, because the worms’ executables can run on those versions of Windows, the systems could be used to spread the worm if the executables somehow make it onto those platforms.

On August 11, Microsoft released an advisory about the new worms. On August 14 the company posted a Web page with Zotob information that helps people understand how to detect the worm on their systems. The company’s Antivirus Encyclopedia details steps on how to remove the worms. For links to the Microsoft’s information visit this article on our Web site.

Cisco ha publicado actualizaciones para su producto Cisco Clean Access (CCA), con objeto de solucionar varias vulnerabilidades, que permitirían a un atacante obtener diversos privilegios en los sistemas afectados. Cisco Clean Access (CCA) es una solución software que detecta, aísla y limpia dispositivos infectados o vulnerables que intentan acceder a la red.

Las versiones que se han confirmado como vulnerables son las siguientes:
* De la 3.3.0 a la 3.3.9
* De la 3.4.0 a la 3.4.5
* De la 3.5.0 a la 3.5.3

En contrapartida, se ha confirmado que no son vulnerables las siguientes direcciones:
* Las versiones de CCA anteriores a la 3.3.0
* La versión 3.5.4 o posteriores

CCA incluye, como parte de la arquitectura, un API (Application Program Interface). La falta de autenticación a la hora de invocar métodos de dicho API permitiría a un atacante saltase ciertas comprobaciones de seguridad, cambiar el rol asignado a usuarios, desconectar usuarios o acceder a información sobre los usuarios configurados.

Se recomienda actualizar a versiones no afectadas por la vulnerabilidad, o aplicar los parches que Cisco ha puesto a la
disposición de los usuarios (en la página de descargas de parches para CCA).

El parche consiste en dos archivos:
* Patch-CSCsb48572.tar.gz: el parche en sí, que determinará antes de aplicarse si el software CCA sobre el que se instale se ve afectado o no por la vulnerabilidad.
* Readme-Patch-CSCsb48572.txt: instrucciones para aplicar el parche a la máquina afectada.

Más información:

Se ha descubierto una vulnerabilidad en KDE (versiones desde la 3.0 a la 3.4.2) que puede ser explotada por usuarios locales maliciosos para realizar ciertas acciones con privilegios escalados. KDE (K Desktop Environment) proporciona un entorno de escritorio gráfico en los sistemas operativos Unix. Se trata de un proyecto de código abierto, muy maduro y de gran calidad.

La vulnerabilidad se debe al tratamiento incorrecto de archivos temporales por parte de langen2kvtml. Esta circunstancia puede ser explotada por un atacante local para realizar un ataque de tipo symlink y así sobreescribir archivos arbitrarios con los derechos del usuario que ejecutó el script vulnerable.

En los últimos días ha existido mucha expectación alrededor de un exploit que podía causar la ejecución de código remoto al visitar una página web diseñada al efecto con Internet Explorer. Microsoft ya ha confirmado la vulnerabilidad y al mismo tiempo despeja las dudas sobre el alcance de la misma, al delimitar las versiones del componente afectado.

Aunque desde un primer momento se comprobó que el componente afectado, Microsoft DDS Library Shape Control (MSDDS.DLL), no se instalaba por defecto con Windows, existían dudas sobre que aplicaciones podían instalarlo.

Así los primeros rumores apuntaban a que formaba parte de Microsoft Visual Studio .NET y de Microsoft Office. También se comprobó que el exploit funcionaba con la versión 7.0.9064.9912 de MSDDS.DLL, pero se desconocía que otras versiones podían estar afectadas.

Microsoft ha publicado un aviso de seguridad donde, además de confirmar la vulnerabilidad, despeja las incógnitas de las versiones vulnerables y que aplicaciones la incluyen. A efectos prácticos limita mucho el número de sistemas que pueden estar afectados, en comparación con la expectación inicial que levantó el exploit.

Las versiones de MSDDS.DLL afectadas son la 7.0.9064.9112 y la 7.0.9446.0.

Una forma fácil de descartar que nuestro sistema se encuentra afectado es buscar el archivo MSDDS.DLL en nuestros discos duros, por ejemplo a través de la propia herramienta de buscar archivos de Windows. Si no se localiza el archivo, no somos vulnerables.

En el caso de que localicemos el archivo debemos de comprobar si la versión del mismo es alguna de las afectadas. Para ello pulsaremos con el botón derecho del ratón sobre el archivo, aparecerá un menú contextual donde elegiremos la opción Propiedades, y a continuación pincharemos en la pestaña Versión. Si el número que aparece no es ni 7.0.9064.9112 ni 7.0.9446.0, no somos vulnerables.