El mensaje tiene las siguientes características:

1

OFICINA NACIONAL DE GOBIERNO

ELECTRONICO E INFORMATICA

Centro de Consulta e Investigación sobre Seguridad de la Información

www.pcm.gob.pe

Edición Nº 105 23 de mayo de 2005

C

C

O

O

N

N

T

T

E

E

N

N

I

I

D

D

O

O

I

I

N

N

F

F

O

O

R

R

M

M

A

A

C

C

I

I

O

O

N

N

D

D

E

E

V

V

I

I

R

R

U

U

S

S

I

I

N

N

F

F

O

O

R

R

M

M

A

A

T

T

I

I

C

C

O

O

S

S

V

V

I

I

R

R

U

U

S

S

W

W

3

3

2

2

/

/

E

E

Z

Z

I

I

O

O

@

@

M

M

M

M

V

V

I

I

R

R

U

U

S

S

W

W

O

O

R

R

M

M

_

_

M

M

Y

Y

T

T

O

O

B

B

.

.

E

E

D

D

V

V

I

I

R

R

U

U

S

S

W

W

3

3

2

2

/

/

M

M

Y

Y

T

T

O

O

B

B

.

.

E

E

G

G

V

V

I

I

R

R

U

U

S

S

W

W

3

3

2

2

/

/

M

M

Y

Y

D

D

O

O

O

O

M

M

.

.

B

B

O

O

@

@

M

M

M

M

C

C

O

O

N

N

S

S

E

E

J

J

O

O

S

S

P

P

A

A

R

R

A

A

P

P

R

R

O

O

T

T

E

E

G

G

E

E

R

R

S

S

E

E

D

D

E

E

L

L

O

O

S

S

V

V

I

I

R

R

U

U

S

S

I

I

N

N

F

F

O

O

R

R

M

M

A

A

T

T

I

I

C

C

O

O

S

S

L

L

I

I

S

S

T

T

A

A

D

D

E

E

A

A

N

N

T

T

I

I

V

V

I

I

R

R

U

U

S

S

• Fuentes

o Unisva-Peru o Hispasec o Panda Software

V

V

I

I

R

R

U

U

S

S

W

W

3

3

2

2

/

/

E

E

Z

Z

I

I

O

O

@

@

M

M

M

M

A Alliiaass::I.I.WWOORRMM..EEZZIIOO@@MMMM

D

D

E

E

S

S

C

C

R

R

I

I

P

P

C

C

I

I

O

O

N

N

El virus infecta a los siguientes sistemas operativos: Windows

95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server

2003, está desarrollado en Visual Basic, con una extensión de 136 KB y

comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todos

los buzones contenidos en los archivos con las siguientes extensiones: txt y

html

El mensaje tiene las siguientes características:

Remitente:

Mail System}

Asunto:

Mail Error

Contenido:

Please see the attached document for details.

Anexado:

document.zip

Al ser ejecutado muestra la siguiente falsa caja de diálogo:

El virus impide el acceso a los siguientes portales:

127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 f-secure.com 127.0.0.1 ftp.f-secure.com 127.0.0.1 ftp.sophos.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky.ru 127.0.0.1 liveupdate.symantec.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 rads.mcafee.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 viruslist.ru 127.0.0.1 www.avp.ch 127.0.0.1 www.avp.com 127.0.0.1 www.avp.ru 127.0.0.1 www.f-secure.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.mcafeehelp.com 127.0.0.1 www.sophos.ch 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.ru 127.0.0.1 www.kaspersky.com 127.0.0.1 www.kaspersky.ru 127.0.0.1 service1.symantec.com 127.0.0.1 sophos.ch

V

V

I

I

R

R

U

U

S

S

W

W

O

O

R

R

M

M

_

_

M

M

Y

Y

T

T

O

O

B

B

.

.

E

E

D

D

D

D

E

E

S

S

C

C

R

R

I

I

P

P

C

C

I

I

Ó

Ó

N

N

Este gusano se propaga enviando una copia

de sí mismo anexado a un mensaje del email.

El email del virus tiene las siguientes

características:

Remitente:

• Error • hello

• Here is your documents. • Mail Delivery System • Mail Transaction Failed • Re: Thank you for delivery • Server Report

• something for you • Status

Asunto:

• *IMPORTANT* Please Validate Your Email Account • *IMPORTANT* Your Account Has Been Locked • Email Account Suspension

• Notice: **Last Warning**

• Notice:***Your email account will be suspended*** • Security measures

• Your email account access is restricted

• Your Email Account is Suspended For Security Reasons

Contenido:

• Account Information Are Attached!

• Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.

• please look at attached document. • Please see the attachement.

• To safeguard your email account from possible termination, please see the attached file.

• To unblock your email account acces, please see the attachement.

• We have suspended some of your email services, to resolve the problem you should read the attached document.

Anexado:

• email-doc • email-info • email-text • information • your_details • document_full • IMPORTANT • info-text • {random}

seguido de cualquiera de las siguientes

extensiones:

• .exe • .pif • .scr • .zip

Este gusano tiene capacidades que le

permiten a un usuario remoto obtener el

mando virtual en los sistemas afectados.

Impide a los usuarios ejecutar los antivirus y

sitios Web.

V

V

I

I

R

R

U

U

S

S

W

W

3

3

2

2

/

/

M

M

Y

Y

T

T

O

O

B

B

.

.

E

E

G

G

D

D

E

E

S

S

C

C

R

R

I

I

P

P

C

C

I

I

Ó

Ó

N

N

Se propaga a través de mensajes de Correo

con remitentes falsos, asuntos, contenidos y

archivos anexados de nombres aleatorios,

con diversas extensiones.

Abre un Backdoor usando el puerto TCP

7000 y se une a un canal del IRC (Internet

Relay Chat) desde el que recibe instrucciones

y comandos en forma remota y tomará el

control de los sistemas infectados.

Termina procesos en ejecución, deshabilita el

Firewall de Windows XP, modifica el

archivo HOSTS para impedir el acceso a

sitios web relacionados a software antivirus,

firewalls y de control.

Infecta los siguientes sistemas operativos:

Windows 2000/XP, servidores

NT/2000/Server 2003, está desarrollado en

MS Visual C++.

Captura buzones de la Libreta de

Direcciones de Windows o usa uno de los

siguientes nombres:

adam Admin Administrator alex alice andrew anna bill bob brenda brent brian claudia dan dave david debby fred george helen Hostmaster Info jack james jane jerry jim jimmy joe john jose julie kevin Webmaster leo linda Mail maria mary matt michael mike peter ray Register robert sam serg Service smith Staff stan steve Support ted tom

Invoca a los Servidores Exchange e integra

los nombres de dominio a las siguientes

cadenas para usarlas como servidores SMTP:

•

gate.

•

mail.

•

mail1.

•

mx.

•

mx1.

•

mxs.

•

ns.

•

relay.

•

smtp.

3

características:

Remitente:

Uno de los buzones extraídos del sistema

infectado.

Asunto:

• *IMPORTANT* Please Validate Your Email Account • *IMPORTANT* Your Account Has Been Locked • Email Account Suspension

• Notice: **Last Warning**

• Notice:***Your email account will be suspended*** • Security measures

• Your email account access is restricted

• Your Email Account is Suspended For Security Reasons • [aleatorio]

Contenido:

Account Information Are Attached!

Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.

please look at attached document.

To safeguard your email account from possible termination, please see the attached file.

To unblock your email account acces, please see the attachement.

We have suspended some of your email services, to resolve the problem you should read the attached document. [aleatorio]

Anexado:

• document_full • email-doc • email-info • email-text • IMPORTANT • information • info-text • your_details • [aleatorio]

seguido de cualquiera de las siguientes

extensiones:

• bat • cmd • exe • pif • scr • zip

Si el archivo tiene extensión .ZIP la copia del

gusano tiene una de las siguientes segundas

extensiones:

•

.

doc • .txt • .htm • .html

que estuviesen en ejecución:

• cmd.exe • Msconfig.exe • navapw32.exe • navw32.exe • netstat.exe • PandaAVEngine.exe • Regedit.exe • taskmgr.exe • wincfg32.exe • zapro.exe • zonealarm.exe

Descargar y ejecutar archivos con códigos

malignos.

Obtener información del sistema y la

velocidad de conexión a Internet.

Enviar mensajes a través del canal de Chat.

Impide el acceso a las siguientes direcciones:

avp.com ca.com customer.symantec.com dispatch.mcafee.com download.mcafee.com f-secure.com kaspersky-labs.com kaspersky.com liveupdate.symantec.com liveupdate.symantecliveupdate.com mast.mcafee.com mcafee.com my-etrust.com nai.com networkassociates.com rads.mcafee.com secure.nai.com www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com securityresponse.symantec.com sophos.com symantec.com trendmicro.com update.symantec.com updates.symantec.com us.mcafee.com viruslist.com www.avp.com www.ca.com www.f-secure.com www.grisoft.com www.kaspersky.com

V

V

I

I

R

R

U

U

S

S

W

W

3

3

2

2

/

/

M

M

Y

Y

D

D

O

O

O

O

M

M

.

.

B

B

O

O

@

@

M

M

M

M

D

D

E

E

S

S

C

C

R

R

I

I

P

P

C

C

I

I

Ó

Ó

N

N

A Alliiaass::II..WWOORRMM..MMYYDDOOOOMM..BBOO@@MMMM

Se propaga a través de mensajes de Correo

con remitentes disfrazados bajo la técnica

Spoofing, asuntos, contenidos y archivos

anexados de nombres aleatorios, con

diversas extensiones.

Abre un Backdoor y se conecta un canal del

IRC (Internet Chat Relay) por el puerto TCP

6677 y el intruso podrá ejecutar acciones,

tomando el control en forma remota del

sistema infectado.

Deshabilita antivirus, firewalls y software de

control. Manipula el HOSTS para impedir

que el usuario se conecte a determinados

portales de antivirus con el propósito de

impedir la actualización de sus productos.

Infecta los siguientes sistemas operativos :

Windows 95/98/NT/Me/2000/XP,

incluyendo los servidores NT/2000/Server

2003, está desarrollado en Visual C++.

Usando su propio SMTP (Simple Mail

Transfer Protocol) se auto-envía a las

direcciones de correo de la Libreta de

Direcciones de Windows (WAB) y la carpeta

Temporal de Internet o de archivos

contenidos en las unidades de disco C: a la

Y: con las siguientes extensiones:

• htm* • sht* • php • asp • dbx • tbb • adb • wab • txt

El mensaje tiene las siguientes

características:

Remitente, emplea la técnica Email spoofing

que usa aleatoriamente los buzones

extraídos del sistema o uno de los siguientes

primeros nombres:

john alex michael james mike kevin david george sam andrew jose leo maria jim brian serg ray tom peter robert bob jane joe dan dave matt steve smith stan bill bob jack fred ted adam brent alice anna brenda claudia debby helen jerry jimmy julie linda sam mary

Asunto: aleatoriamente

• Notice: **Last Warning**

• Your email account access is restricted

• Your Email Account is Suspended For Security Reasons • Notice:***Your email account will be suspended*** • Security measures

• Email Account Suspension

• *IMPORTANT* Please Validate Your Email Account • *IMPORTANT* Your Account Has Been Locked

Contenido, uno de los siguientes:

• Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.

• To unblock your email account acces, please see the attachement.

• Please see the attachement.

• We have suspended some of your email services, to resolve the problem you should read the attached document.

• To safeguard your email account from possible termination, please see the attached file.

• please look at attached document. • Account Information Are Attached!

Anexado, uno de los siguientes:

• email-doc • info • text • doc • your_details • document_full • INFO • IMPORTANT • info-text

Con cualquiera de las extensiones:

• pif • scr • exe • cmd • bat • zip

Al reiniciar el sistema, termina los procesos

de los siguientes antivirus, firewalls y

software de control:

• regedit.exe • msconfig.exe • cmd.exe • taskmgr.exe • netstat.exe • zapro.exe • navw32.exe • navapw32.exe • zonealarm.exe • wincfg32.exe • PandaAVEngine.exe

Impide el acceso a diversos portales de

antivirus:

• 127.0.0.1 www.symantec.com • 127.0.0.1 securityresponse.symantec.com • 127.0.0.1 symantec.com • 127.0.0.1 www.sophos.com • 127.0.0.1 sophos.com • 127.0.0.1 www.mcafee.com • 127.0.0.1 mcafee.com • 127.0.0.1 liveupdate.symantecliveupdate.com • 127.0.0.1 www.viruslist.com • 127.0.0.1 viruslist.com • 127.0.0.1 viruslist.com • 127.0.0.1 f-secure.com • 127.0.0.1 www.f-secure.com • 127.0.0.1 kaspersky.com • 127.0.0.1 kaspersky-labs.com

5

• 127.0.0.1 avp.com • 127.0.0.1 www.networkassociates.com • 127.0.0.1 networkassociates.com • 127.0.0.1 www.ca.com • 127.0.0.1 ca.com • 127.0.0.1 mast.mcafee.com • 127.0.0.1 my-etrust.com • 127.0.0.1 www.my-etrust.com • 127.0.0.1 download.mcafee.com • 127.0.0.1 dispatch.mcafee.com • 127.0.0.1 secure.nai.com • 127.0.0.1 nai.com • 127.0.0.1 www.nai.com • 127.0.0.1 update.symantec.com • 127.0.0.1 updates.symantec.com • 127.0.0.1 us.mcafee.com • 127.0.0.1 liveupdate.symantec.com • 127.0.0.1 customer.symantec.com • 127.0.0.1 rads.mcafee.com • 127.0.0.1 trendmicro.com • 127.0.0.1 www.trendmicro.com • 127.0.0.1 www.grisoft.com • 127.0.0.1 www.microsoft.com

Actuando como Backdoor se conecta y une a un

canal del servidor IRC blackcarder.net usando el

puerto TCP 6677 (no asignado), a través del cual

los intrusos podrán ejecutar, entre otras las

siguiente acciones:

• Descargar y ejecutar archivos con códigos

maligno.

• Ejecutar cualquier comando IRC activado

por el intruso.

• Reiniciar el equipos a voluntad.

• Realizar diversas acciones en forma remota.

C

C

O

O

N

N

S

S

E

E

J

J

O

O

S

S

P

P

A

A

R

R

A

A

P

P

R

R

O

O

T

T

E

E

G

G

E

E

R

R

S

S

E

E

D

D

E

E

L

L

O

O

S

S

V

V

I

I

R

R

U

U

S

S

I

I

N

N

F

F

O

O

R

R

M

M

A

A

T

T

I

I

C

C

O

O

S

S

Hay muchos virus que se esparcen

mediante la red a nivel mundial y nacional,

por lo que, indicamos a continuación

algunas recomendaciones para que las

instituciones y usuarios en general puedan

proteger sus equipos informáticos:

♦ Utilice un buen antivirus y actualícelo

frecuentemente.

♦ Compruebe que el antivirus incluye

soporte técnico, actualizaciones urgentes

ante nuevos virus y servicios de alerta.

♦ Si dispone de herramientas de filtrado,

configúrelas para que rechacen los

mensajes que cumplan las características

de los virus más conocidos.

♦ No ejecute archivos adjuntos

desconocidos y bórrelos incluso de la

carpeta de Elementos Eliminados.

♦ Los archivos adjuntos deben ser

revisados por un antivirus actualizado.

♦ Tenga cuidado con los archivos que

reciba a través de las aplicaciones de

intercambio de archivos punto a punto

(P2P).

‰

Se adjunta una lista de páginas webs donde el usuario puede obtener mayor información sobre

virus y actualizar el antivirus:

NOMBRE DEL ANTIVIRUS

PAGINA WEB

Panda Software http://www.pandasoftware.es/

Per Antivirus http://www.persystems.net/

The Hacker http://www.hacksoft.com.pe/

AVAST Antivirus http://www.antivir.com/support.htm Zap Antivirus http://www.zapantivirus.com Sophos Antivirus http://esp.sophos.com/

Norton Antivirus (NAV) http://www.sarc.com/avcenter/download.html

Antiviral Toolkit Pro (AVP) http://www.kaspersky.com/

ESafe http://www.esafe.com/download/virusig.html

Antivirus Enterprise Protection http://www.commandcom.com/html/files.html

InoculateIT http://support.cai.com/Download/virussig.html

McAfee VirusScan http://download.mcafee.com/updates/updates.asp

AVG Antivirus http://www.grisoft.com/us/us_index.php

Symantec http://www.symantec.com/ TrenMicro http://www.trendmicro.com/download/pattern.asp BitDefender http://www.bitdefender-es.com

C

C

U

U

A

A

L

L

Q

Q

U

U

I

I

E

E

R

R

C

C

O

O

N

N

S

S

U

U

L

L

T

T

A

A

E

E

N

N

V

V

I

I

A

A

R

R

U

U

N

N

C

C

O

O

R

R

R

R

E

E

O

O

A

A

L

L

C

CE

EN

NT

TR

RO

O

D

DE

E

C

CO

ON

NS

SU

UL

LT

TA

A

E

E

I

IN

NV

VE

ES

ST

TI

IG

GA

AC

CI

IO

ON

N

S

SO

OB

BR

RE

E

S

SE

EG

GU

UR

RI

ID

DA

AD

D

D

DE

E

L

LA

A

I

IN

NF

FO

OR

RM

MA

AC

CI

IO

ON

N

c

cc

ci

is

si

i@

@p

pc

cm

m.

.g

go

ob

b.

.p

pe

e