Se ha identificado una vulnerabilidad en Microsoft Windows XP
El problema se debe a un error de manejo de puntero NULL en NAT Helper Components de la librería ipnathlp.dll a la hora de procesar peticiones a través del a función NatCreateRedirect. Esto puede ser aprovechado por atacantes en una red interna para hacer que que el servicio deje de responder si se envía una petición DNS especialmente manipulada a la interfaz compartida de un equipo con la conexión compartida a Internet habilitada.
No existe parche oficial. Se recomienda utilizar otra forma de compartir la conexión a Internet.
Más información:
Microsoft NAT Helper 'ipnathlp.dll' Lets Remote Users Deny Service
http://www.securitytracker.com/alerts/2006/Oct/1017133.html
13 noviembre 2006
Somali.A. Gusano de Internet y caballo de Troya
Nombre: Somali.A
Nombre NOD32: MSIL/Somali.A
Tipo: Gusano de Internet y caballo de Troya
Alias: Somali.A, MSIL.Somali.A, MSIL/Somali.A, W32/Netsad.E.worm, W32/SillyWorm.QT, W32/Somali.A!worm, Win32/Solimad.8aj!Worm, Win32:Madsoli, Worm.MSIL.Somali.a, Worm/MSIL.Somali.A
Fecha: 10/nov/06
Plataforma: Windows 32-bit
Tamaño: 40,960 bytes
Gusano y caballo de Troya programado en Microsoft Intermediate Language (MSIL) de .NET, que afecta a equipos con Windows PC con .NET Framework instalado. Eso también incluye Windows Mobile (dispositivos móviles como Pocket PC (computadoras de bolsillo), agendas digitales personales (PDA), teléfonos móviles, etc.)
Cuando se ejecuta, es capaz de finalizar la ejecución de determinados programas de seguridad, e impedir la conexión del usuario a sitios relacionados con las actualizaciones de algunos productos antivirus entre otros.
El troyano abre un acceso por puerta trasera (backdoor), en el puerto TCP 8051, que permite a un atacante remoto el envío de cadenas de texto. El malware responde a esas cadenas con el mismo texto todo en mayúsculas y el signo de exclamación al final.
Puede crear el siguiente usuario en el grupo de usuarios locales:
Nombre de usuario: NewAdmin
Contraseña: MadSoli
Comentario: Windows pc
El malware también puede borrar la configuración de todas las impresoras instaladas, eliminando todo el contenido de la siguiente clave del registro:
HKCU\Printers
El día 19 de cada mes, puede mostrar una ventana con el siguiente texto:
MadSoli
IIntered Your Mind!
[ OK ]
La primera vez que se ejecuta, puede mostrar una ventana de error falsa con el siguiente texto:
System Error
Can Not Open File
[ OK ]
Las siguientes veces que intente ejecutarse, puede mostrar otra ventana de error falsa con el siguiente texto:
Windows
Not a valid win32 program
[ OK ]
El malware crea los siguientes archivos en el equipo infectado:
[directorio actual]\Project-setup.exe
c:\project.pif
c:\windows\system32\ctfmon32.exe
NOTA: [directorio actual] es el directorio donde se ejecuta el malware por primera vez.
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000).
También intenta propagarse a través de redes, creando en el equipo infectado la siguiente carpeta compartida:
c:\System33
Allí se copia a si mismo con el siguiente nombre:
c:\System33\Sound.exe
En la red, el nombre del recurso compartido (c:\System33\), será el siguiente:
MadSoli
Para ello, el malware crea la siguiente entrada en el registro:
HKLM\System\CurrentControlSet\Services\lanmanserver\Shares
MadSoli = [múltiples valores]
Crea además las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows, y para almacenar información necesaria para su funcionamiento:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Services32.bak = "c:\windows\system32\ctfmon32.exe"
HKCU\MadSoli
MadSoli = "System"
El malware examina la presencia de cualquier proceso en ejecución cuyo nombre contenga alguna de las siguientes cadenas, y lo finaliza:
AVGSERV
AVGSERV9
Clshield
DAP
GhostTray
mghtml
NAVW32
notepad
NTPROTECTED
regedit
scan32
SCAN95
taskmgr
Modifica el contenido del archivo HOSTS de Windows, para impedir que el usuario o los programas, accedan a los siguientes sitios de Internet:
avg .com
download .mcafee .com
google .com
google .com
mcafee .com
pandasoftware .com
symantec .com
trendmicro .com
update .symantec .com
www .24-7-transportation .com
www .adhdtests .com
www .aegee .org
www .aimcenter .net
www .alupass .lu
www .amanit .ru
www .AmirCivil .com
www .andara .com
www .angelartsanctuary .com
www .anthonyflanagan .com
www .approved1stmortgage .com
www .argontech .net
www .asianfestival .nl
www .atlantisteste .hpg .com .br
www .avg .com
www .avg .com
www .aviation-center .de
www .bbc .com
www .bbsh .org
www .bga-gsm .ru
www .boneheadmusic .com
www .bottombouncer .com
www .bradster .com
www .buddyboymusic .com
www .bueroservice-it .de
www .calderwoodinn .com
www .capri-frames .de
www .celula .com .mx
www .ceskyhosting .cz
www .cntv .info
www .compsolutionstore .com
www .coolfreepages .com
www .corpsite .com
www .couponcapital .net
www .cpc .adv .br
www .crystalrose .ca
www .cscliberec .cz
www .curtmarsh .com
www .customloyal .com
www .chinasenfa .com
www .DarrkSydebaby .com
www .deadrobot .com
www .dontbeaweekendparent .com
www .download .mcafee .com
www .dragcar .com
www .ecofotos .com .br
www .eurostavba .sk
www .everett .wednet .edu
www .fcpages .com
www .featech .com
www .FritoPie .NET
www .google .com
www .mcafee .com
www .microsoft .com
www .my-etrust .com
www .pandasoftware .com
www .symantec .com
www .trendmicro .com
www .update .symantec .com
www .viruslist .com
www .yahoo .com
yahoo .com
Más información sobre el archivo HOSTS:
Sobre el archivo HOSTS en Microsoft Windows
http://www.vsantivirus.com/faq-hosts.htm
El gusano intenta propagarse enviándose a si mismo a todas las direcciones de correo de Yahoo que detecte en archivos del equipo infectado con las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.eml
.html
.pl
.shtm
.txt
.wab
.xml
Los mensajes tendrán las siguientes características:
De: [una dirección falsa seleccionada de la siguiente lista]
antiblaster @ yahoo .com
avg @ yahoo .com
bill @ yahoo .com
bob @ yahoo .com
ebook @ yahoo .com
info @ yahoo .com
iraq @ yahoo .com
LongShot @ yahoo .com
matt @ yahoo .com
mcafee @ yahoo .com
nod32 @ yahoo .com
panda @ yahoo .com
smith @ yahoo .com
stan @ yahoo .com
steve @ yahoo .com
symantec @ yahoo .com
update @ yahoo .com
YourFriend @ yahoo .com
También puede utilizar los campos CC y CCO (BCC):
CC: software @ yahoo .com
CCO: crack @ yahoo .com
Asunto: [uno de los siguientes]
Announcement
ANTI VIRUS
Attention
E-mail account disabling warning
FBI
IranSare2008
mcafee
NOD32
password
Read it immediately
Soccer funs in public place
symantec
Text Message
Text message
Yahoo!
Your IP was logged
Texto del mensaje: [uno de los siguientes]
Your e-mail account was used to send a huge amount of
unsolicited spam messages during the recent week. If you
could please take 5-10 minutes out of your online
experiences and confirm the attach document so you will not
run into any future problems with the online service.
It has come to our attention that your (File!) User Profile
( x )records are out of date. For further details see the
attached document. Tank you for using !
Thank you for using file
+++ Attachment: No Virus (Clean)
+++[mcafee] Antivirus - www .mcafee .com
Deliver Error
Message Error
help attached
such as yours
illegal st. of you
I have your password!
classroom test of you?
old photos about you?
Para no autoejecutarse más de una vez en memoria, crea el siguiente mutex:
MadSoli
Un mutex (mutual exclusion object), es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo a él.
Nombre: Somali.A
Nombre NOD32: MSIL/Somali.A
Tipo: Gusano de Internet y caballo de Troya
Alias: Somali.A, MSIL.Somali.A, MSIL/Somali.A, W32/Netsad.E.worm, W32/SillyWorm.QT, W32/Somali.A!worm, Win32/Solimad.8aj!Worm, Win32:Madsoli, Worm.MSIL.Somali.a, Worm/MSIL.Somali.A
Fecha: 10/nov/06
Plataforma: Windows 32-bit
Tamaño: 40,960 bytes
Gusano y caballo de Troya programado en Microsoft Intermediate Language (MSIL) de .NET, que afecta a equipos con Windows PC con .NET Framework instalado. Eso también incluye Windows Mobile (dispositivos móviles como Pocket PC (computadoras de bolsillo), agendas digitales personales (PDA), teléfonos móviles, etc.)
Cuando se ejecuta, es capaz de finalizar la ejecución de determinados programas de seguridad, e impedir la conexión del usuario a sitios relacionados con las actualizaciones de algunos productos antivirus entre otros.
El troyano abre un acceso por puerta trasera (backdoor), en el puerto TCP 8051, que permite a un atacante remoto el envío de cadenas de texto. El malware responde a esas cadenas con el mismo texto todo en mayúsculas y el signo de exclamación al final.
Puede crear el siguiente usuario en el grupo de usuarios locales:
Nombre de usuario: NewAdmin
Contraseña: MadSoli
Comentario: Windows pc
El malware también puede borrar la configuración de todas las impresoras instaladas, eliminando todo el contenido de la siguiente clave del registro:
HKCU\Printers
El día 19 de cada mes, puede mostrar una ventana con el siguiente texto:
MadSoli
IIntered Your Mind!
[ OK ]
La primera vez que se ejecuta, puede mostrar una ventana de error falsa con el siguiente texto:
System Error
Can Not Open File
[ OK ]
Las siguientes veces que intente ejecutarse, puede mostrar otra ventana de error falsa con el siguiente texto:
Windows
Not a valid win32 program
[ OK ]
El malware crea los siguientes archivos en el equipo infectado:
[directorio actual]\Project-setup.exe
c:\project.pif
c:\windows\system32\ctfmon32.exe
NOTA: [directorio actual] es el directorio donde se ejecuta el malware por primera vez.
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000).
También intenta propagarse a través de redes, creando en el equipo infectado la siguiente carpeta compartida:
c:\System33
Allí se copia a si mismo con el siguiente nombre:
c:\System33\Sound.exe
En la red, el nombre del recurso compartido (c:\System33\), será el siguiente:
MadSoli
Para ello, el malware crea la siguiente entrada en el registro:
HKLM\System\CurrentControlSet\Services\lanmanserver\Shares
MadSoli = [múltiples valores]
Crea además las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows, y para almacenar información necesaria para su funcionamiento:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Services32.bak = "c:\windows\system32\ctfmon32.exe"
HKCU\MadSoli
MadSoli = "System"
El malware examina la presencia de cualquier proceso en ejecución cuyo nombre contenga alguna de las siguientes cadenas, y lo finaliza:
AVGSERV
AVGSERV9
Clshield
DAP
GhostTray
mghtml
NAVW32
notepad
NTPROTECTED
regedit
scan32
SCAN95
taskmgr
Modifica el contenido del archivo HOSTS de Windows, para impedir que el usuario o los programas, accedan a los siguientes sitios de Internet:
avg .com
download .mcafee .com
google .com
google .com
mcafee .com
pandasoftware .com
symantec .com
trendmicro .com
update .symantec .com
www .24-7-transportation .com
www .adhdtests .com
www .aegee .org
www .aimcenter .net
www .alupass .lu
www .amanit .ru
www .AmirCivil .com
www .andara .com
www .angelartsanctuary .com
www .anthonyflanagan .com
www .approved1stmortgage .com
www .argontech .net
www .asianfestival .nl
www .atlantisteste .hpg .com .br
www .avg .com
www .avg .com
www .aviation-center .de
www .bbc .com
www .bbsh .org
www .bga-gsm .ru
www .boneheadmusic .com
www .bottombouncer .com
www .bradster .com
www .buddyboymusic .com
www .bueroservice-it .de
www .calderwoodinn .com
www .capri-frames .de
www .celula .com .mx
www .ceskyhosting .cz
www .cntv .info
www .compsolutionstore .com
www .coolfreepages .com
www .corpsite .com
www .couponcapital .net
www .cpc .adv .br
www .crystalrose .ca
www .cscliberec .cz
www .curtmarsh .com
www .customloyal .com
www .chinasenfa .com
www .DarrkSydebaby .com
www .deadrobot .com
www .dontbeaweekendparent .com
www .download .mcafee .com
www .dragcar .com
www .ecofotos .com .br
www .eurostavba .sk
www .everett .wednet .edu
www .fcpages .com
www .featech .com
www .FritoPie .NET
www .google .com
www .mcafee .com
www .microsoft .com
www .my-etrust .com
www .pandasoftware .com
www .symantec .com
www .trendmicro .com
www .update .symantec .com
www .viruslist .com
www .yahoo .com
yahoo .com
Más información sobre el archivo HOSTS:
Sobre el archivo HOSTS en Microsoft Windows
http://www.vsantivirus.com/faq-hosts.htm
El gusano intenta propagarse enviándose a si mismo a todas las direcciones de correo de Yahoo que detecte en archivos del equipo infectado con las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.eml
.html
.pl
.shtm
.txt
.wab
.xml
Los mensajes tendrán las siguientes características:
De: [una dirección falsa seleccionada de la siguiente lista]
antiblaster @ yahoo .com
avg @ yahoo .com
bill @ yahoo .com
bob @ yahoo .com
ebook @ yahoo .com
info @ yahoo .com
iraq @ yahoo .com
LongShot @ yahoo .com
matt @ yahoo .com
mcafee @ yahoo .com
nod32 @ yahoo .com
panda @ yahoo .com
smith @ yahoo .com
stan @ yahoo .com
steve @ yahoo .com
symantec @ yahoo .com
update @ yahoo .com
YourFriend @ yahoo .com
También puede utilizar los campos CC y CCO (BCC):
CC: software @ yahoo .com
CCO: crack @ yahoo .com
Asunto: [uno de los siguientes]
Announcement
ANTI VIRUS
Attention
E-mail account disabling warning
FBI
IranSare2008
mcafee
NOD32
password
Read it immediately
Soccer funs in public place
symantec
Text Message
Text message
Yahoo!
Your IP was logged
Texto del mensaje: [uno de los siguientes]
Your e-mail account was used to send a huge amount of
unsolicited spam messages during the recent week. If you
could please take 5-10 minutes out of your online
experiences and confirm the attach document so you will not
run into any future problems with the online service.
It has come to our attention that your (File!) User Profile
( x )records are out of date. For further details see the
attached document. Tank you for using !
Thank you for using file
+++ Attachment: No Virus (Clean)
+++[mcafee] Antivirus - www .mcafee .com
Deliver Error
Message Error
help attached
such as yours
illegal st. of you
I have your password!
classroom test of you?
old photos about you?
Para no autoejecutarse más de una vez en memoria, crea el siguiente mutex:
MadSoli
Un mutex (mutual exclusion object), es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo a él.
Suscribirse a:
Entradas (Atom)