---------- Forwarded message ----------
Date: Tue, 27 Jan 2004 16:58:16 -0600 (CST)
From: UNAM-CERT <[EMAIL PROTECTED]>
Reply-To: Lista del Grupo de Administraci'on y Seguridad en sistemas UNIX
<[EMAIL PROTECTED]>
To: UNAM-CERT <[EMAIL PROTECTED]>
Subject: [Gasu] Boletin UNAM-CERT 2004-02 "Propagacion de Virus y Gusanos
Atraves Correo Electronico"
-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletín de Seguridad UNAM-CERT 2004-02
Propagacion de Virus y Gusanos A traves de Correo Electronico
----------------------------------------------------------------------
El CERT/UNAM-CERT, a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín donde
informan que en las semanas recientes se han liberado en Internet
varios virus de correo masivo y que usan como medio de propagación
el correo electrónico. Es importante que los usuarios comprendan los
riesgos que representan estos códigos maliciosos y los pasos
necesarios para proteger sus sistemas de la infección de un virus.
Fecha de Liberación: 27 de Enero de 2004
Ultima Revisión: - - - - -
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes, así como Foros y
Listas de Discusión.
SISTEMAS AFECTADOS
==================
* Cualquier sistema ejecutando Microsoft Windows (todas las
versiones desde Windows 95 y superiores) que sea utilizado
para leer correo electrónico o para acceder a servicios de
compartición de archivos punto a punto.
I. DESCRIPCIÓN
==============
Desde la semana pasada se han observado dos virus más de correo
masivo y que usan como medio de propagación el correo electrónico,
*W32/Bagle* y *W32/Novarg*, que impactan a un número significativo
de usuarios caseros y sitios. La tecnología utilizada en estos virus
no es significativamente diferente a los de virus de correo masivo
anteriores como *W32/Sobig* y *W32/Mimail*. Se envían mensajes de
correo no solicitado con archivos adjuntos a destinatarios
confiados. Estos mensajes pueden contener una dirección de retorno,
un encabezado provocativo o alguna otra cosa que anime al
destinatario a abrirlo. Esta técnica se llama ingeniería social. La
ingeniería social es efectiva con frecuencia debido a que los
usuarios comúnmente son confiados y curiosos. El impacto general de
estos recientes virus que confian en la intervención humana para
difundirse, demuestra la efectividad de la ingeniería social.
Continúa siendo importante asegurarse de que se utilice y actualice
regularmente un software antivirus, que los archivos adjuntos se
examinen en los servidores de correo y que los firewalls filtren
puertos y protocolos innecesarios. Además, también es necesario que
se eduque a los usuarios sobre los peligros de abrir archivos
adjuntos, particularmente los ejecutables.
* Nota de Seguridad *UNAM-CERT 2004-01*
</Notas/Notas2003/nota-UNAM-CERT-2004-01.html>
** Propagación del Virus W32/Novarg.A **
* Nota de Seguridad *UNAM-CERT 2003-007*
</Notas/Notas2003/nota-UNAM-CERT-2003-007.html>
** Virus W32/Mimail **
* UNAM-CERT: Virus y Gusanos
*http://www.unam-cert.unam.mx/gusanos/index.html*
II. IMPACTO
===========
Estas consecuencias e impacto en los sitemas pueden incluir los
siguientes puntos, sin embargo no están limitadas a alguna de ellas:
* Información disponible* - Los virus de correo masivo
típicamente toman las direcciones de correo electrónico de la
libreta de direcciones o archivos que se encuentran en un
sistema infectado. Algunos virus también intentarán enviar
archivos de un equipo infectado a algun otra victima potencial
o regresar al emisor del virus. Estos archivos pueden contener
información importante.
* Agregar/Modificar/Borrar archivos* - Una vez que el sistema
ha sido comprometido, el virus potencialmente puede agregar,
modificar o borrar archivos arbitrariamente en el sistema.
Estos archivos pueden contener información personal o la
requerida para la operación del sistema.
* *Afecta la estabilidad del sistema* - Los virus pueden
consumir recursos causando significativamente que el sistema
funcione lentamente o que resulte poco útil.
* Instalar una puerta trasera - Muchos virus instalan una puerta
trasera en los sistemas afectados. Esta puerta trasera puede
ser utilizada por un intruso remoto para tener acceso al
sistema, o ver/agregar/modificar/borrar archivos en el
sistema. Estas puertas traseras también son utilizadas para
descargar y controlar herramientas adicionales que pueden
ejecutar ataques de negación de servicio distribuido (DDoS)
contra otros sitios.
* *Atacar otros sistemas* - Los sistemas infectados por virus
son frecuentemente usados para atacar otros sistemas. Estos
ataques comúnmente intentan explotar vulnerabilidades en los
sistemas remotos o provocar una negación de servicio, los
cuales provocan un alto tráfico en la red.
* *Enviar gran cantidad de correo no solicitado (spam) a otros
usuarios* - Ha habido una gran cantidad de reportes de
sistemas comprometidos que se dedican a enviar correo no
solicitado. Frecuentemente los sistemas comprometidos tienen
una protección deficiente en las computadoras de usuarios
finales (por ejemplo, sistemas en pequeños negocios y hogares).
III. SOLUCIÓN
=============
Además de los pasos a seguir propuestos en esta sección, el
CERT/UNAM-CERT recomiendan a los usuarios caserons revisar los
documentos "Seguridad en una Red Casera
<http://www.cert.org/tech_tips/home_networks.html>" and "Seguridad
en Cómputo Casera
<http://www.cert.org/homeusers/HomeComputerSecurity/>"
* Ejecutar y Actualizar un Software Antivirus
Aunque la actualizacion de un producto antivirus no protege contra
todos los códigos maliciosos, para la mayoría de los usuarios esto
parece ser la primera línea de defensa contra ataques de código
malicioso. Los usuarios podrían leer la * Nota de Seguridad
*UNAM-CERT 2004-01* </Notas/Notas2003/nota-UNAM-CERT-2004-01.html> -
Propagación del Virus W32/Novarg.A* La mayoría de los distribuidores
de software antivirus publican frecuentemente información
actualizada, herramientas, o bases de datos del virus para ayudar a
detectar y a recuperarse de código malicioso. Por lo tanto, es
importante que los usuarios mantengan su software antivirus
actualizado. El CERT/UNAM-CERT mantiene una lista parcial de
vendedores del antivirus. Para mayor información consultar la
# sección *Recursos y Bibliografía* en: UNAM-CERT: Virus y Gusanos
*http://www.unam-cert.unam.mx/gusanos/index.html*
Muchos paquetes antivirus soportan actualizaciones automáticas de
las definiciones de virus. El CERT/UNAM-CERT recomienda utilizar
estas actualizaciones automáticas cuando estén disponibles.
* No Ejecutar Programas de Origen Desconocido
No descargue, instale, ni ejecute un programa a menos que sepa que
es de una persona o compañía en que confíe.
Los usuarios de correo electrónico deben ser cuidadosos de archivos
adjuntos inesperados. Esté seguro de saber la fuente de un archivo
adjunto antes de abrirlo. También recuerde que no es suficiente con
reconocer el origen o la dirección del correo electrónico. El virus
Melissa se difundió presisamente porque venía de una dirección de
correo familiar.
Recomendamos a todos los usuarios manejar con precaución las ligas
adjuntas en el cuerpo del correo conocidas como URLS. Las URLs puede
ligarse a contenido malicioso que en algunos casos se puede ejecutar
sin la intervención del usuario. Una técnica de ingeniería social
comunmente conocida como "phishing" utiliza URLs falsas para tentar
a usuarios a visitar sitios de contenido malicioso. Estos sitios
usurpan sitios legítimos para solicitar información sensible como
contraseñas o números de cuentas.
Además, los usuarios del Internet Relay Chat (IRC), mensajería
instantanea (IM), y servicios de transferencia de archivos deben
tener particular cuidado de las ligas o ejecutar software recibidos
de otros usuarios. Éstos son métodos comúnmente usados entre los
intrusos que procuran construir redes de agentes de negacion de
servicios (DDoS).
* Utilizar un Firewall Personal
Un firewall personal no protegerá necesariamente su sistema contra
un virus distribuido por correo electrónico, pero un firewall
personal correctamente configurado puede evitar que el virus
descargue componentes o lance ataques adicionales contra otros
sistemas. Desafortunadamente, una vez en un sistema, el virus puede
ser capaz de inhabilitar un firewall, eliminando asi la protección
de su software.
* Filtro de Correo Electrónico
Dependiendo de los requerimientos de cada organización, es
aconsejable configurar filtros de extensiones de archivo específicos
en los arvhivos adjuntos de correo en la entrada/salida de correo.
Este filtro debe configurarse cuidadosamente, ya que puede afectar
también a archivos adjuntos legítimos. Se recomienda que los
archivos adjuntos se pongan en cuarentena para su posterior
examinación y/o posible recuperación.
* Recuperación de un Sistema Comprometido
Si se cree que un sistema bajo su control administrativo ha sido
comprometido, consulte las acciones que debe llevar a cabo en el
siguiente documento:
* Recuperar un Sistema UNIX o Windows Comprometido.
http://www.unam-cert.unam.mx/deteccion_intrusos.html
------------------------------------------------------------------------
Autores de la Versión Original: *Jeff Carpenter, Chad Dougherty,
Jeff Havrilla, Allen Householder, Brian King, Marty Lindner, Art
Manion, Damon Morda, Rob Murawski
<mailto:[EMAIL PROTECTED]>*
------------------------------------------------------------------------
El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el
apoyo en la elaboración, revisión y traducción de éste boletín a:
* Jesús Mauricio Andrade Guzmán([EMAIL PROTECTED])
* Sergio Alavez Miguel ([EMAIL PROTECTED])
* Rubén Aquino Luna ([EMAIL PROTECTED])
------------------------------------------------------------------------
INFORMACIÓN
============
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.cert.org/advisories/CA-2004-02.html
La versión en español del documento se encuentra disponible en:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-02.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : [EMAIL PROTECTED]
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQBbtDnAvLUtwgRsVAQGXCwf/XDbTDEA1dShO7Y23pCUzVYGxTFh77oyB
dvMQIDTQW6xv+Iv7eB4BprR6GT5DnGfF8cs7XNa+WH1roK4C21qNQ9zX/8JOIh7G
VYB7Fpal2Wq573MLP0Gyn+p4vkPERGDLpsGXmrWaoE5Eq7vQ2NinM02A7V3RaSlf
QeOTya1jLtIPCi7TTobk0twSOThe6QfbrX1F0nK7m8tsVd+qgrru0YMWaVifb1CF
+z4lBY25ypPlg1vF8vbsqMrPM5BRV5LLnLIseL0luU/PghaLRW+ttn18WjmLWO17
eRBI9Gn1D7gTkWuMYLLYhWoIr+xo8/eLYljz0bh6WY1TFWPoEN0aaA==
=Ox76
-----END PGP SIGNATURE-----
_______________________________________________
Lista de Correo Gasu
Mensajes a esta lista : [EMAIL PROTECTED]
Archivos historicos :http://www.seguridad.unam.mx/mailman/listinfo/gasu
Dar de baja de esta lista : http://www.seguridad.unam.mx/unsubscribe.html
_______________________________________________
