ALERTA !! "Tanatos" gusano que abre una puerta trasera


Este nuevo gusano, cuyas primeras muestras se descubrieron el pasado 29 de septiembre, está consiguiendo un número significativo de infecciones, aunque de momento muy por debajo de los ratios que aun mantiene el perenne "Klez"...





Este nuevo gusano, cuyas primeras muestras se descubrieron el pasado 29 de septiembre, está consiguiendo un número significativo de infecciones, aunque de momento muy por debajo de los ratios que aun mantiene el perenne "Klez". Su capacidad para eliminar muchos antivirus y firewalls personales, así como el robo de nombres de usuarios y contraseñas o la apertura del puerto TCP/36794 para permitir la entrada a los equipos infectados, son algunas de sus funcionalidades más destacadas.
Escrito en Visual C++, su tamaño original fue reducido por el creador a unos 50kb gracias a la utilidad de compresión UPX. Nos encontramos ante un espécimen que, sin aportar nada nuevo, recoge mucha de las funcionalidades y técnicas que han dado resultado a otros gusanos, consiguiendo finalmente una muestra bastante completa y funcional.

Así, en lo que a propagación se refiere, utiliza su propio módulo SMTP (en vez de utilizar un cliente de correo como Outlook), recoge direcciones a las que enviarse desde la libreta de direcciones de Windows y de archivos con extensión .dbx, .eml, .mbx, .mmf, .nch, .tbb, y .OCS, así como se ocupa de modificar el asunto, el cuerpo del mensaje, el nombre y extensiones del archivo adjunto donde se envía para evitar ser reconocido a primera vista.

De forma aleatoria el gusano envía algunos de los mensajes infectados aprovechando la explotación de la famosa vulnerabilidad MIME/IFRAME de Internet Explorer para intentar ejecutarse de forma automática, sin necesidad de que el usuario abra el archivo adjunto, como ya lo hicieran Nimda, BadTrans o el propio Klez (http://www.hispasec.com/unaaldia.asp?id=1278). El resto de mensajes no aprovechan ninguna vulnerabilidad, por lo que será necesario que el usuario los abra haciendo doble click en ellos para infectarse.

Una vez infecta un sistema, realiza una copia de si mismo en la carpeta de sistema de Windows y modifica la siguiente entrada en el registro para asegurarse su ejecución en cada inicio de sistema, tal y como suelen hacer los troyanos y backdoors en Windows: HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce

Bugbear también es capaz de infectar a través de los recursos compartidos de las redes locales, copiándose en las carpetas de Inicio para forzar su primera ejecución al iniciar de nuevo el sistema y conseguir la infección sin intervención por parte del usuario.

Una vez instalado en el sistema, además de continuar con su propagación enviando de forma masiva mensajes infectados e intentando acceder a los recursos compartidos a los que tenga alcance, Bugbear se encarga de recopilar cuentas de usuario/contraseña y enviarlas por e-mail al autor, así como abre el puerto TCP/36794 donde un módulo backdoor permite que terceros puedan controlar el sistema del usuario infectado a través de Internet.

Como ya comentamos al inicio, Bugbear también dispone de una serie de medidas contra-antivirus, de forma que cuando infecta un sistema el gusano busca si en el sistema están ejecutándose una serie de procesos (en su mayoría residentes de antivirus y firewalls personales) e intenta eliminarlos.

La mayoría de soluciones antivirus ya cuentan con actualizaciones para detectar a Bugbear, por lo que en teoría, pese a la rápida propagación que ha conseguido en apenas unos días de existencia, sería de esperar que a medida que se actualicen los antivirus las infecciones fueran decreciendo. No obstante, y tras la experiencia con gusanos como "Klez", con el que guarda algunas similitudes, haremos un seguimiento y estaremos expectantes a su evolución.

Algunos datos complementarios sobre Bugbear/Tanatos

Listado de asuntos entre los que elige para enviarse por e-mail:

Greets!
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!


Procesos que busca en el sistema infectado e intenta eliminar:

ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE




Otras noticias de interés:

Actualización de seguridad para Adobe Flash Player
Adobe ha publicado una actualización de seguridad destinada a corregir una vulnerabilidad importante en Adobe Flash Player versión 10.3.181.16 y anteriores para Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.3.185.22 y versiones anter...
La NASA reemplaza 40 bases de datos propietarias con software open-source
El nuevo sistema denominado Problem Reporting Analysis and Corrective Action (PRACA), está creado con herramientas de código libre y se probará por vez primera en el espacio en el transbordador espacial Endeavour que se ha lanzado hoy y que celebr...
Uso del Escritorio remoto en Windows XP
Con la característica Escritorio remoto de Windows® XP Professional puede controlar el equipo de forma remota desde otra oficina, desde casa o mientras se encuentra de viaje. Esto le permite utilizar los datos, aplicaciones y recursos de red del eq...
Estudio sobre seguridad en redes inalámbricas
INTECO ha realizado un estudio sobre seguridad en redes inalámbricas baado en España, pero facilmente aplicable a cualquier parte del mundo. A la hora de conectarse mediante redes ajenas la posibilidad de que el tráfico sea interceptado o descifra...
Ponen falsos MP3 en servicios peer to peer
Según informó el portal zeropaid.com, la compañía coreana Overpeer sería la responsable de la aparición, en estas últimas semanas, de decenas de archivos de música falsos en los sistemas de intercambio peer to peer como Kazaa....
Cookies, importante para las empresas
Hace algún tiempo el término cookies era bastante desconocido, en la actualidad, no es así porque la inmensa mayoría de los websites los utilizan y se debe autorizar su consentimiento, bajo el pretexto de que de ese modo la navegación web se hac...
Competición y reto para hackers de todo el mundo
RECORDAMOS NUEVAMENTE: OpenHack 4: reto a los hackers de todo el mundo ...
Software Anti Spam (Servidor / Cliente)
En la continua busqueda de software libre para ambiente Windows para evitar en alguna forma el spam (correo basura) encontre dos herramientas de muy fácil uso y de increible performance. ...
Vulnerabilidades criptográficas en Kerberos v4
El diseño criptográfico de Kerberos versión 4 permite ataques como suplantación de personalidad y acceso no autorizado a recursos en red. Estos ataques pueden destruir por completo la infraestructura Kerberos de una organización....
Adobe confirma su segundo fallo crítico 0-DAY
Por segunda vez en cuatro semanas Adobe ha anunciado que los hackers están explotando una vulnerabilidad no parcheada en Flash Player, para lo cual introducen código malicioso en documentos de Microsoft Word enviados como un documento adjunto en un...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • abre
  • alerta
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusano
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • puerta
  • sabayon
  • seguridad
  • system
  • tanatos
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • trasera
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra