ALERTA !! "Tanatos" gusano que abre una puerta trasera


Este nuevo gusano, cuyas primeras muestras se descubrieron el pasado 29 de septiembre, está consiguiendo un número significativo de infecciones, aunque de momento muy por debajo de los ratios que aun mantiene el perenne "Klez"...





Este nuevo gusano, cuyas primeras muestras se descubrieron el pasado 29 de septiembre, está consiguiendo un número significativo de infecciones, aunque de momento muy por debajo de los ratios que aun mantiene el perenne "Klez". Su capacidad para eliminar muchos antivirus y firewalls personales, así como el robo de nombres de usuarios y contraseñas o la apertura del puerto TCP/36794 para permitir la entrada a los equipos infectados, son algunas de sus funcionalidades más destacadas.
Escrito en Visual C++, su tamaño original fue reducido por el creador a unos 50kb gracias a la utilidad de compresión UPX. Nos encontramos ante un espécimen que, sin aportar nada nuevo, recoge mucha de las funcionalidades y técnicas que han dado resultado a otros gusanos, consiguiendo finalmente una muestra bastante completa y funcional.

Así, en lo que a propagación se refiere, utiliza su propio módulo SMTP (en vez de utilizar un cliente de correo como Outlook), recoge direcciones a las que enviarse desde la libreta de direcciones de Windows y de archivos con extensión .dbx, .eml, .mbx, .mmf, .nch, .tbb, y .OCS, así como se ocupa de modificar el asunto, el cuerpo del mensaje, el nombre y extensiones del archivo adjunto donde se envía para evitar ser reconocido a primera vista.

De forma aleatoria el gusano envía algunos de los mensajes infectados aprovechando la explotación de la famosa vulnerabilidad MIME/IFRAME de Internet Explorer para intentar ejecutarse de forma automática, sin necesidad de que el usuario abra el archivo adjunto, como ya lo hicieran Nimda, BadTrans o el propio Klez (http://www.hispasec.com/unaaldia.asp?id=1278). El resto de mensajes no aprovechan ninguna vulnerabilidad, por lo que será necesario que el usuario los abra haciendo doble click en ellos para infectarse.

Una vez infecta un sistema, realiza una copia de si mismo en la carpeta de sistema de Windows y modifica la siguiente entrada en el registro para asegurarse su ejecución en cada inicio de sistema, tal y como suelen hacer los troyanos y backdoors en Windows: HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce

Bugbear también es capaz de infectar a través de los recursos compartidos de las redes locales, copiándose en las carpetas de Inicio para forzar su primera ejecución al iniciar de nuevo el sistema y conseguir la infección sin intervención por parte del usuario.

Una vez instalado en el sistema, además de continuar con su propagación enviando de forma masiva mensajes infectados e intentando acceder a los recursos compartidos a los que tenga alcance, Bugbear se encarga de recopilar cuentas de usuario/contraseña y enviarlas por e-mail al autor, así como abre el puerto TCP/36794 donde un módulo backdoor permite que terceros puedan controlar el sistema del usuario infectado a través de Internet.

Como ya comentamos al inicio, Bugbear también dispone de una serie de medidas contra-antivirus, de forma que cuando infecta un sistema el gusano busca si en el sistema están ejecutándose una serie de procesos (en su mayoría residentes de antivirus y firewalls personales) e intenta eliminarlos.

La mayoría de soluciones antivirus ya cuentan con actualizaciones para detectar a Bugbear, por lo que en teoría, pese a la rápida propagación que ha conseguido en apenas unos días de existencia, sería de esperar que a medida que se actualicen los antivirus las infecciones fueran decreciendo. No obstante, y tras la experiencia con gusanos como "Klez", con el que guarda algunas similitudes, haremos un seguimiento y estaremos expectantes a su evolución.

Algunos datos complementarios sobre Bugbear/Tanatos

Listado de asuntos entre los que elige para enviarse por e-mail:

Greets!
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!


Procesos que busca en el sistema infectado e intenta eliminar:

ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE




Otras noticias de interés:

LUBUS, de propagación masiva, borra archivos de diversas extensiones.
Lubus es un gusano reportado el 05 de Julio del 2002, de gran difusión masiva vía correo electrónico con un archivo anexado de nombre ANGEL1.PPT.vbs, que se propaga a través de la libreta de direcciones de MS Outlook y borra archivos del sistema....
Penumbra, un survival horror gratuito!!!
Penumbra es un proyecto realizado por sólo 4 estudiantes, con ayuda de algunas personas para la composición musical y otra serie de cosas. ...
Inyección SQL en Joomla 1.6
Ha sido publicada una vulnerabilidad de inyección SQL que afecta a la rama 1.6.0 del popular gestor de contenidos Joomla. El fallo ha sido descubierto por Aung Khant que forma parte de YGN Ethical Hacker Group. ...
Greenpeace: ciberactivistas de todo el mundo logran bloquear el web de Fomento
Miles de ecologistas de todo el mundo están enviando desde su ordenador mensajes de protesta por la detención del Rainbow Warrior, y para exigir su inmediata liberación, según Greenpeace, que afirma que a lo largo del viernes se bloqueó en dos o...
Reacción antivirus ante el gusano Bagle.AH/AI
En los últimos días han aparecido nuevas versiones del gusano Bagle, siendo la variante Bagle.AH o Bagle.AI (la denominación varía según el motor antivirus) la que ha conseguido mayores ratios de propagación. Hoy vamos a conocer los tiempos de ...
Torpark: forma anónima
Una versión modificada de Mozilla Firefox que permite al usuario navegar de forma anónima, ha sido lanzada recientemente. El navegador Torpark, puede ser almacenado u ejecutado desde una memoria USB (USB Memory Stick), lo que convierte efectivament...
Mozilla consigue reducir el consumo de memoria
Un nuevo parche ahorra hasta un 400 de memoria y evita las fugas de contenidos. Mozilla está trabajando con la capacidad de memoria de los componentes de Firefox, que gracias a la implementación de un nuevo parche ha conseguido reducir el consumo d...
Publicada el primer número de una revista hecha en Honduras, enfocada a GNU/Linux y Software Libre.
Su nombre es Informática Libre y aunque parece que será editada en papel para su venta, han liberado su primera edición en PDF y está lista para ser descargada....
Atención, Microsoft lo esta vigilando
La conexión a la Internet que se realice desde cualquier país del mundo utilizando una computadora que tenga instalado el sistema operativo WINDOWS, atrae de inmediato la atención de los perros de presa de la Microsoft Corporation....
Estudio acerca de la seguridad en la autenticación de clientes Twitter
INTECO-CERT ha elaborado un informe en el que se aborda el nivel de seguridad de la comunicación entre los clientes utilizados por los usuarios y el servicio central de difusión.de la conocida red social Twitter. En este informe se analizan los cli...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • abre
  • alerta
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusano
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • puerta
  • sabayon
  • seguridad
  • system
  • tanatos
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • trasera
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra