Widefense - Network Security Management

acceso clientes
defense monitor

»22/10/2007:Vulnerabilidad de RealPlayer - Octubre 2007 ============================================================================
»17/10/2007:Publicación de Actualizaciones de Seguridad de Oracle
»11/10/2007:Publicación de Actualizaciones de Seguridad de Microsoft - Octubre 2007
»23/08/2007:Trend Micro ServerProtect Stack Buffer Overflow Vulnerabilities
»21/08/2008:Variante de Zhelatin o Storm Worm
»16/08/2007:Actualizaciones de Seguridad de Microsoft - Agosto 2007
»16/08/2008:Gusano WORM_SDBOT.EXT
»03/08/2008:Nuevos virus utilizan macros de word
»26/07/2007:BIND 9 DNS Cache Server Poisoning Vulnerability
»26/07/2007:Hoax sobre feriado del 17 de Septiembre en Chile

Alerta de Seguridad :: Gusano WORM_SDBOT.EXT
============================================

FECHA: 16/08/2008

CRITICIDAD: BAJA

Resumen
=======

Se ha detectado una nueva variante del gusano WORM_SDBOT (Trend Micro).
Esta vez utiliza como principal método de propagación el sistema de
mensajería MSN Messenger.

Se puede apreciar en sitios de noticias internacionales, que existe
preocupación por esta variante, dado que puede ser transmitido como un
mensaje de MSN Messenger de personas en su lista de contactos, que se
encuentren con su PC infectado.

Impacto
=======
* Baja en el nivel de seguridad, debido a que deshabilita algunos
sistemas antivirus y firewall
* Pérdida del control vía mesa de ayuda, ya que deshabilita sistemas de
control remoto (winVNC)
* Apertura de una puerta trasera (backdoor)

Síntomas
========
* Presencia de los archivos: %WINDIR%\img1756.zip y %WINDIR%\svchost.exe
* Presencia de la línea de registro: HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
* Intentos de conexión al sitio IRC vpn.basecore.info

Método de infección
===================

El gusano es transmitido mediante uno de los siguientes mensajes:
* look @ my cute new puppy :-D
* look @ this picture of me, when I was a kid
* I just took this picture with my webcam, like it?
* check it, i shaved my head
* have u seen my new hair?
* what the fuck, did you see this?
* hey man, did you take this picture?

El mensaje contiene adjunto un archivo llamado img1756.zip, de 42Kb de
tamaño, el cual es el código del gusano pero de forma comprimida.

Mitigación, Solución y Recomendaciones
======================================
* Actualice su antivirus a las últimas firmas
* Bloquee el sitio Internet vpn.basecore.info
* No abra archivos adjuntos de MSN Messenger que no haya solicitado
* Desactive la funcionalidad de MSN Messenger

REFERENCIAS
===========
* http://www.darkreading.com/document.asp?doc_id=131362
*
http://uk.trendmicro-europe.com/consumer/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_SDBOT.EXT
* http://vil.nai.com/vil/content/v_142934.htm
*
http://www.symantec.com/security_response/writeup.jsp?docid=2007-080614-3458-99

Soporte en Linea
Autogestión de soporte en línea

Inicio | Quienes Somos | Contáctenos | Mapa del Sitio