E-mail

Password

»22/10/2007:Vulnerabilidad de RealPlayer - Octubre 2007 ============================================================================
»17/10/2007:Publicación de Actualizaciones de Seguridad de Oracle
»11/10/2007:Publicación de Actualizaciones de Seguridad de Microsoft - Octubre 2007
»23/08/2007:Trend Micro ServerProtect Stack Buffer Overflow Vulnerabilities
»21/08/2008:Variante de Zhelatin o Storm Worm
»16/08/2007:Actualizaciones de Seguridad de Microsoft - Agosto 2007
»16/08/2008:Gusano WORM_SDBOT.EXT
»03/08/2008:Nuevos virus utilizan macros de word
»26/07/2007:BIND 9 DNS Cache Server Poisoning Vulnerability
»26/07/2007:Hoax sobre feriado del 17 de Septiembre en Chile

Alerta de Seguridad :: Variante de Zhelatin o Storm Worm
========================================================

FECHA: 21/08/2008

CRITICIDAD: MEDIA

Resumen
=======

Se ha detectado un ataque masivo de un nuevo virus, que se sospecha es
una variante de "Zhelatin". Utiliza como método de propagación un email
que incita al usuario víctima a descargar el malware desde un sitio
malicioso.

Lo que causa impresión, es que cada cierto intervalo de tiempo el virus
cambia su cuerpo, cifrándolo, con el objetivo de evadir la detección de
los antivirus. De esta forma, muy pocos antivirus detectan actualmente
esta amenaza.

El virus tiene un tamaño aproximado de 114Kb y de los ataques
detectados, un 60% provienen de USA.

Impacto
=======
* Exceso de tráfico Internet, podría causar negación de servicio
* Aumento en el nivel de spam

Síntomas
========
* Presencia de los archivos: %WINDIR%\spooldr.exe t %WINDIR%\system32
\spooldr.sys
* Presencia de la línea de registro: HKLM\System\CurrentControlSet
\Control\Session Manager\PendingFileRenameOperations = C:\Windows
\system32\drivers\OLD3.tmp o similar.

Método de infección
===================

El virus se propaga mediante un mensaje de correo electrónico de las
siguientes características:

ASUNTO (varía):
---------------

Member Details
Membership Details
Login Info
Welcome Letter
...y otros similares

CUERPO DEL MENSAJE(varía):
--------------------------
Dear Member,

Welcome To Mobile Fun.

Confirmation Number: XXXXXXXXXXXXX
Login ID: UUUUUUUU
Temp Password ID: MMMMMM

Be Secure. Change your Login ID and Password.

This link will allow you to securely change your login info:
http://a.b.c.d/

Welcome,
New Member Services
Mobile Fun

El mensaje incita al usuario a visitar una página web maliciosa, la cual
contiene alojado el malware. Esta página posee el siguiente contenido:

If you do not see the Secure Login Window please install our Secure
Login Applet.

Una vez que el usuario visita la página, el malware puede autoejecutarse
mediante la explotación de la vulnerabilidad "Windows Media Player
Plug-In EMBED Overflow", en equipos con esta vulnerabilidad, pero si
esto falla, en este contenido hay un link mediante el cual el propio
usuario podría descargar el archivo malicioso "applet.exe".

Una vez que el usuario descarga el malware, lo debe ejecutar, para que
este levante un servicio de páginas web http, sirviendo la página
descrita anteriormente con el contenido actualizado apuntando a la IP
actual.

Luego, comienza un ciclo de envío del mensaje spam descrito
anteriormente.


Mitigación, Solución y Recomendaciones
======================================

* No abrir mensajes que no se espera recibir
* Bloquear la descarga de archivos ejecutables (.EXE) en el filtro de
contenido http
* Bloquear los adjuntos al correo, que sean de tipo ejecutable (.EXE)

A los clientes del servicio administrado de seguridad ya se les han
aplicando estas medidas.

REFERENCIAS
===========

* http://isc.sans.org/diary.html?storyid=3298
* http://blog.misec.net/

Soporte en Linea 
Autogestión de soporte en línea

Inicio | Quienes Somos | Contáctenos | Mapa del Sitio