¡ALERTA DE VIRUS! .....** Zotob **

Estimado suscriptor:

Enviamos esta alerta de interés para todos los usuarios bajo sistema Windows 2000, Windows Server 2003 y Windows XP.

Nombre: Zotob@mm. La vulnerabilidad es aprovechada también por variantes del Rbot@mm.

Presentación: Es un gusano de propagación masiva que está infectando las computadoras con Windows 2000 en las que no se instaló la actualización MS05-0039. Aprovecha la vulnerabilidad en el Plug-and-Play que puede ser explotada de forma remota por un usuario anónimo. También

Contenido: Código maligno que se instala en la PC, provocando malfuncionamiento y fallas de operación en PC aisladas y en sistemas en redes que comparten archivos y aplicaciones.

Modalidad de ataque: Explota la vulnerabilidad de la especificación plug-and-play de los sistemas Windows que afecta. Los índices de dispersión alcanzan un grado medio ya que infecta a través del puerto TCP/445, lo que dificulta su propagación por Internet porque los firewalls perimetrales y personales filtran este puerto en sus configuraciones por default.

* Busca sistemas vulnerables que no hayan instalado el parche MS05-039, para lo que lanza 16 procesos para barrer aleatoriamente la clase B de la IP del sistema infectado en busca de sistemas con el puerto TCP/445 abierto.

* Cuando encuentra un sistema no actualizado, aprovecha la vulnerabilidad en Plug-and-Play para abrir un shell en el puerto TCP/8888, a través del cual llama al FTP.EXE para realizar la descarga del gusano (archivo haha.exe) desde un servidor FTP hospedado en el puerto TCP/33333 del sistema previamente infectado desde el que partía el ataque.

* Una vez que se ejecuta en el nuevo sistema, crea un archivo botzor.exe en la carpeta de sistema de Windows y las siguientes entradas en el registro de Windows para asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WINDOWS SYSTEM" = "botzor.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"WINDOWS SYSTEM" = "botzor.exe"

* Modifica el archivo hosts del sistema para que los dominios web de los antivirus apunten a la dirección 127.0.0.1 (localhost), como estrategia para impedir que los sistemas infectados puedan actualizar el antivirus o utilizar herramientas para su localización y desinfección.

* Intenta conectarse a un servidor IRC desde donde el gusano puede recibir órdenes de sus creadores, como descargar e instalar nuevas versiones del gusano.

Afecta a los sistemas: Windows 2000, Windows Server 2003 y Windows XP. Pero solamente las PC con Windows 2000 son susceptibles de ataques remotos. También los sistemas en red bajo este sistema operativo.

NO afecta a los sistemas: Windows 95/98/Me, DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX

Categoría de peligrosidad: categoría 4 (severa), en una escala de 1 a 5 .

Recomendación:

Actualmente se encuentra en estado de dispersión por lo que se recomienda actualizar el sistema operativo (la actualización MS05-0039) de Microsoft en http://www.microsoft.com

Otra forma de chequear su PC es correr un antivirus on line (desde internet). Lo puede hacer si hace clic en el siguiente link:

http://www.symantec.com/securitycheck

Por cualquier consulta estamos a su disposición en la dirección info@visorsal.com

 

VISOR Servicios Internet - www.visorsal.com

Si desea ver otras alertas emitidas durante el período 2004-2005 haga clic AQUI

Suscríbase GRATIS a nuestro Boletín Quincenal VISOR

clic AQUI

Novedades en Internet, Consejos, Marketing, Humor, Leyes de Murphy y más...

Esta alerta es una gentileza de VISOR Servicios Internet - Si no desea seguir recibiéndola haga clic AQUI