GUSANO SPIDA.  Se está propagando vía servidores Microsoft SQL, puerto 1433/tcp, afectando los sistemas Microsoft SQL Server 7.0, Microsoft SQL Server 2000, Microsoft Data Engine 1.0 (MSDE 1.0) o Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) y sistemas ejecutando Tumbleweed's Secure Mail (MMS) versiones 4.3, 4.5 y 4.6. El "gusano" busca la cuenta privilegiada  SA con contraseña "en blanco" y si la encuentra, envía esta información a un servidor externo. Intenta usar la utilería xp_cmdshell para habilitar y colocar una contraseña para el usuario guest. De obtener el acceso, el "gusano" asigna al usuario guest a los grupos Administrator (local) y Domain Admins; se copia al sistema víctima; inhabilita la cuenta guest; pone el password sa igual que el de la cuenta guest; y ejecuta la copia en el sistema víctima. Una vez que la copia local se ejecuta en el sistema víctima, el "gusano" explora otros sistemas para infectarlos, afectando el tráfico de la red. Intenta enviarse una copia de la base de datos de passwords locales, informacion de configuración de la red y otra información de configuración del servidor SQL al correo-e ixtld@postone.com. La actividad de exploración del "gusano" puede ocasionar condiciones de negación de servicio en los sistemas comprometidos, se ha reportado que ocasiona altos volúmenes de tráfico incluso en redes sin hosts comprometidos. El posible atacante puede ejecutar comandos bajo el contexto de seguridad en el que se ejecuta MS SQL Server, típicamente privilegios a nivel de sistema.

RECOMENDACIONES: Checar que la password del administrator SA no esté "en blanco". Detectar si el sistema ha sido comprometido, identificando si han habido actividades de exploración de otros sistemas en el puerto 1433/tcp, intentos de enviar correo-e a ixtld@postone.com o si los siguientes archivos han sido creados:

• %SystemRoot%\System32\drivers\services.exe

• %SystemRoot%\System32\sqlexec.js

• %SystemRoot%\System32\clemail.exe

• %SystemRoot%\System32\sqlprocess.js

• %SystemRoot%\System32\sqlinstall.bat

• %SystemRoot%\System32\sqldir.js

• %SystemRoot%\System32\run.js

• %SystemRoot%\System32\timer.dll

• %SystemRoot%\System32\samdump.dll

• %SystemRoot%\System32\pwdump2.exe

Asigne una password a la cuenta sa en los servidores Microsoft SQL. Limite el acceso al puerto del Servidor SQL. Filtre las entradas y salidas del puerto 1433/tcp. Bloquee la salida de correo-e a la dirección ixtld@postone.com. Aplica el parche cumulativo que Microsoft ha liberado para resolver cuestiones de seguridad.   «Inicio de Página»

DIVULGACION DE UN FALSO BOLETIN DE SEGURIDAD DE MICROSOFT. Es un programa binario ejecutable escrito en Visual Basic que afecta a los sistemas Microsoft Windows. Conocido como W32/Gibe, el programa se difunde como un parche de seguridad a través del correo-e y disfrazado como un boletín de seguridad de Microsot. Es importante resaltar que Microsoft NO distribuye parches de software vía correo-e. Al ejecutar el supuesto parche de seguridad, el equipo es infectado al instalarse una puerta trasera, que escucha en el puerto 12378/tcp, y que puede permitir a un intruso el acceso al sistema y ejecutar comandos arbitrarios. También se propaga vía correo-e a las direcciones de correo-e de la Libreta de Direcciones de Microsoft Outlook del equipo infectado. El correo-e se ve como sigue:

From: Microsoft Corporation Security Center <rdquest12@microsoft.com>
To: Microsoft Customer <'customer@yourdomain.com'>
Subject: Internet Security Update
Attachment: q216309.exe

Microsoft Customer,

this is the latest version of security update, the "7 Mar 2002 Cumulative Patch" update which eliminates all known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer.

Description of several well-know vulnerabilities:

- "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" vulnerability. If a malicious user sends an affected HTML e-mail or hosts an affected e-mail on a Web site, and a user opens the e-mail or visits the Web site, Internet Explorer automatically runs the executable on the user's computer.

- A vulnerability that could allow an unauthorized user to learn the location of cached content on your computer. This could enable the unauthorized user to launch compiled HTML Help (.chm) files that contain shortcuts to executables, thereby enabling the unauthorized user to run the executables on your computer.

- A new variant of the "Frame Domain Verification" vulnerability could enable a malicious Web site operator to open two browser windows, one in the Web site's domain and the other on your local file system, and to pass information from your computer to the Web site.

- CLSID extension vulnerability. Attachments which end with a CLSID file extension do not show the actual full extension of the file when saved and viewed with Windows Explorer. This allows dangerous file types to look as though they are simple, harmless files - such as JPG or WAV files - that do not need to be blocked.

System requirements:
Versions of Windows no earlier than Windows 95.

This update applies to:
Versions of Internet Explorer no earlier than 4.01
Versions of MS Outlook no earlier than 8.00
Versions of MS Outlook Express no earlier than 4.01

How to install
Run attached file q216309.exe

How to use
You don't need to do anything after installing this item.

For more information about these issues, read Microsoft Security Bulletin MS02-005, or visit link below.
http://www.microsoft.com/windows/ie/downloads/critical/default.asp
If you have some questions about this article contact us at rdquest12@microsoft.com

Thank you for using Microsoft products.

With friendly greetings,
MS Internet Security Center.
----------------------------------------
----------------------------------------
Microsoft is registered trademark of Microsoft Corporation.
Windows and Outlook are trademarks of Microsoft Corporation.

El archivo infectado tiene las siguientes características:
Nombre: q216309.exe
MD5: 739f917f746eb124514155cf36de5111
Tamaño: 122880

Al ejecutarse, parece que está instalando una actualización de seguridad de Microsoft. Aunque despliega ventanas de diálogo, se ejecuta sin considerar las respuestas del usuario en dichas ventanas. Hacer click en "Cancel" no detendrá la ejecución del programa con el código malicioso. Durante la ejecución, W32/Gibe crea los siguientes archivos en el directorio raíz de Windows del sistema local:

Q216309.exe (copia del código malicioso)
Vtnmsccd.dll (copia del código malicioso)
BcTool.exe (componente para correos-e masivos)
WinNetW.exe (buscador de direcciones de correo-e)
GFXacc.exe (programa troyano con la puerta trasera)
El programa también crea el archivo 02_N803.dat en el directorio Windows para almacenar direcciones de correos-e recopiladas de la libreta de direcciones de Microsoft Outlook.

Los siguientes valores son agregados al Registry del sistema para asegurarse de que las funciones de correos masivos y de puerta trasera se ejecuten cada vez que el sistema reinicie:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
LoadDBackUp = C:\Windows\BcTool.exe
3Dfx Acc = C:\Windows\GFXacc.exe

HKEY_LOCAL_MACHINE\Software\AVTech\
Installed = ...by Begbie
Default Address = (default email address)
Default Server = (default SMTP server)

RECOMENDACIONES: Eliminar los archivos infectados del sistema. Si el programa malicioso no ha sido ejecutado, borrarlo junto con el correo-e que lo contiene. Si el programa ya se ejecutó, es posible deshacerse del W32/Gibe borrando todos sus componentes en el equipo infectado. Sin embarg, éste es un proceso incompleto ya que no se borrarán las entradas en el Registro del Sistema (Registry). Por ello se recomienda ejecutar software antivirus para reparar el sistema y borrar los archivos asociados.   «Inicio de Página»

ATAQUES DE INGENIERIA SOCIAL VIA IRC e INSTANT MESSAGING. Afecta a los sistemas que ejecutan productos cliente de Internet Relay Chat (IRC) o Instant Messaging (IM). El atacante engaña al usuario para que descargue y ejecute software malicioso, que permite al atacante usar el sistema del usuario como plataforma para iniciar ataques distribuidos de negación de servicio (DDoS). Según el CERT, decenas de miles de sistemas han sido comprometidos de esta manera recientemente. El atacante usa herramientas automatizadas para poner mensajes al usuario de los servicios IRC o IM. Los mensajes ofrecen la oportunidad de descargar software, música, anti-virus o pornografía. Una vez que el usuario descarga y ejecuta el software, su sistema es coptado por el atacante para usarlo como un agente en un ataque DDoS. El siguiente es un ejemplo de tales mensajes:

You are infected with a virus that lets hackers get into your machine and read ur files, etc. I suggest you to download [malicious url] and clean ur infected machine. Otherwise you will be banned from [IRC network].

Utiliza una estrategia de ingeniería social, ya que es la decisión del usuario para descargar y ejecutar el software, el factor decisivo para que el ataque sea o no exitoso. El atacante puede ejercitar el control remoto del sistema infectado, descubrir datos confidenciales, instalar más software malicioso y cambiar o borrar archivos. Además a través del equipo infectado se compromete la seguridad del o los sitios a los que apuntan los agentes DDoS. 
RECOMENDACIONES: Ejecutar y mantener en ejecución software antivirus. No ejecutar programas de origen dudoso.   «Inicio de Página»