- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)

Madrid, 7 de mayo de 2004 - Sin duda, la presente semana ha estado
protagonizada por la epidemia provocada a causa de la aparición de
cuatro
variantes del gusano Sasser. Sin embargo, otros códigos maliciosos han
hecho su aparición durante estos días. Así, en el presente informe de
virus,
además de a los ya mencionados gusanos, nos referiremos también a
Netsky.AC,
a tres nuevas herramientas de hacking llamadas DSScan, JohnTheRipper y
Brutus.A, así como al troyano Briss.A.

La aparición de las variantes A, B, C y D del gusano Sasser ha sido el
origen de una epidemia de considerables dimensiones que ha afectado a
usuarios de todo el mundo. Estos códigos maliciosos han sido diseñados
para
aprovechar una vulnerabilidad conocida como LSASS recientemente
descubierta
en algunas versiones de Windows. Así, no necesitan emplear vías de
propagación tradicionales para infectar los ordenadores, ya que son
capaces
de introducirse en ellos directamente a través de Internet. Los cuatro
gusanos Sasser son muy similares, y se diferencian en aspectos tales
como el
nombre de los archivos que crean en el sistema, o en el número de
procesos
en memoria que inician para poder propagarse.

Los gusanos Sasser provocan un desbordamiento de buffer que tiene como
resultado el reinicio del ordenador atacado cada 60 segundos. Para
resolver
este problema, además de detectar y desinfectar el sistema con un
antivirus
actualizado, es absolutamente necesario instalar el parche
proporcionado por
Microsoft para corregir la mencionada vulnerabilidad, y que puede ser
descargado desde
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.

Dado que los ordenadores se reinician de forma continuada cada minuto,
es
posible que no se disponga del tiempo suficiente para eliminar al
gusano
del PC y descargar el parche de Microsoft. Para evitar este
inconveniente,
una de las opciones que los usuarios tienen a su alcance para llevar a
cabo
ambas acciones consiste en atrasar la hora del reloj del sistema,
realizando
los pasos que se mencionan a continuación:

- Cuando aparezca la ventana indicando que el sistema va a reiniciarse,
hacer doble click sobre las cifras horarias que se muestran en la parte
inferior derecha del monitor.

- Tras abrirse la pantalla de configuración horaria poner, en el
recuadro en
el que aparece la hora y minutos, unas horas de retraso respecto a la
que
aparece.

Además, Panda Software ha puesto a disposición de los usuarios varias
herramientas de desinfección PQRemove. Estas aplicaciones no solamente
limpian los equipos que hayan podido resultar afectados por virus;
también
restauran las condiciones que tenían antes de sufrir el ataque.

Uno de los PQRemove es específico para redes, y elimina a Sasser y a
todas
sus variantes, de cualquier red que haya podido resultar afectada.
Puede
accederse a él en: http://www.pandasoftware.es/soporte. El resto de
aplicaciones PQRemove limpian cualquier ordenador que haya podido
resultar
infectado por alguno de los gusanos Sasser. Puede conseguirlas en la
dirección: http://www.pandasoftware.es/descargas/utilidades

Por su parte, Netsky.AC es una nueva variante de esta familia de
gusanos de
correo electrónico que viene azotando Internet desde hace meses. Sin
embargo, su interés radica en el mensaje que se oculta en su código,
haciendo alusión a que los creadores de los gusanos Netsky son los
mismos
que han programado a los gusanos Sasser:

Hey, av firms, do you know that we have programmed the sasser virus?!?.
Yeah
thats true! Why do you have named it sasser? A Tip: Compare the
FTP-Server
code with the one from Skynet.V!!! LooL! We are the Skynet...'
Here is an part of the sasser sourcecode you named so, lol

(Hey, compañías antivirus ¿sabéis que hemos programado el virus sasser?
¡Si,
es verdad! ¿Por qué le habéis llamado sasser? Una pista: comparad el
código
del servidor FTP con el de Skynet.V. Somos los Skynet...
Aquí está una parte del código fuente de sasser).

Sin embargo, mientras la detención de los delincuentes que han creado
estos
códigos maliciosos no llegue a término, los usuarios deben seguir en
guardia
ante la más que previsible aparición de nuevos virus. Teniendo en
cuenta la
forma en que se han llevado a cabo los ataques anteriores, es muy
probable
que los autores de los gusanos Sasser y Netsky estén finalizando la
creación
de algún código maligno extremadamente peligroso que -tal y como han
hecho
hasta ahora- pondrían en circulación durante el fin de semana.

Según Luis Corrons, director de PandaLabs: "Podría ser que el nuevo
intento
sea la creación de algún virus que combinase la propagación a través de
correo electrónico con el aprovechamiento de la vulnerabilidad LSASS.
De
esta manera, podrían saltarse la protección de los firewall que impiden
la
entrada de los gusanos Sasser. Esto sería especialmente peligroso para
las
empresas que, confiadas en la protección de los firewall, no hayan
instalado
los parches de Microsoft".

DSScan.A, JohnTheRipper y Brutus.A son tres nuevas herramientas de
hacking.
Se trata de aplicaciones legítimas, teóricamente diseñadas sin ánimo de
causar daño. Sin embargo, por sus funcionalidades, pueden ser empleadas
por
hackers para llevar a cabo acciones maliciosas.

DSScan.A es una herramienta de red que permite detectar los ordenadores
afectados por la vulnerabilidad LSASS. Por su parte, JohnTheRipper.A
permite
obtener contraseñas en ordenadores con sistemas operativos Unix o
Windows.

Brutus.A es un programa que permite averiguar contraseñas por el método
de
la fuerza bruta, es decir, probando sucesivamente cada una de las
posibilidades existentes hasta dar con la correcta.

Finalmente, Briss.A es un troyano que se coloca residente en memoria y
que
cada 24 horas instala en el ordenador otros malware sin consentimiento
del
usuario. Además, posee otras funcionalidades como la detección de las
pulsaciones de determinadas combinaciones de teclas.

Como otros muchos troyanos, Briss.A no puede propagarse por sus propios
medios, sino que precisa de la intervención de un usuario malicioso.
Para
ello, los medios empleados pueden ser -entre otros-: disquetes,
mensajes de
correo electrónico con ficheros adjuntos, descargas de Internet, etc.

Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

- Troyano/Caballo de Troya: en sentido estricto, un troyano no es un
virus,
aunque se considere como tal. Realmente se trata de un programa que
llega al
ordenador de manera encubierta, aparentando ser inofensivo, se instala
y
realiza determinadas acciones que afectan a la confidencialidad del
usuario
afectado.

- Vulnerabilidades: fallos o huecos de seguridad detectados en algún
programa o sistema informático, que los virus utilizan para propagarse
e
infectar.