NUEVO VIRUS STDBOT (KIBUV.A), ENTRA POR RPCDCOM Y POR LSASS

Cerrado
Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93125
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

NUEVO VIRUS STDBOT (KIBUV.A), ENTRA POR RPCDCOM Y POR LSASS

Mensaje por msc hotline sat » 17 May 2004, 12:07

Ha aparecido un nuevo virus que ha sido controlado como STDBOT por McAfee, alias KIBUV.A , el cual entra por el agujero RPCDCOM, como inicialmente el Blaster, y luego muchos otros como los Gaobot, Raleka, Nachi, actualmente cubiertos por el parche acumulativo MS04-012 al respecto, y por otro lugar aprovecha el nuevo agujero del LSASS, típicos del SASSER y del Cycle, que resuelve el parche MS04-011, por lo cual son necesarios ambos para evitar el nuevo bicho STDBOT alias KIBUV.A



Pendientes de que McAfee nos ofrezca una descripcion del mismo, adelantamos esta informacion de vsantivirus al respecto, y las utilidades de eliminacion:



https://foros.zonavirus.com/viewtopic.php?t=737



NOTA: En el siguiente post, descripcion según McAfee con la deteccion como STDBOT.worm, yb al final de este post, links a utilidades de eliminacion



__________________________________________





W32/Kibuv.A. Utiliza vulnerabilidades LSASS y RPC/DCOM

http://www.vsantivirus.com/kibuv-a.htm



Nombre: W32/Kibuv.A

Tipo: Gusano de Internet

Alias: Kibuv, W32.Kibuv.Worm, BloodHound.Packed, Win32/Kibuv.A

Fecha: 14/may/04

Plataforma: Windows 32-bit

Tamaño: 11,776 bytes (UPX)

Puertos: TCP 135, 445, 9604, 420, 5300



Este gusano se vale de dos conocidas vulnerabilidades para propagarse.



La primera, es un desbordamiento de búfer en los procesos RPC/DCOM que afecta a equipos ejecutando Windows XP y 2000 sin el parche respectivo (ver http://www.vsantivirus.com/vulms03-026-027-028.htm y http://www.vsantivirus.com/vulms04-012.htm).



RPC (Llamada a Procedimiento Remoto), es un protocolo que proporciona a Windows un mecanismo de comunicación entre procesos para que un programa que se está ejecutando en un equipo ejecute fácilmente código en un equipo remoto. La vulnerabilidad afecta las interfaces del protocolo DCOM. DCOM (Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto de interfaces que permiten a los clientes y servidores comunicarse. Usando una interfase DCOM, un programa puede iniciar una Llamada de Procedimiento Remoto (RPC) a un objeto de otro programa. Este fallo es explotado también por el gusano Lovsan (Blaster).



La segunda vulnerabilidad aprovechada, es la que afecta al proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm), de la que también se vale el gusano Sasser. El fallo afecta a las computadoras que estén ejecutándose bajo Windows XP o 2000, sin el parche MS04-011 instalado.



LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.



Antes de infectar un equipo, el gusano examina si el mismo ya lo está. En caso de detectar una infección anterior provocada por él mismo, no vuelve a infectarlo por segunda vez.



Si la computadora no ha sido infectada antes, agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Vote For Kerry = KillBush.exe



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Vote For Kerry = KillBush.exe



Enseguida, ejecuta en el equipo actual, un servidor FTP en el puerto TCP/9604, el cuál utiliza luego para propagarse a otros equipos.



Lanza un segundo hilo de ejecución, con el cuál habilita una función de escucha a través del puerto TCP/420. De acuerdo a los parámetros recibidos por esta conexión, este hilo contiene el código para enviarse a si mismo a otra víctima con el nombre de KILLBUSH.EXE y luego ejecutarse allí.



También puede contener el código para descargar archivos con nombres al azar (6 caracteres al azar y la extensión .EXE), y luego ejecutarlos en el equipo infectado.



El gusano genera direcciones IP al azar a las cuáles intenta infectar.



Primero, intenta propagarse a dichas direcciones, a través del puerto TCP/135, copiándose en las computadoras que no poseen el parche para la vulnerabilidad DCOM/RPC. Esto solo ocurre en Windows 2000 y XP (también es vulnerable Windows Server 2003).



Si tiene éxito, puede crear un proceso oculto que habilita un shell (una consola de comandos), abierto en un puerto TCP al azar, el que además puede permitir a un usuario remoto el ingreso de casi cualquier tipo de instrucción que comprometa al sistema.



El gusano utiliza a su vez el shell abierto en un equipo remoto, para reconectarse al servidor FTP en la computadora actual (puerto TCP/9604), enviando y ejecutando una copia de si mismo a la máquina remota.



Finalmente, el gusano intenta infectar otros equipos utilizando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem). Si la conexión es exitosa, el gusano envía un código para abrir en el equipo remoto, un shell en el puerto TCP/5300.



Luego, utiliza dicha consola de comandos para reconectarse con el servidor FTP del equipo actual (puerto TCP/9604), enviando y ejecutando una copia de si mismo a la máquina remota.





Reparación manual



Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.



ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).



Más información:



Cómo configurar Zone Alarm 3.x

http://www.vsantivirus.com/za.htm





IMPORTANTE:



Antes de cualquier otra acción a tomar para la limpieza del gusano:



1. Instalar parches para la vulnerabilidad LSASS (MS04-011)



MS04-011 Actualización crítica de Windows (835732)

http://www.vsantivirus.com/vulms04-011.htm



2. Instalar parches para la vulnerabilidad RPC/DCOM (MS04-012)



MS04-012 Parche acumulativo para RPC/DCOM (828741)

http://www.vsantivirus.com/vulms04-012.htm





Deshabilitar los recursos compartidos



Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.





Antivirus



Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:



1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:



Cómo iniciar su computadora en Modo a prueba de fallos.

http://www.vsantivirus.com/faq-modo-fallo.htm



2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.



3. Borre los archivos detectados como infectados por el virus.





Editar el registro



1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER



2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:



HKEY_LOCAL_MACHINE

\SOFTWARE

\Microsoft

\Windows

\CurrentVersion

\Run



3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:



Vote For Kerry



4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:



HKEY_LOCAL_MACHINE

\SOFTWARE

\Microsoft

\Windows

\CurrentVersion

\RunServices



5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:



Vote For Kerry



6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.



7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).





Información adicional



Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)



Para activar ICF en Windows XP, siga estos pasos:



1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).



2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.



3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.



4. Seleccione Aceptar, etc.



__________________________________________



Pata su eliminacion hemos implementado su limpieza tanto en la utilidad ELIRPCA, v 4.8b, como con el ELILSA desde la v 1.1b, ambas disponibles en esta web.



https://foros.zonavirus.com/viewtopic.php?t=737









saludos



ms, 17-05-2004
Última edición por msc hotline sat el 18 May 2004, 11:47, editado 1 vez en total.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93125
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 18 May 2004, 11:13

Conforme deciamos ayer, cuando McAfee nos ofrece la descripcion de este virus, pasamos a ofrecerla, si bien lo detecta con otro nombre: STDBOT:



__________________________________________



Virus Name Risk Assessment

W32/Stdbot.worm Corporate User : Low

Home User : Low







Virus Information

Discovery Date: 05/14/2004

Origin: Unknown

Length: Varies

Type: Virus

SubType: Internet Worm

Minimum DAT: 4361 (05/19/2004)

Updated DAT: 4361 (05/19/2004)

Minimum Engine: 4.2.40

Description Added: 05/17/2004

Description Modified: 05/17/2004 1:40 PM (PT)

Description Menu

Virus Characteristics

Symptoms

Method Of Infection

Removal Instructions

Variants / Aliases

Rate This page

Print This Page

Email This Page

Legend







Virus Characteristics:

This is a self-executing worm that spreads over local networks and the Internet. It locates vulnerable systems on networks and automatically instructs them to download and execute the worm.



This worm spreads by exploit the following Microsoft Windows vulnerabilities:



MS04-011 http://www.microsoft.com/en/us/default.aspxtechnet/security/bulletin/MS04-011.mspx

MS03-039 http://www.microsoft.com/en/us/default.aspxtechnet/security/bulletin/MS03-039.mspx

The worm scans IP addresses sequential on TCP port 445, looking for vulnerable systems. Vulnerable systems are exploited to instruct them to retrieve FTP commands via TCP port 420 from the infecting host. These commands are saved to the local file sh3ll and passed to FTP.EXE. The worm listens on TCP port 9604 to serve the virus via FTP to victims. The victim systems download and execute the virus from an infected host as KillBush.exe.



Top of Page



Symptoms

When run, the worm creates two registry keys to attempt to load the worm at system startup.



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Run "Vote for Kerry" = path to virus

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunServices "Vote for Kerry" = path to virus



Top of Page



Method Of Infection

This worm spreads by exploiting buffer overflow vulnerabilities in Microsoft Windows.

Top of Page



Removal Instructions

Detection is included in our DAILY DAT (beta) files and will also be included in the next weekly DAT release. In addition to the DAT version requirements for detection, the specified engine version (or greater) must also be used.

Additional Windows ME/XP removal considerations



Top of Page



Variants

Name Type Sub Type Differences



Top of Page



Aliases

Name

W32.Kibuv.Worm (Symantec)



__________________________________________



Como puede verse al final, se indica como alias el KIBUV que indicabamos ayer, por lo que deberemos aceptar que se detecte como uno u otro según el antivirus usado.



En cualquier caso, con el ELILSA.EXE v 1.1b se controla, independientemente de como se le llame.



saludos



ms, 18-05-2004

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93125
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 18 May 2004, 14:05

y de la misma familia, ya ha llegado muestra a McAfee de la variante B, que proximamente estará mas documentada, pero que de momento se lanza una primicia informativa:



__________________________________________



Virus Name Risk Assessment

W32/Stdbot.worm.b Corporate User : Low

Home User : Low







Virus Information

Discovery Date: 05/18/2004

Origin: Unknown

Length: 18,976 bytes

Type: Virus

SubType: Internet Worm

Minimum DAT: 4361 (05/19/2004)

Updated DAT: 4361 (05/19/2004)

Minimum Engine: 4.2.40

Description Added: 05/18/2004

Description Modified: 05/18/2004 3:24 AM (PT)

Description Menu

Virus Characteristics

Symptoms

Method Of Infection

Removal Instructions

Variants / Aliases

Rate This page

Print This Page

Email This Page

Legend







Virus Characteristics:

AVERT has received a sample of this threat and is currently in the process of analyzing it. Details will be posted when they are available. Please check back shortly.

Top of Page



Symptoms



Top of Page



Method Of Infection



Top of Page



Removal Instructions

All Users:

Use specified engine and DAT files for detection and removal.



Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).



Additional Windows ME/XP removal considerations



Top of Page



Variants

Name Type Sub Type Differences



Top of Page



Aliases

Name

W32.Kibuv.B (Symantec)



__________________________________________



Próximamente se dará mas informacion.



saludos



ms, 18-05-2004

Cerrado

Volver a “ALERTAS VIRICAS y utilidades de eliminacion”