Categoría: Digital

Capturados los autores del Sasser, del Netsky y del Agobot 08-05-2004

Un estudiante alemán de la preparatoria, de 18 años, ha sido capturado este viernes por la policía, acusado de ser el creador del Sasser, el gusano que empezó a propagarse masivamente el pasado fin de semana. Su captura surgió a partir de la información de quienes buscaban la jugosa recompensa ofrecida por Microsoft para otros gusanos. Una nueva versión del Sasser (la «E»), fue reportada apenas 10 horas después de confirmado el arresto, y se piensa que la misma fue liberada por el autor ahora detenido, poco antes de su captura.

El adolescente, cuyo nombre no fue revelado, fue detenido el viernes en la aldea
septentrional de Waffensen (Rotenburg), al norte de Alemania, después
que informantes que buscaban una jugosa recompensa de parte de Microsoft aportaron
información relevante a las autoridades.

En una búsqueda en el hogar de la familia del acusado,
los investigadores alemanes confiscaron su computadora personal, la cuál
contiene el código fuente del gusano, punto crucial para comprometer
seriamente al joven.

«Como resultado del detallado testimonio del estudiante
acerca de los virus que él creó y propagó, ha sido identificado
claramente como su autor», dijo este sábado la oficina criminal
de Hanover en una declaración pública. Su portavoz, Detlef Ehrike,
agregó que la investigación es por la sospecha de sabotaje de
computadoras, cargo que posee una pena máxima de cinco años de
prisión.

Después de ser interrogado, el adolescente fue liberado
de otras acusaciones pendientes.

Microsoft dijo que los informantes se contactaron el miércoles,
ofreciendo información acerca del creador del gusano. Los investigadores
de la compañía trabajaron con las autoridades alemanas, el FBI
y agentes del Servicio Secreto, rastreando el origen del virus a partir del
análisis de su código fuente, dijo Brad Smith, abogado principal
de Microsoft.

Smith no dijo cuántas personas aportaron información
ni cómo ellos obtuvieron la misma. «Los informantes eran individuos
que estaban enterados de quién era el autor, no llegaron a él
a través de un análisis técnico», explicó Smith.

Sasser es un gusano que se vale de una vulnerabilidad en Windows
para propagarse. No llega por correo electrónico ni necesita ser ejecutado
con un doble clic por un usuario desprevenido para infectar una computadora.
Solo basta que la computadora esté conectada a Internet sin la protección
de un cortafuego, y que esté ejecutando una versión de Windows
XP o 2000 sin los últimos parches de seguridad de Microsoft instalados.

Se estiman en más de 18 millones los equipos infectados
por el Sasser apenas 72 horas después de la primera infección,
ocurrida un sábado, cuando además en la mayoría de los
países era feriado por conmemorarse el día de los trabajadores.
Por esta razón, recién el lunes, cuando empresas y organizaciones
comenzaron su jornada habitual de trabajo, se empezó a sentir todo el
impacto y el verdadero alcance de la infección.

Sasser hace que las computadoras infectadas se reinicien continuamente,
impidiendo no solo su uso normal, sino también dificultando las tareas
de desinfección.

El adolescente dijo a los funcionarios que su intención
original era crear un virus llamado «Netsky.A» para combatir al «Mydoom»
y al «Bagle», borrándolos de las computadoras infectadas. En
el transcurso de este esfuerzo, fue que surgió el Sasser.

«El estudiante no pensó en las consecuencias o
el daño resultante,» dijeron los investigadores.

El Netsky, es el gusano con el mayor reporte de equipos infectados
en los últimos meses, y figura en los primeros lugares en la mayoría
de los países incluida España y toda Latinoamérica.

El Sasser afectó a bancos, hospitales, agencias de gobierno,
aerolíneas, ferrocarriles, y millones de usuarios domésticos en
el mundo entero, causando daños colaterales de billones de dólares,
según algunas estimaciones.

Sasser puede examinar automáticamente Internet en busca
de computadoras con la vulnerabilidad mencionada, para luego enviarse a las
mismas e infectarlas.

La oficina del gobierno alemán que maneja la seguridad
tecnológica en ese país, ha dicho que existen cuatro versiones
del Sasser. Según el portavoz Michael Dickopf, la primera versión
parece creada por un aficionado. Las últimas tienen notorias diferencias
en su capacidad para causar daño.

La policía confirmó que el adolescente alemán
es el responsable de las cuatro versiones del Sasser, además de todas
las variantes conocidas del Netsky.

Investigadores de Microsoft dijeron a los informantes, que
ellos recibirían sus 250,000 dólares si la información
aportada fue la que finalmente contribuyó al arresto. En agosto del año
pasado, la compañía había ofrecido dicha cifra por información
que llevara a la captura del autor de otro gusano, el Blaster, pero nada había
dicho hasta ahora sobre recompensas para capturar al autor del Sasser.

Para Smith, este arresto «es un claro signo del funcionamiento
de la política de las recompensas», y agregó: «Creemos
que esto es un paso hacia adelante muy importante en la lucha de la industria
contra la divulgación de código malicioso en Internet».

Mientras tanto, fiscales alemanes en Stuttgart, dijeron que
un hombre de 21 años, actualmente desocupado, fue detenido también
el viernes en Loerrach, en la frontera de Alemania con Suiza, confesando haber
creado junto con otros piratas informáticos, el gusano llamado «Agobot»
(o Gaobot) y «Phatbot».

Los fiscales, que actuaron después de recibir información
de autoridades norteamericanas, dijeron que no existía ninguna indicación
de que hubiera alguna relación entre esta persona y el autor del Sasser.

* Ultimo momento [09/05/2004, UTC/GMT 08:17]

Una nueva versión del Sasser (la «E»), fue
reportada apenas 10 horas después de confirmado el arresto, y en las
primeras horas del domingo 9 de mayo se han empezado a recibir varios reportes
de la misma. Se piensa que dicha versión fue liberada por el autor ahora
detenido, poco antes de su captura.

11 de mayo de 2004

CAMBIO DEL SERVIDOR ADSL/RTB DE LOS EMPLEADOS

La Dirección de la Caja nos acaba de comunicar el cambio inminente de servidor de las líneas de alta velocidad que tenemos los empleados adheridos al Proyecto Internet en Casa, desde e-business a Terra.

Cuando conozcamos todos los detalles realizaremos una valoración más amplia, si bien podemos anticipar que, con este cambio, es previsible que se acometan problemas y situaciones cuya solución venía demandando CC.OO., como la apertura del router, para posibilitar la conexión de varios equipos; o la simplificación y clarificación de los procesos relacionados con la asistencia técnica.

4 de mayo de 2004

Nuevo Virus/gusano informático Sasser

El pasado 1 de Mayo se activó un nuevo virus informático al que se ha llamado Sasser y que por su daño y su elevada difusión se ha catalogado como muy peligroso.

VIRUS:
WIN32/SASSER.A

nombre: Win32/Sasser.A
aliases: Sasser, W32/Sasser-A, W32/Sasser.worm, W32/Sasser.A, WORM_SASSER.A
tipo: Gusano de Internet
fecha: 01/05/2004
tamaño: 15,872
Bytes
destructivo: Si
origen: Desconocido

· INFORMACION
Gusano que se propaga utilizando la vulnerabilidad en el proceso LSASS (Local
Security Authority Subsystem), reparada por Microsoft en el parche MS04-011.
Solo afecta computadoras bajo Windows XP o 2000, que no posean dicho parche
instalado.

· CARACTERISTICAS
Existe una posible infección cuando se producen continuos cuelgues del
proceso LSASS.EXE, y existe el siguiente archivo en el sistema:

c:win.log

Se genera tráfico
excesivo en los siguientes puertos TCP:

445, 5554 y 9996

Análisis:

El gusano es un archivo
de 15,872 bytes.

El gusano se copia a si
mismo en la carpeta de Windows con el siguiente nombre:
c:windowsavserve.exe

NOTA: La carpeta «c:windows»
puede variar de acuerdo al sistema operativo instalado («c:winnt»
en NT, «c:windows», en 9x, Me, XP, etc.).

También crea el
siguiente archivo:
c:win.log

Modifica la siguiente entrada
en el registro para autoejecutarse en cada reinicio de Windows:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
avserve = c:windowsavserve.exe

El gusano inicia 128 hilos
de ejecución para escanear direcciones IP seleccionadas al azar por el
puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto
para el servicio vulnerable).

Esto ocasiona a veces,
el fallo de las computadoras que no tienen el parche MS04-011 instalado.

En Windows XP, muestra
una ventana con un mensaje muy similar al siguiente:

En Windows 2000 se muestra una ventana casi idéntica a la provocada en
Windows XP por el gusano Blaster (Lovsan):

El gusano detecta la versión
del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows
2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no
son vulnerables.

Si el ataque es exitoso,
un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.

A través del shell,
se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora
infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho
equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano
propiamente dicho (con el nombre #_UP.EXE), provocando la infección.

El servidor FTP escucha
por el puerto TCP/5554 en todos los equipos infectados, con el propósito
de permitir la descarga del gusano en otros sistemas que así también
son infectados.

El archivo C:WIN.LOG registra
todas las transacciones FTP realizadas.

El gusano crea el siguiente
mutex para no ejecutarse más de una vez en memoria:

Jobaka3l

El uso de un cortafuego
personal, disminuye el riesgo de infección.

· INSTRUCCIONES PARA ELIMINARLO

1. Descargue
e instale el parche MS04-011 y luego reinicie el equipo:

Microsoft Security Bulletin
MS04-011
www.microsoft.com/technet/security/bulletin/ms04-011.mspx

2. Desde
Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del
sistema.

3. Elimine
bajo la columna «Nombre», la entrada «avserve», en la siguiente
clave del registro:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

4. En
Windows NT, 2000 y XP, abra la siguiente clave del registro:

HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon

5. Cierre
el editor del registro.

6. Reinicie
el equipo y ejecute un antivirus actualizado para eliminar toda presencia del
gusano.

3 de mayo de 2004

CCOO Banesto en la nueva página web de Comfia

Desde enero de 2000, contamos con la presencia en Internet de una página web cuyo propósito ha sido, estableciendo una vía de comunicación adaptada a las nuevas tecnologías, poner a disposición de los trabajadores de Banesto toda la información generada por esta Sección Sindical y dar cuenta de nuestras actuaciones. A partir de ahora, nuestra página se integra en la nueva web de Comfía.

Los trabajos de desarrollo de la nueva página web de la Federación, responden al mandato del último Congreso Federal celebrado en Valencia. En él se debatió la importancia de la comunicación a todos los niveles, y la necesidad de utilizar de la mejor manera posible todas las tecnologías disponibles, con el objetivo de tener abiertos todos los canales de comunicación con los trabajadores

Hasta la celebración del Congreso, las distintas estructuras de la Federación disponíamos básicamente de los medios de comunicación tradicionales (circulares, revistas, etc.), y al mismo tiempo, íbamos desarrollando las nuevas posibilidades que ofrece Internet, mediante la confección de páginas web y la utilización del correo electrónico.

Las páginas de los distintos Territorios, Secciones Sindicales, e incluso de la propia Federación, eran páginas estáticas. Esta situación provocaba un problemas importante: la dispersión y segmentación de la información, ya que la comunicación de contenidos entre las distintas páginas era, por su naturaleza imposible. La consecuencia para nuestros visitantes era la dificultad para localizar una información concreta, y, en muchos casos, la repetición de contenidos. Por ejemplo, si una Sección Sindical producía una información concreta sobre Salud Laboral y la “colgaba” de su página, solo era accesible para los visitantes de dicha página, quedando oculta, a pesar de su posible interés general, al resto de los usuarios. Las páginas estáticas, también tienen el problema de que no facilitan la comunicación en las dos direcciones: es muy sencillo emitir la información que se desea, pero al mismo tiempo, las posibilidades para recoger la información en sentido inverso, muy escasas, limitándose en la mayoría de los casos, a la publicación de una dirección de correo electrónico para que los usuarios pudieran contactar con la organización.

La nueva página de Confía responde a esos problemas y aporta los mecanismos necesarios para que la circulación de la información sea mucho más ágil y esta pueda ser compartida. Así, los documentos generados por las distintas estructuras del Sindicato están al alcance de toda la organización a través de un sistema de índices y un buscador avanzado que permitirán la localización de cualquier documento con independencia de su origen. Así será posible buscar documentos por el área temática a la que pertenezcan, por territorios, empresas o sectores. También se pueden establecer, en la medida en que sean necesarios, encuestas y foros de debate, que pondrán a disposición de los afiliados un sistema de comunicación y expresión sobre temas concretos cuando sea necesario.

Sólo nos resta señalar que los contenidos de nuestra antigua página no van a desaparecer. Ya tenemos en marcha los trabajos necesarios para incorporarlos a esta nueva web y esperamos que dentro de poco vuelvan a estar a disposición de quien los necesite.

Nuestra dirección:

www.comfia.net/banesto

30 de abril de 2004

Recomendaciones para prevenir la infección por virus, gusanos

El año 2004 los expertos en seguridad pronosticaban que descendería el numero de virus&gusanos en la red, a partir de esas afirmaciones no hemos dejado de padecer avalanchas de nuevos virus&gusanos, cada día hay variantes de los mismos y cada vez sus códigos son mas agresivos, pero el mayor problema de estos gusanos es la provocación de spam (correo no deseado).

Vamos a dar unos consejos para evitar y radicar en lo máximo
posible que continué esta avalancha de gusanos.

Sitios Web Antivirus Gratuitos

La mayoría de los contagios de gusanos y virus vienen vía
correo electrónico. Muchos usuarios no toman ninguna precaución
a la hora de ver su buzón de electrónico y no evitan exponer
su equipo a un gran peligro. Otra fuente muy común de contagio
son la vulnerabilidades del sistema operativo y programas. La tercera
razón mas común de caer en las garras de cualquier virus
es el engaño, hay virus que simulan ser la actualización
o antídoto de algún fallo y algunos simulan ser el correo
de amigo, cliente etc.

Consejos para no tener virus o gusanos en nuestras máquinas.

1.- Tener un antivirus actualizado al día (hay muchos gratuitos).

2.- Actualizar nuestro sistema operativo y programas de sus posibles vulnerabilidades
criticas, estas actualizaciones realizarlas de los sitios oficiales, NUNCA
POR MAIL desconfié de estas actualizaciones.

3.- En su gestor de correo electrónico desactive la vista previa.

4.- Ver los correos electrónico en formato texto evitara algún
susto, muchos correos en formato html pueden tener código malignos.

5.- Si recibe un correo sospechoso o no deseado, desconfié siempre
de el.

6.- Cuando reciba un mail con un fichero adjunto NO LO EJECUTE hasta que
no le pase un antivirus actualizado, si el adjunto es de un correo de
un desconocido TENGA MAS PRECAUCIÓN (lo recomendable es borrarlo).

7.- Muchos correos simulan ser actualizaciones, desconfié también
de ellos. En la actualidad pocas casas de software hacen esto, lo mas
lógico es que le manden un dirección oficial para que se
descargue la actualización.

8.- Hay correos que simulan ser enviados por nuestros amigos (su máquina
puede estar infectada y manda correos con virus a su libreta de direcciones),
si este mail no lo esperaba o hace referencia a temas que desconoce no
se fié, contacte primero con su amigo para poder verificar este
envió.

9.- Tener un gestos de correo con funciones anti-spamn o con filtros/reglas
para que borre directamente del servidor el correo no deseado o que sobrepasa
de ciertos tamaños.

10.- Estar al día o si ve noticias referentes a un nuevo «brote»
de algún virus muy peligroso ponga un poco de atención para
conocer su método de actuación de esta forma puede evitar
que la cadena sea mas grande y librarse de estos parásitos que
inundan la red.

11.- Si puede instalar un cortafuegos en su máquina también
evitara algún gusano que usa técnicas de vulnerabilidades
de sistemas.

12.- Hay virus que también usan como método de contagio
los programas P2P, tenga cuidado con lo que se baja y siempre verifique
los archivos antes de ejecutarlos.

Todos estos consejos son básicos, pero vienen muy bien para poder
parar el aumento de virus y gusanos en la red.

Listado de antivirus gratuitos;

AntiVir Personal Edition

www.free-av.com

Freeware avast! 4 Home Edition

http://www.avast.com/i_idt_153.html

AVG Antivirus Free

http://www.grisoft.com/

Lucha contra el correo no deseado;

http://www.seguridadenlared.org/es/correo3.php

Realizado por;

José María Luque Guerrero.

AntiVir Personal Edition

www.free-av.com

Freeware avast! 4 Home Edition

http://www.avast.com/i_idt_153.html

AVG Antivirus Free