Tema: Nuevo virus informatico causa caos en los medios informativos
Ver Mensaje Individual
  #1  
Antiguo 17-08-2005
Avatar de Sasuke_Cub
Sasuke_Cub Sasuke_Cub is offline
Miembro
  
Registrado: feb 2005
Ubicación: La Habana
Posts: 335
Reputación: 20
Sasuke_Cub Va por buen camino
Exclamation Nuevo virus informatico causa caos en los medios informativos
PandaLabs ha registrado recientemente ataques provenientes de dos nuevos gusanos, Zotob.D, e IRCBot.KB, que aprovechan la vulnerabilidad de ejecución remota de código en Plug and Play (PnP), que puede permitir a un atacante controlar totalmente el sistema afectado, como publicara recientemente Microsoft en su boletín MS05-039 (y que incluía el parche que lo resuelve). Diversos medios, como CNN, ABC, y The New York Times se han visto afectados.

En el caso de la CNN la infección fue percibida por los millares de espectadores que seguían la programación.

Así, durante la emisión de un reportaje sobre Oriente Medio en la CNN Internacional, una pantalla de Windows apareció en pantalla sobreponiéndose en la imagen que se estaba ofreciendo a los telespectadores.


Sólo se propaga a máquinas con los sistemas operativos Windows 2000, XP, y Server 2003.

Cuando encuentra un sistema vulnerable, aprovecha la vulnerabilidad en Plug-and-Play para abrir un shell en el puerto TCP/8888 del equipo de la víctima, a través del cual llama a FTP.EXE para realizar la descarga del gusano (archivo haha.exe) desde un servidor FTP hospedado en el puerto TCP/33333 del sistema previamente infectado desde el que partía el ataque.

Una vez se ejecuta el gusano en el nuevo sistema, crea el archivo botzor.exe en la carpeta de sistema de Windows y las entradas en el registro de Windows para asegurarse su ejecución en cada inicio de sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "WINDOWS SYSTEM" = "botzor.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"WINDOWS SYSTEM" = "botzor.exe"

También modifica el archivo hosts del sistema para que los dominios Web de los antivirus apunten a la dirección 127.0.0.1 (localhost), como estrategia para impedir que los sistemas infectados puedan actualizar el antivirus o utilizar herramientas para su localización y desinfección.

Por último, "Zotob" intenta conectarse a un servidor IRC desde donde el gusano puede recibir órdenes de sus creadores, como descargar e instalar nuevas versiones del gusano.
__________________
Si la montaña viene hacia tí.......huye que es un derrumbe!!!!
Responder Con Cita