ONGEI-Sistema De Alerta-93-2004 Mayo

OFICINA NACIONAL DE GOBIERNO 

ELECTRONICO E INFORMATICA 

Centro de Consulta e Investigación sobre Seguridad de la Información 

www.pcm.gob.pe 

Edición Nº 93 

26 de mayo de 2004 

CONTENIDO INFORMACION DE VIRUS INFORMATICOS 

VIRUS WORM_SASSER.B 

VIRUS WORM_NETSKY.Y 

CONSEJOS PARA 

PROTEGERSE 

LISTA DE ANTIVIRUS 

• Fuentes 

o Trend Micro 

o Panda Software 

o Hispasec 

o Per Antivirus 

VIRUS WORM_SASSER.B 

Alias: 

W32/Sasser.worm.b, W32.Sasser.B.Worm, W32/Sasser.B 

MÉTODO DE INFECCIÓN 

Este virus se propaga buscando direcciones IP aleatoriamente y 

aprovechando la vulnerabilidad de Windows “Local Security Authority 

Subsystem Service” (LSASS), que es un desbordamiento de buffer que 

permite la ejecución remota de código malicioso, con lo que un atacante 

podría conseguir pleno control del sistema afectado. Para propagarse 

WORM_SASSER.B escanea direcciones IP aleatoriamente en busca de 

sistemas vulnerables. Cuando encuentra un sistema vulnerable, el código 

malicioso envía un paquete especialmente diseñado para producir un 

desbordamiento de buffer en LSASS.EXE, que causa que el programa se 

bloquee y requiere que se reinicie Windows. 

Los sistemas operativos afectados por esta vulnerabilidad son los 

siguientes: 

Windows 95, 98, ME, NT, 2000, XP, 2003 

El virus provoca que la computadora se reinicie constantemente, y en 

algunos sistemas operativos se muestran las siguientes ventanas: 

1 

Visite el Portal del Estado Peruano: 

http ://www.perugobierno.gob.pe

RECOMENDACIONES 

Actualizar el parche de Microsoft 

http://www.microsoft.com/technet/se 

curity/bulletin/ms04-011.mspx 

Es recomendable que los 

administradores de red y usuarios 

bloqueen los puertos TCP 5554 y 9996 

para prevenir la transferencia del virus 

de las máquinas infectadas hacia las que 

todavía no están parchadas. 

VIRUS WORM_NETSKY.Y 

Alias: 

w32/netsky.y@MM , W32.Netsky.y@mm , Win32.Netsky.y, 

NetSky.Y 

MÉTODO DE INFECCIÓN 

Este virus se propaga a través del correo en 

un e-mail con las siguientes características: 

Los archivos adjuntos poseen las siguientes 

extensiones: 

.COM, .CPL, .EXE, .HTA, .SCR, .VBS o .ZIP, 

en éste último caso con contraseñas 

generadas al azar, la cuál se muestra al 

usuario en una imagen también adjunta. 

Esto pretende eludir la detección de los 

antivirus. 

En ocasiones incluye la imagen de una mujer 

en el cuerpo del mensaje (son varias 

imágenes diferentes): 

2 

de propagarse a través del correo 

electrónico, lo hace por redes P2P, 

copiándose en carpetas utilizadas por varios 

de esos programas para compartir archivos 

con otros usuarios. 

El ejecutable muestra un icono con tres 

cerezas 

El virus puede enviarse a todas las 

direcciones de correo obtenidas de diferentes 

archivos de la máquina infectada. En todos 

los casos el remitente que figura en el 

mensaje es falso. 

Posee además un componente de acceso por 

puerta trasera (backdoor), y además finaliza 

la ejecución de varios antivirus y 

cortafuegos. 

Cuando se ejecuta por primera vez, muesta 

un mensaje de error falso: 

Error! 

Can't find a viewer associated with the file 

[ OK ] 

Los mensajes que utiliza para su 

propagación tienen las siguientes 

características: 

De: [una dirección falsa] 

En ocasiones, puede utilizar alguno de 

los siguientes nombres con dominios al 

azar: 

ann@, annie@, christina@, christy@, jessie@, 

lizie@, secretGurl@ 

Asunto: [uno de los siguientes] 

Encrypted document 

Fax Message Received 

Forum notify 

Hello! 

Hey! 

Hidden message 

I just need a friend 

I like you 

I'm a sad girl... 

I'm bored with this life 

Incoming message 

Let's socialize, my friend! 

Let's talk, my friend! 

Notify from a known person ;-) 

Protected message 

Re: Document 



Re: Hello 

Re: Hi 

Re: Incoming Fax 

Re: Incoming Message 

Re: Msg reply 

RE: Protected message 

RE: Text message 

Re: Thank you! 

Re: Thanks :) 

Re: Yahoo! 

Request response 

Site changes 

Texto: [1]+[2]+[3]+[4]+[5]+[6] 

Componente [1]: puede ser algunos 

de los siguientes textos: 

� Dear [nombre destinatario], 

� Dear [nombre destinatario], It's me ;-) 

� Hello [nombre destinatario], 

� Hello, 

� Hey [nombre destinatario], 

� Hey [nombre destinatario], It's me -> 

� Hey, 

� Hi [nombre destinatario], 

� Hi, 

� Hi, It's me 

Componente [2]: 

Si el nombre del remitente (al azar), 

es el de una mujer, una imagen 

puede ser insertada aquí (el mensaje 

tiene formato HTML). Algunos 

posibles nombres de imágenes 

insertadas: 

� image12.jpeg 

� me2.jpeg 

� me3.jpeg 

� myphoto4.jpeg 

� myphoto7.jpeg 

� photo.jpeg 

Componente [3]: Uno de los 

siguientes textos: 

� Cometime I write a poem, play the gitar. I 

love a traveling, I like a romantice and I 

want to meet, comeday, my big love! 

� Don't you remember me? 

� I am a beautiful, sexual girl with very big 

ambitions and dreams. I can make happy 

anyone man... 

� I am a honest, kind,loving,with good 

sense of humor...etc.,looking for true 

love... or maybe for pen friend.I like cats. 

� I am a student. I'm studying international 

relationships. I would like to find an 

interesting and active man for serious 

relations. Sitting at home it is not for me. I 

like to go out to the theater, cinema, and 

nightclubs. 

� I am honest, responsible, romantic person. 

iwould like to find my only love,to find 

my destiny. 

3 

� I am kind, fair, careful, gentle also want to 

create family. I love animal (cats, dogs), 

the literature, theatre, cinema, music, 

walks in park . 

� I am looking for a serious relationship. I 

am NOT interested in flirt and short-term 

love adventure. 

� I am simple girl who are looking for 

serious relation with responsible and 

confident man. I am ready to give all my 

love and carering for a right person who is 

going to love and respect me 

� I have recently got demobilize from army 

and also I am going to act in a higher 

educational institution 

� I just want to talk with someone... 

� I like an active life... and interesting 

people... 

� I like reading the books and socializing, 

let me talk with you... 

� I like to feel protected, to understand, that 

near to me the man, which both in sex, 

and in life knows what to do. It is possible 

to fall in love with such the man for ever. 

� I Like You! 

� I'm a young lady of 20 years old i'd like to 

find my second part!!! 

� I'm so bored, let me talk with you... 

� It's time to find a friend! 

� Kewl :-) 

� Like me, odore me! ;-) 

� Ready to accept a new friend? :-) 



� Attached file tells everything. 

� Attached file will tell you everything. 

� For details see the attach. 

� For more information see the attached file. 

� Further details are in attach. 

� Here is the file. 

� Message is in attach 

� More info is in attach 

� Please, have a look at the attached file. 

� Read the attach. 

� See attach. 

� See the attached file for details. 

� Your file is attached. 

Componente [5] (solo se incluye si el 

adjunto es un archivo .ZIP): 

� Archive password: [contraseña] 

� Attached file is protected with the 

password for security reasons. Password 

is [contraseña] 

� For security purposes the attached file is 

password protected. Password -- 

[contraseña] 

� For security reasons attached file is 

password protected. The password is 

[contraseña] 

� In order to read the attach you have to use 

the following password: [contraseña] 

� Note: Use password [contraseña] to open 

archive. 



Donde [contraseña] es una imagen JPEG 

insertada, que muestra un número de 

cinco dígitos. 



� Best wishes, [remitente] 

� Cheers, [remitente] 

� Have a good day, [remitente] 

� Kind regards, [remitente] 

� Sincerely, 

� Yours, [remitente] 

Donde [remitente] es uno de los 

siguientes nombres: 

� annie 

� christina 

� christy 

� jessie 

� lizie 

� secretGurl 

El virus intenta acceder a los siguientes sitios 

de Internet, para notificar al autor vía HTTP, 

con una solicitud GET, cada determinada 

cantidad de tiempo, conectándose con un 

script PHP: 

http:/ /250x.com/5.php 

http:/ /2udar.ligakvn.de/5.php 

http:/ /3treepoint.com/5.php 

http:/ /abakan.strana.de/5.php 

http:/ /andimeisslein.de/5.php 

http:/ /ditec.um.es/5.php 

http:/ /fotos.schneider.bards.de/5.php 

http:/ /hardvision.ru/5.php 

http:/ /jakimov.golos.de/5.php 

http:/ /markusgimenez.de/5.php 

http:/ /s318.evanzo-server.de/5.php 

http:/ /Spaceclub.de/5.php 

http:/ /tobimayer.de/5.php 

http:/ /vg.xtonne.de/5.php 

http:/ /vg.xtonne.de/5.php 

http:/ /villakinderbunt.de/5.php 

http:/ /virtualzone.de/5.php 

http:/ /www .ac-schnitzer.de/5.php 

http:/ /www .auma.de/5.php 

http:/ /www .autoscout24.de/5.php 

http:/ /www .avh.de/5.php 

http:/ /www .beckers-systems.de/5.php 

http:/ /www .berlinale.de/5.php 

http:/ /www .blauer-engel.de/5.php 

http:/ /www .bmbf.de/5.php 

http:/ /www .bruecke-osteuropa.de/5.php 

http:/ /www .bundesregierung.de/5.php 

http:/ /www .chugai.de/5.php 

http:/ /www .cicv.fr/5.php 

http:/ /www .dalnoboyshik.de/5.php 

http:/ /www .de-bug.de/5.php 

http:/ /www .degruyter.de/5.php 

http:/ /www .deutsch-als-fremdsprache.de/5.php 

http:/ /www .deutsches-museum.de/5.php 

http:/ /www .deutschland.de/5.php 

http:/ /www .dfg.de/5.php 

http:/ /www .documenta.de/5.php 

http:/ /www .dwd.de/5.php 

http:/ /www .embl-heidelberg.de/5.php 

http:/ /www .emis.de/5.php 

http:/ /www .eumetsat.de/5.php 

http:/ /www .exactaudiocopy.de/5.php 

4 

http:/ /www .fernuni-hagen.de/5.php 

http:/ /www .fiz-karlsruhe.de/5.php 

http:/ /www .fracht-24.de/5.php 

http:/ /www .fu-berlin.de/5.php 

http:/ /www .gdch.de/5.php 

http:/ /www .go-amman.de/5.php 

http:/ /www .goethe.de/5.php 

http:/ /www .gospel-nations.de/5.php 

http:/ /www .gsi.de/5.php 

http:/ /www .hamann-motorsport.de/5.php 

http:/ /www .hamburg.de/5.php 

http:/ /www .heise.de/5.php 

http:/ /www .hotel-pension-spree.de/5.php 

http:/ /www .ifdesign.de/5.php 

http:/ /www .insel-ruegen-hotel.de/5.php 

http:/ /www .intermatgmbh.de/5.php 

http:/ /www .jura.uni-sb.de/5.php 

http:/ /www .kliniken.de/5.php 

http:/ /www .leipziger-messe.de/5.php 

http:/ /www .loveparade.de/5.php 

http:/ /www .low-spirit.de/5.php 

http:/ /www .mdz-moskau.de/5.php 

http:/ /www .mitsubishi-evs.de/5.php 

http:/ /www .mitsumi.de/5.php 

http:/ /www .mk-motorsport.de/5.php 

http:/ /www .mobile.de/5.php 

http:/ /www .nabu.de/5.php 

http:/ /www .neformal.de/5.php 

http:/ /www .neznakomez.de/5.php 

http:/ /www .paromi.de/5.php 

http:/ /www .partner-inform.de/5.php 

http:/ /www .php-resource.de/5.php 

http:/ /www .pri-wo-hamburg.de/5.php 

http:/ /www .red-dot.de/5.php 

http:/ /www .restarted-alliance.de/5.php 

http:/ /www .ruletka.de/5.php 

http:/ /www .russische-botschaft.de/5.php 

http:/ /www .siegenia-aubi.com/5.php 

http:/ /www .spiegel.de/5.php 

http:/ /www .sprach-zertifikat.de/5.php 

http:/ /www .teac.de/5.php 

http:/ /www .tecchannel.de/5.php 

http:/ /www .tekeli.de/5.php 

http:/ /www .tib.uni-hannover.de/5.php 

http:/ /www .turism.de/5.php 

http:/ /www .uni-oldenburg.de/5.php 

http:/ /www .uni-stuttgart.de/5.php 

http:/ /www .welt.de/5.php 

http:/ /www .windac.de/5.php 

http:/ /www .winfuture.de/5.php 

http:/ /www .www .mirko-becker.gmxhome.de/5.php 

Posee algunas características de troyano de 

acceso remoto y para ello abre el puerto 

TCP/2535, quedando a la espera de 

comandos. 

También intenta conectarse a los siguientes 

sitios para enviar información: 

www .ac-schnitzer.de - 217.69.78.15 

www .autoscout24.de - 212.18.30.41 

www .avh.de - 195.124.174.250 

www .bmbf.de - 213.144.21.70 

www .dalnoboyshic.de - 62.67.235.30 

www .degruyter.de - 212.87.39.252 

www .deutschland.de - 194.95.176.70 

www .fracht-24.de - 195.20.225.17 

www .Goethe.de - 195.127.17.194 

www .hamann-motorsport.de - 212.227.46.140 

www .heise.de - 193.99.144.71 

www .leipziger-messe.de - 194.25.105.210 

www .loveparade.de - 62.50.34.24 



www .mobile.de - 213.238.62.161 

www .neformal.de - 81.88.34.53, 81.88.34.54 

www .russische-botschaft.de - 212.227.118.97 

www .spiegel.de - 195.71.11.67 

El virus no se ejecuta después del 25 de 

enero de 2005. Si un archivo del gusano es 

ejecutado después de esa fecha, se auto 

invoca con el parámetro -DEL para 

desinstalarse del sistema. 

También intenta finalizar los siguientes 

procesos: 

agentsvr.exe 

anti-trojan.exe 

antivirus.exe 

ants.exe 

apimonitor.exe 

aplica32.exe 

apvxdwin.exe 

atcon.exe 

atguard.exe 

atro55en.exe 

atupdater.exe 

atwatch.exe 

aupdate.exe 

autodown.exe 

autotrace.exe 

autoupdate.exe 

avconsol.exe 

avgserv9.exe 

avltmain.exe 

avprotect9x.exe 

avpupd.exe 

avsynmgr.exe 

avwupd32.exe 

avxquar.exe 

bd_professional.exe 

bidef.exe 

bidserver.exe 

bipcp.exe 

bipcpevalsetup.exe 

bisp.exe 

blackd.exe 

blackice.exe 

bootwarn.exe 

borg2.exe 

bs120.exe 

cdp.exe 

cfgwiz.exe 

cfiadmin.exe 

cfiaudit.exe 

cfinet.exe 

cfinet32.exe 

clean.exe 

cleaner.exe 

cleaner3.exe 

cleanpc.exe 

cmgrdian.exe 

cmon016.exe 

cpd.exe 

cpf9x206.exe 

cpfnt206.exe 

cv.exe 

cwnb181.exe 

cwntdwmo.exe 

defwatch.exe 

deputy.exe 

dpf.exe 

dpfsetup.exe 

drwatson.exe 

drwebupw.exe 

5 

ent.exe 

escanh95.exe 

escanhnt.exe 

escanv95.exe 

exantivirus-cnet.exe 

fast.exe 

firewall.exe 

flowprotector.exe 

fp-win_trial.exe 

frw.exe 

fsav.exe 

fsav530stbyb.exe 

fsav530wtbyb.exe 

fsav95.exe 

gbmenu.exe 

gbpoll.exe 

guard.exe 

guarddog.exe 

hacktracersetup.exe 

htlog.exe 

hwpe.exe 

iamapp.exe 

iamserv.exe 

icload95.exe 

icloadnt.exe 

icmon.exe 

icssuppnt.exe 

icsupp95.exe 

icsuppnt.exe 

ifw2000.exe 

iparmor.exe 

iris.exe 

jammer.exe 

kavlite40eng.exe 

kavpers40eng.exe 

kerio-pf-213-en-win.exe 

kerio-wrl-421-en-win.exe 

kerio-wrp-421-en-win.exe 

killprocesssetup161.exe 

ldpro.exe 

localnet.exe 

lockdown.exe 

lockdown2000.exe 

lsetup.exe 

luall.exe 

lucomserver.exe 

luinit.exe 

mcagent.exe 

mcupdate.exe 

mfw2en.exe 

mfweng3.02d30.exe 

mgui.exe 

minilog.exe 

moolive.exe 

mrflux.exe 

msconfig.exe 

msinfo32.exe 

mssmmc32.exe 

mu0311ad.exe 

nav80try.exe 

navapw32.exe 

navdx.exe 

navstub.exe 

navw32.exe 

nc2000.exe 

ncinst4.exe 

ndd32.exe 

neomonitor.exe 

net 



CONSEJOS PARA PROTEGERSE 

Hay muchos virus que se esparcen a 

mediante la red a nivel mundial y nacional, 

por lo cual estamos dando unas 

recomendaciones para que las instituciones 

y usuarios en general puedan proteger sus 

equipos informáticos: 

♦ Si dispone de herramientas de filtrado, 

configúrelas para que rechacen los 

mensajes que cumplan las características 

de los virus más conocidos. 

6 

♦ No ejecute archivos adjuntos 

desconocidos y bórrelos incluso de la 

carpeta de Elementos Eliminados. 

♦ Los archivos adjuntos deben ser 

revisados por un antivirus actualizado. 

♦ Tener cuidado con los archivos que 

reciba a través de las aplicaciones de 

intercambio de archivos punto a punto 

(P2P). 

♦ Actualice el antivirus del computador. 

� Se adjunta una lista de páginas webs donde el usuario puede obtener mayor información sobre 

virus y actualizar el antivirus: 

NOMBRE DEL ANTIVIRUS PAGINA WEB 

Panda Software http://www.pandasoftware.es/ 

Per Antivirus http://www.persystems.net/ 

The Hacker http://www.hacksoft.com.pe/ 

AVAST Antivirus http://www.antivir.com/support.htm 

Zap Antivirus http://www.zapantivirus.com 

Sophos Antivirus http://esp.sophos.com/ 

Norton Antivirus (NAV) http://www.sarc.com/avcenter/download.html 

Antiviral Toolkit Pro (AVP) http://www.kaspersky.com/ 

ESafe http://www.esafe.com/download/virusig.html 

Antivirus Enterprise Protection http://www.commandcom.com/html/files.html 

InoculateIT http://support.cai.com/Download/virussig.html 

McAfee VirusScan http://download.mcafee.com/updates/updates.asp 

AVG Antivirus http://www.grisoft.com/us/us_index.php 

Symantec http://www.symantec.com/ 

TrenMicro http://www.trendmicro.com/download/pattern.asp 

BitDefender http://www.bitdefender-es.com 

CUALQUIER CONSULTA ENVIAR UN CORREO AL 

CENTRO DE CONSULTA 

E INVESTIGACION SOBRE SEGURIDAD DE LA INFORMACION 

ccisi@pcm.gob.pe

ONGEI-Sistema De Alerta-93-2004 Mayo

¡Convierta sus PDFs en revista en línea y aumente sus ingresos!

Delete template?

Save as template ?