dentro de muy poco publicaremos un completo análisis para que todo el mundo pueda ver como actua el virus.

Tenemos cosas graciosas como el directorio del creador del virus:


Que intenta matar antivirus, accede a urls para ver que webs tiene que atacar, etc, etc, etc.

al revés, ganarás estabilidad con NTFS porque es más robusto y fiable que FAT32.

Imposible que con FAT32 te deje hacer un fichero de 4gb, no es problema de software, quizás el otro programa era un dvd más pequeño o lo comprimió.

gracias a nhaalclkiemr y Meg por intentarnos facilitar muestras del virus.

Nos gusta saber donde hospedó los archivos, aunque ya los hayan borrado.

Por suerte, una empresa de antivirus (nod32)  ya nos ha facilitado muy amablemente muestras de 4 variantes de este virus para poderlo analizar.

Pues ya te está marcando el error, pero te explico para que lo entienedas.

Tu sistema de ficheros del disco duro es FAT32, y FAT32 tiene una limitación y es que no puede crear archivos de más de 4gb de tamaño y esto se necesita para los dvd's.

Deberías convertir tu unidad (disco duro) de FAT32 a NTFS (nuevo sistema de ficheros que acepta ficheros más grandes). Tranquilo que puedes convertir la unidad sin perder los datos (no necesitas formtear ni nada).

Busca información sobre el comando "convert" y convierte tu unidad FAT32 a NTFS para solucionar el problema.

el ataque ya ha sido solucionado (neutralizado), pero hay muchas variantes del bush.exe y las necesitamos todas 

Si alguien tiene una copia del virus bush.exe o sabe la URL de descarga, por favor enviad un e-mail a staff@elhacker.net

Gracias.

Más info aquí -->
http://foro.elhacker.net/index.php/topic,164966.0.html

Si has recibido un mensaje en el Messenger y has abierto un archivo bush.exe








Ahora estás infectado por un Virus (varias variantes).

Win32/VB.NHI  ||  Win32/VB.NKS  ||  MSNDiablo.A

Este virus ataca el foro de elhacker.net. Los infectados mandan el texto con la supuesta animación de bush.exe a TODOS los contactos del Messenger y así se propaga este gusano.

Si te han salido carteles con encabezado: Microsoft Internet Explorer.
En los que pone:



Es porque era un a protección en javascript para intentar detener el ataque en el foro. El atacante ha usado tu ordenador para visitar el foro repetidamente y saturarlo.

Si alguno de tus contactos te quiere enviar la animación bush.exe, copia la URL de la descarga del bush.exe o haz una captura de pantalla con la tecla Impr-PetSis  (pegar en el Word) y envíamos una copia del bush.exe o de la captura a la dirección de correo:

staff |arroba| elhacker |punto| net

Desinfección

Usa antivirus on-line vía web rápido de Panda:

http://www.nanoscan.com/

Vacuna:
ELISTARA.25052007.EXE

Otros:
http://www.pandasoftware.es/productos/activescan

Más información sobre el virus y sus variantes:

Notas de prensa de compañías Antivirus (nod32):

Nuevo gusano de MSN con textos en español sobre Bush
http://www.vsantivirus.com/05-05-07.htm

VB.NJL. Se propaga vía Messenger (Bush-gracioso.exe)
http://www.vsantivirus.com/vb-njl.htm

VB.NKS. Se propaga por Messenger como película de Bush
http://www.vsantivirus.com/vb-nks.htm

Un virus que se distribuye por Messenger asalta a españoles y latinoamericanos
http://www.20minutos.es/noticia/276078/0/alerta/virus/messenger/

Info:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=6838
http://www.pandasoftware.com/spain/virus_info/enciclopedia/verficha.aspx?idvirus=160139&sind=0

Vacuna:
http://fileinfo.prevx.com/fileinfo.asp?PXC=c7ca72518194

---

Preguntas-Respuestas sobre el virus bush.exe

- ¿Qué hace el virus?

El virus ataca al foro de elhacker.net, pero de manera silenciosa (sin que el usuario infectado se de cuenta de nada).

Se propaga enviando el mensaje de hey, mira esta animación de bush a todos los contactos del Messenger. Los nuevos infectados hacen lo mismo y así sucesivamente.

Hemos detectado miles de ordenadores infectados intentan acceder al foro y lo colapsan (por eso el foro ha funcionado mal durante estos últimos días) y habían 1.000-2.000 invitados en e foro.

- ¿Qué relación hay entre el virus bush.exe y elhacker.net?

Ninguna, simplemente que el virus has sido crear para floodear y colapsar el foro de elhacker.net.

Finalmente la única solución (contramedida) contra el virus es una pantalla como esta:



Sirve para validar que eres "humano" y que no estás infectado por el virus. Es decir, intentas entrar al foro navegando y no por culpa del virus. Simplemente aparece únicamente la primera vez que visitas el foro.

A diferencia del primer mensaje "Haz click en aceptar para entrar al foro", era un alert de JS que sí se les mostraba a los infectados y por eso al final aceptaban la cookie y la contramedida no servía.



Por lo visto las personas infectadas por el virus hacian click en aceptar (aún no sabiendo de donde procedía la ventana).

Aquí tenemos nuevas variantes del virus que el atacante hace servir para flodear al foro --->

Nuevo gusano de MSN con textos en español sobre Bush
http://www.vsantivirus.com/05-05-07.htm

VB.NKS. Se propaga por Messenger como película de Bush
http://www.vsantivirus.com/vb-nks.htm

Cómo curiosidad y por divertimento propio se acaba de quitar el javascript que "protege" el foro de los zombies para saber cuál es el número aproximado de máquinas inefectadas.

Y el foro aguanta sin problemas más de 1.000 zombies invitados (Ver Usuarios en Línea).

Ya saben, si necesitan un SEO, mejor que les hagan un DDoS para ganar visitas 

la redirección que te llevaba al index de la web ya está arreglada.

fue un error mío al intentar parar el ataque mirando el HTTP referer con el mod_security:


El problema es que en ciertas ocasiones estás en el foro y esta condición se cumple y por lo tanto, cuando hay muchos falsos positivos en una regla, no es una buena solución.

Más info del ataque:
http://foro.elhacker.net/index.php/topic,164082.0.html

El ataque en imágenes (Gráficos del tráfico)



Duración del ataque: Viernes 4 , sábado 5 y domingo 6 Mayo 2007.

Método del ataque

Petición GET /index.php con 2.000 zombies cada 20 minutos aproximadamente.

Simplemente un "GET", es una llamada del navegador al index del foro. Es decir, muchos zombies visitando la página principal del foro.

Impacto

¿Qué ocurre?

Tantas peticiones seguidas y de diferentes ip's al index del foro hacen que el MySQL del foro se colapse y el foro no funcione.

Solución

Primero se deshabilitó que los Visitantes (usuarios no registrados) pudieran navegar por el foro. Por eso salían 2.000-3.000 usuarios visitantes on-line en el foro.

Este método es efectivo, pero sigue consumiendo muchos recursos (hace consultas al MySQL para contar los invitados).

El acceso al foro para invitados está siempre activado (sólo se activa automáticamente en caso de ataque).

Buscando otra solución....

¿Cómo distinguir si la persona que entra al foro es usuario normal o es un zombie?

Busquemos un patrón:

- HTTP_Referer --> Nulo, entran directamente. Y un visitante normal también es posible que entre directamente (desde favoritos, etc).

- Sistema Operativo --> la mayoría de los bots usan Windows XP, pero no podemos decirle al foro que no deje entrar usuarios con Windows XP jeje

- Navegador --> los zombies usan Internet Explorer con diferentes versiones, pero de nuevo no podemos denegar el acceso a TODOS los que usen el IE.

¿Cómo lo hacemos?

javascript "alert" (ventanita que requiere confirmación por parte del usuario) que se carga al principio del foro y "verifica" si la petición es "humana" o no. Si es un bot (no humana) no sabe hacer click en aceptar y se queda a la espera (no se carga el index del foro y por lo tanto no consume recursos).



Si aceptas se guarda una cookie que verifica "tu humanidad". Si no eres bot, puedes ver el foro.

Esta ventana solo aparece una vez, la primera vez que entras al foro (a no ser que borres las cookies), aunque ayer saliera repetidamente, ya que se estaban realizando pruebas.

¿Porqué hay tantos infectados?

El método de infección es vía Messenger.

Si alguien cree que está infectado o tiene muestras del posible virus que envie la muestra a staff@elhacker.net para su posterior análisis. Gracias.

Estado actual

Solucionado con JS.

¿Hasta cuándo?

Hasta que el atacante se canse.

¿Quién ha sido?

No se sabe, ¿hay miedo a decirlo por posibles represalias? xD