Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Problema:

Un atacante local aprovechandose de esta vulnerabilidad puede sobreescribir o truncar ciertos archivos con privilegios elevados.

Sistemas afectados:

SGI IRIX 6.5.1
SGI IRIX 6.5.10
SGI IRIX 6.5.11
SGI IRIX 6.5.12
SGI IRIX 6.5.13
SGI IRIX 6.5.14
SGI IRIX 6.5.15
SGI IRIX 6.5.16
SGI IRIX 6.5.17 M
SGI IRIX 6.5.17 f
SGI IRIX 6.5.18f
SGI IRIX 6.5.18m
SGI IRIX 6.5.19f
SGI IRIX 6.5.19m
SGI IRIX 6.5.2
SGI IRIX 6.5.20f
SGI IRIX 6.5.20m
SGI IRIX 6.5.21f
SGI IRIX 6.5.21m
SGI IRIX 6.5.3
SGI IRIX 6.5.4
SGI IRIX 6.5.5
SGI IRIX 6.5.6
SGI IRIX 6.5.7
SGI IRIX 6.5.8
SGI IRIX 6.5.9

Solución:

Para arreglar esta vulnerabilidad puede hacer un upgrade a la version IRIX 6.5.22 (cuandos este disponible) o instalar los parches apropiados que los puede conseguir en:

ftp://patches.sgi.com/support/free/security/patches/

Hace unos días comentabamos el ataque planeado por parte del virus Blaster contra la dirección windowsupdate.com, propiedad de Microsoft, durante la noche del viernes 15 de Agosto.

Un descuido en los programadores del virus, hizo que lo programaran para atacar a esa dirección, pero no tuvieron en cuenta que esa dirección era redireccionada a windowsupdate.microsoft.com. Microsoft dio de baja la dirección windowsupdate.com y ha continuado trabajando con la otra dirección, por lo que no ha afectado sus servicios.

Blaster ya ha infectado a más de 350.000 ordenadores en todo el mundo, y están apareciendo variantes del virus. No ha afectado a muchos grandes sistemas.

Direcciones relacionadas:

Blaster: http://www.shellsec.net/noticias.php?num=203

Noticia en el mundo: http://www.elmundo.es/navegante/2003/08/16/seguridad/1061033414.html

Noticia en SlashDot: http://slashdot.org/article.pl?sid=03/08/15/1730200&mode=thread&tid=109&tid=126&tid=172&tid=187

Noticia en BarraPunto: http://barrapunto.com/articles/03/08/16/1836224.shtml

Problema:

WebiToome es una aplicación que permite recibir archivos directamente de la web page. Se ha encontrado una vulnerabilidad que permite a un atacante obterner "información privada o sensible"

Versiones vulnerables:

Black Diamond Products WebiToome 0.91pb

Solución:

Todavia no se ha encontrado solución a esta vulnerabilidad

Referencia

http://securitytracker.com/alerts/2003/Aug/1007501.html

Problema:

La vulnerabilidad es local y permite a un atacante provocar un denial of service

Versiones vulnerables:

Compaq Tru64 4.0 f PK7 (BL18)
Compaq Tru64 4.0 g PK3 (BL17)
Compaq Tru64 5.1 PK6 (BL20)
Compaq Tru64 5.1 a PK4 (BL21)
HP Tru64 UNIX 4.0g

Solución:

Para solucionar esta vulnerabilidad usted debe ir a:

http://ftp.support.compaq.com/patches/public/unix/

Referencia

http://ftp.support.compaq.com/patches/public/unix/v4.0g/t64kit0019509-v40gb17-e-20030802.README

Problema:

Se ha encontrado una vulnerabilidad en SunOne / iPlanet Web Server , permitiendo a un atacante provocar un "denial of service" localmente y remotamente.

Versiones vulnerables:

Sun ONE Web Server 6.0 SP3
Sun ONE Web Server 6.0 SP4
Sun ONE Web Server 6.0 SP5

Solución:

Para conseguir el fix de esta vulnerabilidad pueden ir a:

http://wwws.sun.com/software/download/products/3f186391.html

Referencia

http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F56180&zone_32=category%3Asecurity

Problema:

Se ha encontrado una vulnerabilidad remota para el Microsoft Internet Explorer, mediante un ataque cross-site scripting un atacante puede crear una especial URL que contenga un JavaScript o un HTML para que se ejecute codigo en el Web Browser de la victima.

Ejemplos:

about:blank%20< script>alert(’8-D uhh !’);</script>
about:blank%20< iframe src="about:blank%20<h1>;- )"></iframe>
about:blank%20< h1>XSS is behind you…</h1>

Versiones vulnerables:

Microsoft Internet Explorer 3
Microsoft Internet Explorer 3.1
Microsoft Internet Explorer 4
Microsoft Internet Explorer 4.0.1
Microsoft Internet Explorer 4.1
Microsoft Internet Explorer 5.0
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 6.0

Solución:

La solución a esta vulnerabilidad es hacer un upgrade a la ultima version del Internet Explorer
que la pueden conseguir en:

http://www.microsoft.com/windows/ie/default.asp

Referencia:

http://lists.netsys.com/pipermail/full-disclosure/2003-August/007844.html

Problema:

Un buffer overflow ha sido reportado en las versiones que usan "libc" las cuales lo usan varios sistemas operativos, en particular: FreeBSD, NetBSD, OpenBSD y GNU glibc.

Esta vulnerabilidad permite a un atacante remoto provocar un denial of service y posiblemente ejecutar arbitrariamente codigo en el sistema.

Sistemas vulnerables:

Astaro Security Linux 2.0 16
Astaro Security Linux 2.0 23
Astaro Security Linux 2.0 24
Astaro Security Linux 2.0 25
Astaro Security Linux 2.0 26
Caldera OpenLinux 1.3
Caldera OpenLinux 2.2
Caldera OpenLinux Desktop 2.3
Caldera OpenLinux Server 3.1
Caldera OpenLinux Server 3.1.1
Caldera OpenLinux Workstation 3.1
Caldera OpenLinux Workstation 3.1.1
Caldera OpenUnix 8.0
Caldera UnixWare 7.1.1
Conectiva Linux 4
Conectiva Linux 4.0es
Conectiva Linux 4.1
Conectiva Linux 4.2
Conectiva Linux 5
Conectiva Linux 5.1
Conectiva Linux 6
Conectiva Linux 7.0
Conectiva Linux 8.0
Conectiva Linux Ecommerce
Conectiva Linux Graficas
Cray UNICOS 8
Cray UNICOS 8.3
Cray UNICOS 9
Cray UNICOS 9.0.2 .5
Cray UNICOS 9.2
Cray UNICOS 9.2.4
Debian Linux 2.2
Debian Linux 2.2 68k
Debian Linux 2.2 IA-32
Debian Linux 2.2 alpha
Debian Linux 2.2 arm
Debian Linux 2.2 powerpc
Debian Linux 2.2 sparc
Debian Linux 2.3
Debian Linux 2.3 68k
Debian Linux 2.3 alpha
Debian Linux 2.3 arm
Debian Linux 2.3 powerpc
Debian Linux 2.3 sparc
Debian Linux 3.0
Debian Linux 3.0 alpha
Debian Linux 3.0 arm
Debian Linux 3.0 hppa
Debian Linux 3.0 ia-32
Debian Linux 3.0 ia-64
Debian Linux 3.0 m68k
Debian Linux 3.0 mips
Debian Linux 3.0 mipsel
Debian Linux 3.0 ppc
Debian Linux 3.0 s/390
Debian Linux 3.0 sparc
EnGarde Secure Linux 1.0.1
FreeBSD FreeBSD 4.3
FreeBSD FreeBSD 4.3 -RELEASE
FreeBSD FreeBSD 4.3 -RELENG
FreeBSD FreeBSD 4.3 -STABLE
FreeBSD FreeBSD 4.4
FreeBSD FreeBSD 4.4 -RELENG
FreeBSD FreeBSD 4.4 -STABLE
FreeBSD FreeBSD 4.5
FreeBSD FreeBSD 4.5 -RELEASE
FreeBSD FreeBSD 4.5 -STABLE
FreeBSD FreeBSD 4.6
FreeBSD FreeBSD 4.6 -RELEASE
GNU Glibc 2.0
GNU Glibc 2.0.1
GNU Glibc 2.0.2
GNU Glibc 2.0.3
GNU Glibc 2.0.4
GNU Glibc 2.0.5
GNU Glibc 2.0.6
GNU Glibc 2.1
GNU Glibc 2.1.1
GNU Glibc 2.1.1 -6
GNU Glibc 2.1.2
GNU Glibc 2.1.3
GNU Glibc 2.1.3-10
GNU Glibc 2.1.9 and Greate
GNU Glibc 2.2
GNU Glibc 2.2.1
GNU Glibc 2.2.2
GNU Glibc 2.2.3
GNU Glibc 2.2.4
GNU Glibc 2.2.5
Gentoo Linux 0.5
Gentoo Linux 0.7
HP Digital Sender 9100C
HP HP-UX 10.10
HP HP-UX 10.20
HP HP-UX 10.24
HP HP-UX 11.0
HP HP-UX 11.11
HP JetDirect J4167A
HP JetDirect J4169A
HP JetDirect J6035A
HP JetDirect J6038A
HP JetDirect J6039A
HP JetDirect J6042A
HP JetDirect J6057A
HP JetDirect J6058A
HP JetDirect J6061A
HP LaserJet 4100
HP LaserJet 4100MFP
HP LaserJet 9000MFP
HP Secure OS software for Linux 1.0
HP color LaserJet 4550
IBM AIX 4.3
IBM AIX 4.3.1
IBM AIX 4.3.2
IBM AIX 4.3.3
IBM AIX 5.1
ISC BIND 4.9
ISC BIND 4.9.3
ISC BIND 4.9.4
ISC BIND 4.9.5
ISC BIND 4.9.6
ISC BIND 4.9.7
ISC BIND 4.9.8
ISC BIND 8.1
ISC BIND 8.1.1
ISC BIND 8.1.2
ISC BIND 8.2
ISC BIND 8.2.1
ISC BIND 8.2.2
ISC BIND 8.2.2 p1
ISC BIND 8.2.2 p2
ISC BIND 8.2.2 p3
ISC BIND 8.2.2 p4
ISC BIND 8.2.2 p5
ISC BIND 8.2.2 p6
ISC BIND 8.2.2 p7
ISC BIND 8.2.3
ISC BIND 8.2.4
ISC BIND 8.2.5
ISC BIND 9.2.0
ISC BIND 9.2.1
MandrakeSoft Linux Corporate Server 1.0.1
MandrakeSoft Linux Mandrake 6
MandrakeSoft Linux Mandrake 6.1
MandrakeSoft Linux Mandrake 7
MandrakeSoft Linux Mandrake 7.1
MandrakeSoft Linux Mandrake 7.2
MandrakeSoft Linux Mandrake 8.0
MandrakeSoft Linux Mandrake 8.0 ppc
MandrakeSoft Linux Mandrake 8.1
MandrakeSoft Linux Mandrake 8.1 ia64
MandrakeSoft Linux Mandrake 8.2
MandrakeSoft Linux Mandrake 8.2 PPC
MandrakeSoft Single Network Firewall 7.2
NetBSD NetBSD 1.4
NetBSD NetBSD 1.4 Alpha
NetBSD NetBSD 1.4 Sparc
NetBSD NetBSD 1.4 arm32
NetBSD NetBSD 1.4 x86
NetBSD NetBSD 1.4.1
NetBSD NetBSD 1.4.1 Alpha
NetBSD NetBSD 1.4.1 SPARC
NetBSD NetBSD 1.4.1 arm32
NetBSD NetBSD 1.4.1 sh3
NetBSD NetBSD 1.4.1 x86
NetBSD NetBSD 1.4.2
NetBSD NetBSD 1.4.2 Alpha
NetBSD NetBSD 1.4.2 Sparc
NetBSD NetBSD 1.4.2 arm32
NetBSD NetBSD 1.4.2 x86
NetBSD NetBSD 1.4.3
NetBSD NetBSD 1.5
NetBSD NetBSD 1.5 sh3
NetBSD NetBSD 1.5 x86
NetBSD NetBSD 1.5.1
NetBSD NetBSD 1.5.2
NetBSD NetBSD 1.5.3
OpenBSD OpenBSD 2.7
OpenBSD OpenBSD 2.8
OpenBSD OpenBSD 2.9
OpenBSD OpenBSD 3.0
OpenBSD OpenBSD 3.1
OpenPKG OpenPKG 1.0
Openwall Openwall GNU/*/Linux 0.1 -stable
RedHat Linux 4
RedHat Linux 4.1
RedHat Linux 4.2
RedHat Linux 5
RedHat Linux 5.1
RedHat Linux 5.2 alpha
RedHat Linux 5.2 i386
RedHat Linux 5.2 sparc
RedHat Linux 6
RedHat Linux 6.0 alpha
RedHat Linux 6.0 sparc
RedHat Linux 6.1 alpha
RedHat Linux 6.1 i386
RedHat Linux 6.1 sparc
RedHat Linux 6.2
RedHat Linux 6.2 alpha
RedHat Linux 6.2 i386
RedHat Linux 6.2 sparc
RedHat Linux 6.2 sparcv9
RedHat Linux 6.2E alpha
RedHat Linux 6.2E i386
RedHat Linux 6.2E sparc
RedHat Linux 7.0 J alpha
RedHat Linux 7.0 J i386
RedHat Linux 7.0 J sparc
RedHat Linux 7.0 alpha
RedHat Linux 7.0 alphaev6
RedHat Linux 7.0 i386
RedHat Linux 7.0 i686
RedHat Linux 7.0 sparc
RedHat Linux 7.1
RedHat Linux 7.1 alpha
RedHat Linux 7.1 alphaev6
RedHat Linux 7.1 for iSeries
RedHat Linux 7.1 for pSeries
RedHat Linux 7.1 i386
RedHat Linux 7.1 i686
RedHat Linux 7.1 ia64
RedHat Linux 7.2 alpha
RedHat Linux 7.2 i686
RedHat Linux 7.3
RedHat Linux 7.3 i386
S.u.S.E. Linux 6
S.u.S.E. Linux 6.1
S.u.S.E. Linux 6.1 alpha
S.u.S.E. Linux 6.2
S.u.S.E. Linux 6.3
S.u.S.E. Linux 6.3 alpha
S.u.S.E. Linux 6.4
S.u.S.E. Linux 6.4 alpha
S.u.S.E. Linux 6.4 i386
S.u.S.E. Linux 6.4 ppc
S.u.S.E. Linux 7
S.u.S.E. Linux 7.0 alpha
S.u.S.E. Linux 7.0 i386
S.u.S.E. Linux 7.0 ppc
S.u.S.E. Linux 7.0 sparc
S.u.S.E. Linux 7.1
S.u.S.E. Linux 7.1 alpha
S.u.S.E. Linux 7.1 ppc
S.u.S.E. Linux 7.1 sparc
S.u.S.E. Linux 7.1 x86
S.u.S.E. Linux 7.2
S.u.S.E. Linux 7.2 i386
S.u.S.E. Linux 7.3
S.u.S.E. Linux 7.3 i386
S.u.S.E. Linux 7.3 ppc
S.u.S.E. Linux 7.3 sparc
S.u.S.E. Linux 8.0
S.u.S.E. Linux 8.0 i386
S.u.S.E. Linux Database Server .
S.u.S.E. Linux Enterprise Server 7
S.u.S.E. Linux Enterprise Server for S/390 .
S.u.S.E. Linux Firewall on CD .
S.u.S.E. SuSE eMail Server III .
SCO Open Server 5.0.5
SCO Open Server 5.0.6
SCO eDesktop 2.4
SCO eServer 2.3
Slackware Linux 4
Slackware Linux 8.1
Sun Solaris 2.5.1
Sun Solaris 2.5.1_x86
Sun Solaris 2.6
Sun Solaris 2.6 _x86
Sun Solaris 7.0
Sun Solaris 7.0 _x86
Sun Solaris 8.0
Sun Solaris 8.0 _x86
Sun Solaris 9.0
Trustix Secure Linux 1.0
Trustix Secure Linux 1.0 1
Trustix Secure Linux 1.1
Trustix Secure Linux 1.2
Trustix Secure Linux 1.5

Solución:

Para bajarse la ultima version del bind pueden ir a este sitio:

http://www.isc.org/products/BIND/bind9.html

Los fixes los pueden conseguir en:

ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-02:28/

ftp://updates.redhat.com/

ftp://ftp.engardelinux.org/pub/engarde/stable/updates/

ftp://atualizacoes.conectiva.com.br/

ftp://ftp.trustix.net/pub/Trustix/updates/

http://www.mandrakesecure.net/en/ftp.php

ftp://ftp.slackware.com/pub/slackware/slackware-current/patches/packages/

ftp://ftp.isc.org/isc/bind/src/

ftp://bind:bind1@hprc.external.hp.com/

ftp://ftp.caldera.com/pub/updates/

ftp://ftp.openpkg.org/release/1.0/UPD/bind-8.2.6-1.0.1.src.rpm

ftp://ftp.openbsd.org/pub/OpenBSD/patches/

http://sunsolve.sun.com/tpatches

Referencias

http://www.cert.org/advisories/CA-2002-19.html
http://www.kb.cert.org/vuls/id/542971
http://securityfocus.com/archive/1/314179

Problema:

La vulnerabilidad pueder ser aprovechada por un atacante remotamente o localmente, necesitando autentificación en el sistema ( o sea que posea un usuario y una clave validos)
El problema se basa en un simple "byte buffer overflow" que se produce al crear una path de mas caracteres que el "MAXPATHLEN".

Estos comandos pueden ser usados para el overflow.

STOR
RETR
APPE
DELE
MKD
RMD
STOU
RNTO

Versiones vulnerables

Washington University wu-ftpd 2.5
Washington University wu-ftpd 2.6.0
Washington University wu-ftpd 2.6.1
Washington University wu-ftpd 2.6.2

Sistemas vulnerables:

Conectiva Linux 7.0
Conectiva Linux 8.0
Conectiva Linux 9
Debian Linux 3.0 (woody)
Debian Linux 3.0 alpha
Debian Linux 3.0 arm
Debian Linux 3.0 hppa
Debian Linux 3.0 ia-32
Debian Linux 3.0 ia-64
Debian Linux 3.0 m68k
Debian Linux 3.0 mips
Debian Linux 3.0 mipsel
Debian Linux 3.0 ppc
Debian Linux 3.0 s/390
Debian Linux 3.0 sparc
FreeBSD FreeBSD 4.8
FreeBSD FreeBSD 5.0
Immunix Immunix OS 7+
MandrakeSoft Linux 8.2
MandrakeSoft Linux 8.2 PPC
NetBSD NetBSD 1.5
NetBSD NetBSD 1.5.1
NetBSD NetBSD 1.5.2
NetBSD NetBSD 1.5.3
NetBSD NetBSD 1.6
NetBSD NetBSD 1.6.1
OpenBSD OpenBSD 3.2
OpenBSD OpenBSD 3.3
RedHat Advanced Workstation 2.1
RedHat Enterprise Linux AS 2.1
RedHat Enterprise Linux ES 2.1
RedHat Linux 7.1
RedHat Linux 7.1 for iSeries
RedHat Linux 7.1 for pSeries
RedHat Linux 7.2
RedHat Linux 7.3
RedHat Linux 8.0
S.u.S.E. Linux 7.2
S.u.S.E. Linux 7.3
S.u.S.E. Linux Connectivity Server .
S.u.S.E. Linux Enterprise Server 7
S.u.S.E. Linux Office Server .
Sun Solaris 9.0
Turbo Linux Turbo Linux Server 6.1
Turbo Linux Turbo Linux Workstation 6.0
Turbo Linux Turbo linux Advanced Server 6

Solución:

Cada sistema operativo a sacado su parche o update y ustedes lo pueden conseguir desde:

MandrakeSoft:

http://www.mandrakesecure.net/en/ftp.php

Debian:

http://security.debian.org/pool/updates/main/w/wu-ftpd/

RedHat:

ftp://updates.redhat.com/

SuSE:

ftp://ftp.suse.com/pub/suse/

Conectiva:

ftp://atualizacoes.conectiva.com.br/

FreeBSD:

ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/

OpenBSD:

ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.2/common/015_realpath.patch

NetBSD:

ftp://ftp.netbsd.org/pub/NetBSD/security/patches/SA2003-011-realpath.patch

Immunix:

http://download.immunix.org/ImmunixOS/7+/Updates/RPMS/wu-ftpd-2.6.1-6_imnx_8.i386.rpm

Referencias

http://isec.pl/vulnerabilities/isec-0011-wu-ftpd.txt
https://rhn.redhat.com/errata/RHSA-2003-245.html
http://www.suse.com/de/security/2003_032_wuftpd.html
http://www.openbsd.org/errata32.html#realpath
http://www.turbolinux.com/security/TLSA-2003-46.txt

Hace pocos días os hablabamos sobre un gusano que aprovechaba esta vulnerabilidad de Windows, en concreto hablabamos del gusano CIREBOT.

Ahora ha aparecido un nuevo gusano, que aprovecha de nuevo el famoso bug en RPC (Remote Procedure Call) de Windows. El gusano se propaga a través del puerto TCP/135, copiándose en otras máquinas que son vulnerables al fallo DCOM/RPC.

Las máquinas que son vulnerables son las que corren bajo los sistemas de Microsoft, Windows 2000, XP y Windows Server 2003).

‘Blaster’ está consiguiendo afectar a bastantes sistemas. Como caso destacado ha afectado a la Reserva Federal de Atlanta, como reza la siguiente noticia:

"El virus informático ‘Blaster’ afectó ayer al banco de la Reserva Federal de Atlanta (Georgia, sur), pero no se extendió, ya que el sistema financiero estadounidense no resultó infectado, indicó un responsable de la Reserva Federal.

Los pagos, procesados por lo general a través del sistema bancario, no resultaron interrumpidos, pero sí afectados. "Anoche, la Reserva Federal de Atlanta determinó que una cantidad de nuestro sistemas fueron infectados por el virus ‘Blaster’, explicó el portavoz de la entidad, Pierce Nelson.
"A primera hora de la mañana, la mayor parte del sistema de la Reserva Federal de Atlanta y los ordenadores personales estaban cerrados como una medida de precaución mientras el personal del banco trabaja para asegurar que el virus sea confinado y erradicado", añadió.

Todos los pagos que habitualmente procesa la Reserva Federal de Atlanta prosiguieron como de costumbre, aseguró Nelson. Sin embargo algunos trabajos fueron transferidos a otros bancos del sistema de la Reserva.

En Washington, el portavoz de la Reserva Federal David Skidmore afirmó que Atlanta parece ser la única víctima dentro del sistema y subrayó que los pagos fueron procesados con normalidad."

Os recomendamos las siguientes direcciones relacionadas con este gusano:

- Parche de seguridad para no ser afectados por DCOM RPC:

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

- Herramientas para limpiar el gusano:

ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip
Copyright (C) F-Secure 2003.

http://securityresponse.symantec.com/avcenter/FixBlast.exe
Copyright (C) Symantec 2003.

http://updates.pandasoftware.com/pq/gen/blaster/pqremove.com
Copyright (C) Panda Software 2003.

- Limpiarlo de forma manual:

CTRL+SHIFT+SUPR pinchar sobre administrador de tareas, localizar el proceso MSBLAST.EXE y pinchar sobre terminar proceso.

Editamos el registro de windows con el Regedit.exe y buscamos la cadena; MSBLAST.EXE cuando la encontramos la borramos.

Se recomienda actualizar el sistema operativo.

- Más información y fuentes:

Blaster: http://seguridad.internautas.org/article.php?sid=184&mode=thread&order=0

Blaster ataca la Reserva Federal de Atlanta: http://iblnews.com/noticias/08/84285.html

Cirebot: http://www.shellsec.net/noticias.php?num=190

RPC DCOM: http://www.shellsec.net/noticias.php?num=151

Bardiel es un gusano extremadamente infeccioso y destructivo, reportado el 13 de Agosto del 2003 de alta propagación masiva a través de la mayoría de redes Peer to Peer, MSN Messenger y el ICQ.

Este gusano deshabilita el REGEDIT y al siguiente re-inicio lo borra, conjuntamente con otras importantes herramientas del sistema, para después infectar archivos de múltiples extensiones, tales como documentos de MS Word, Excel, Scripts, etc. y que pueden extenderse a Redes con recursos compartidos.

[ . . . ]

Una vez activado, el gusano terminará los procesos de los siguientes antivirus, firewalls, software de control y archivos asociados que se encuentren instalados en el sistema infectado:

_AVP32.exe
_AVPCC.exe
_AVPM.exe
ADVXDWIN.exe
AGENTW.EXE
ALERTSVC.exe
ALOGSERV.exe
AMON9X.exe
ANTI-TROJAN
ANTS.exe
APVXDWIN.exe
ATCON.exe
ATUPDATER.exe
ATWATCH.exe
AUTODOWN.exe
AVCONSOL.exe
AVGCC32.exe
AVGCTRL.exe
AVGSERV.exe
AVGSERV9.exe
AVGW.exe
AVKPOP.exe
AVKSERV.exe
AVKSERVICE.exe
AVKWCTL9
AVP32.exe
AVPCC.exe
AVPM.exe
AVPM.EXE
AVSCHED32.exe
AVSYNMGR.exe
PAV.EXE
AVWINNT.EXE
AVXMONITOR9X
AVXMONITORNT
AVXQUAR.exe
AVXQUAR.EXE
AVXW.exe
BLACKD.exe
BLACKICE.exe
CCAPP.EXE
CCEVTMGR.EXE
CCPXYSVC.EXE
ETRUSTCIPE.EXE
EVPN.EXE
EXPERT.exe
F-AGNT95.exe
FAMEH32.exe
F-PROT.exe
F-PROT95.exe
FP-WIN.exe
FRW ERV.exe
IOMON98.exe
NAV AUTO-PRO
NAVAP.EXE
NAVAPSVC.EXE
Navapw32.exe
NAVENGNAV.EXE
NAVLU32.EXE
NAVW32.EXE
NAVWNT.EXE
NDD32.EXE
NPSSVC.EXE
NSCHED32.EXE
PCCIOMON.EXE
PCCNTMON.EXE
PCCWIN97.EXE
PCCWIN98.EXE
PCSCAN.EXE
PERSFW.EXE
PERSWF.EXE
POP3TRAP.EXE
RAV7.EXE
VPC32.EXE
VPTRAY.EXE
VSCHED.EXE
AVCONSOL.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSMAIN.EXE
VSMON.EXE
VSSTAT.EXE
ZONEALARM.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
IFACE.EXE
Regedit.EXE
Regedit.com
msconfig.EXE
sfc.EXE
sysedit.EXE
regedt32.EXE
NSPCLEAN.exe
taskmgr.exe
CCAPP.EXE

Para vulnerar los sistemas, el gusano modifica diversas llaves en el registro del sistema.

[ . . . ]

Para infectar a través de las redes Peer to Peer, el gusano se auto-copia a las carpetas:

\KaZaA\My Shared Folder
\edonkey2000\incoming
\gnucleus\downloads
\icq\shared files
\kazaa lite\my shared folders\v
\limewire\shared
\morpheus\my shared folder
\Grokster\My Grokster

Con multitud de ficheros con extensión .exe

[ . . . ]

Sus payloads son los siguientes:

- Se propaga masivamente a través de la mayoría de redes P2P, el ICQ y redes con recursos compartidos.
- Termina los procesos de antivirus, firewalls, software de control y seguridad, dejando a los sistemas infectados vulnerables a los virus y a ataques de intrusos.
- Deshabilita la seguridad e infecta documentos en Microsoft Word y Excel.
- Se propaga a través de unidades de Red con recursos compartidos.
- Deshabilita el REGEDIT.EXE (Editor del registro de Windows) y luego lo borra.
- Borra archivos de diversas extensiones.
- Deja inutilizable al sistema.
- Se deberá re-instalar Windows.

Más información en: http://www.perantivirus.com/sosvirus/virufamo/bardiel.htm