Worm:Win32/Visal.B - Un virus que afecta Exchange

Hola a Todos,

 

El día de ayer se ha detectado un nuevo malware que se encarga de distribuirse automáticamente utilizando los contactos de la GAL. En la mayoría de los casos, los usuarios reciben un email con el asunto "Here you have" con un link a un archivo .pdf o wmv que se encuentra en un sitio externo. Sin embargo este link contiene un .scr con código malicioso que una vez ejecutado comienza a propagarse via mail a los contactos del usuario, incluyendo la Libreta Global de Direcciones.

 

Visal.B utiliza MAPI para realizar su envío masivo a todos los contactos encontrados en el sistema infectado. En entornos Corporativos esto también puede afectar la libreta global de direcciones (GAL). A medida que más computadoras son infectadas, más correo electrónico es enviado en la red local, lo que puede causar la degradación en la performance de los servidores de correo Exchange. Hemos visto clientes con más de un millon de correos encolados. Si están experimentando este problema, la gente de CSS ha preparado este plan de acción: 

 

Paso 1: Instruir a los usuarios a ignorar/eliminar correos electrónicos similares a:

 

 

Subject: hi

Hello:

This is The Free Dowload Sex Movies,you can find it Here.

hxxp://malicious-link-omitted/library/SEX21.025542010.wmv

Enjoy Your Time.

Cheers,

 

o

 

Subject: Just for you

Hello:

This is The Document I told you about,you can find it Here.

hxxp://malicious-link-omitted/library/PDF_Document21.025542010.pdf

Please check it and reply as soon as possible.

Cheers,

 

O

 

Subject: Here you have

Hello:

This is The Document I told you about,you can find it Here.

hxxp://malicious-link-omitted/library/PDF_Document21.025542010.pdf

Please check it and reply as soon as possible.

Cheers,

 

 

Paso 2: Actualizar Antivirus en maquinas clientes y servidores y remover el malware

 

  • Otros Antivirus: Por favor consultar con su respectivo proveedor.

 

Paso 3: A trabajar en Exchange!

 

En Exchange 2007/2010 deberán configurar una regla de transport para eliminar todo mensaje entrante que contenga el asunto "Here you Have". Pasos a seguir:

 

  • Abrir Exchange Management Console
  • Organization Configuration > Hub Transport > Transport Rules
  • New Transport Rule
  • Completar el nombre de la regla y cualquier otro comentario y asegurarse que la regla quede en estado "Enabled"
  • Next
  • Conditions: When the Subject field contains specific words "Here You Have"
  • Actions: silently drop the message
  • Click New para crear la regla y reiniciar el servicio "Microsoft Exchange Transport"

 

Más información sobre reglas de transporte por aquí

 

En Exchange 2003 no es posible crear una regla de transporte, sin embargo pueden utilizar Intelligent Message Filter (IMF) para que haga un trabajo similar:

 

  1. En Exchange System Manager, dentro de "Global Settings" ir a las propiedades de "Message Delivery"
  1. En el tab de "Intellingent Message Filter", dentro de "Gateway Blocking Configuration", configurar el umbral a 8 o superior.

 

  1. Aplicar este cambio.

 

  1. Tomar el archivo XML adjunto al post y ubicarlo en la carpeta C:Program FilesExchsrvrBinMSCFV2. Si se han aplicado actualizaciones a IMF, deberían haber carpetas adicionales dentro de MSCFV2. Ubicar el archivo .xml en la carpeta más reciente.
  1. En condiciones normales IMF se aplica únicamente a tráfico no autenticado. Para que se analicen TODOS los mensajes, configurar la siguiente llave de registro:

 

Hkey_Local_MachineSoftwareMicrosoftExchange

Add a new Key called ContentFilter

Add a DWORD Value to this new Key Called CheckAuthSessions and set it to 1.

 

  1. En las propiedades del SMTP Virtual Server, hacer click en el botón "Advanced" del tab "General".

 

  1. Seleccionar la opcón "Apply Intelligent Messaging Filter"

 

  1. Aplicar los cambios y reiniciar el servicio SMTP.

 

Importante, esto solamente aplicará a los mails que lleguen via SMTP.

 

 

Seguramente si están experimentando este problema se encontrarán que hay muchos mensajes encolados. Los siguientes cmdlet de Exchange 2007/2010 elimina los mensajes con el asunto "Here you have" de los queues:

 

Get-TransportServer | Get-Queue | get-message -resultsize unlimited| where{$_.Subject -eq "Here you have" -and $_.Queue -notlike “*Submission*"} | suspend-message

Get-TransportServer | Get-Queue | get-message -resultsize unlimited | where{$_.Subject -eq "Here you have" -and $_.Queue -notlike “*Submission*"} |remove-message -WithNDR $False

 

 

Algunas consideraciones para estos cmdlets:

 

  • Si hay otras reglas de transporte, deberán ser deshabilitadas temporalmente.
  • Si no tienen instalado Service Pack 3 de Exchange 2007, no podrán borrar mensajes del queue "Submission"
  • La recomendación es pausar el servicio de Transporte (MSExchangeTransport) y luego ejecutar los cmdlets.

 

En Exchange 2003 los mensajes encolados son archivos .eml guardados en la carpeta Queue del servicio SMTP. Pueden utilizar algún mecanismo de búsqueda en esta carpeta para encontrar aquellos mensajes que cumplan la condición del asunto "Here you have" y proceder a eliminarlos. Va a ser necesario detener el servicio de transporte.

 

Con respecto a eliminar los correos "peligrosos" de los buzones de los usuarios pueden utilizar ExMerge en Exchange 2003:

Using EXMERGE To Delete Message From Your Exchange Server

 

En 2007 pueden hacerlo por medio de PowerShell, obviamente teniendo Full Mailbox Access otorgado en la cuenta con la que corran el cmdlet:

 

Get-Mailbox -Server Server1 | Export-Mailbox -SubjectKeywords "Here you have" –IncludeFolders “/Inbox” –StartDate “09/08/2010” –EndDate “09/09/2010” -DeleteContent -TargetMailbox VirusMailbox -TargetFolder VirusMsgs -Confirm:$false

 

Otra herramienta que va a ayudar en este caso es ExMON, la cual pueden utilizar para identificar usuarios infectados que esten enviando mensajes de manera masiva impactando la performance del Information Store: Microsoft Exchange User Monitor 

 

Asi mismo si el virus está infectando a la organización y causando un gran impacto en los servicios de mensajería, es recomendable deshabilitar el acceso MAPI sobre los buzones, para luego habilitarlo a medida que los sistemas estén limpios y libres de virus: How to disable MAPI client access to a computer that is running Exchange Server 

 

Encontrarán mayor cantidad de información sobre esta amenaza en los siguientes recursos:

 

 

Por favor, revisen y prueben los procedimientos que se presentan en este artículo, ya que podrían eliminar correo electrónico legítimo y no solo del virus.

 

Espero que sea de utilidad y si tienen alguna duda, pueden comentar.

 

UPDATE DE ULTIMO MOMENTO: Malware Protection Center ha lanzado un update sobre este virus aquí.

 

Saludos!