Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.WNT/Blaster@RPC

Alias:
WORM_MSBLAST.A (Trend Micro), W32/Blaster (Panda Software), W32/Lovsan.worm (McAfee), W32.Blaster.Worm (Symantec), I-worm.Lovsan (Kaspersky (viruslist.com)), Troj/Msblas (PerAntivirus), WIN32/LOVSAN.A (Enciclopedia Virus (Ontinent)), W32/Blaster-A (Sophos), Win32.Poza (Computer Associates), W32/Blaster (Hacksoft)

Descripción:
Se trata de un virus con una capacidad de propagación muy elevada. Esto lo consigue porque hace uso de una vulnerabilidad de los sistemas Windows NT, 2000 XP y 2003 (que son los únicos afectados) conocida como  "Desbordamiento de búfer en RPC DCOM ".

Se trata de una vulnerabilidad para la que hay parche desde Junio de 2003, todos los usuarios que no hayan actualizado su sistema desde esa fecha deberían hacerlo inmediatamente. Por otra parte se propaga usando el puerto TCP 135, que no debería estar accesible en sistemas conectados a Internet con un cortafuegos correctamente configurado.

Los efectos destructivos consisten en lanzar ataques de denegación de servicio con el web de Microsoft "windows update" y quizás provocar inestabilidad en el sistema infectado.

Detalles:

Vulnerabilidad Windows en "RPC DCOM "

Este gusano explota la vulnerabilidad conocida como "Desbordamiento de Búfer en RPC DCOM", una vulnerabilidad en llamadas a procedimiento remoto (RPC) mediante el modelo de objetos distribuidos (DCOM). Esta vulnerabilidad permite que un atacante remoto obtenga acceso total al sistema atacado y ejecute sobre él código arbitrario.

Más información sobre este vulnerabilidad en el
Boletín de Seguridad de Microsoft MS03-26


Método de propagación

El gusano está constamente escaneando subredes IP de clase C; empieza por una dirección x.y.z.0, donde x,y,z son valores aleatorios, y barre el rango de direcciones incrementando de uno en uno el cuarto octeto. Si en alguna de estas direcciones IP se encuentra con un sistema vulnerable que aún no ha sido infectado, entonces le enviará datos al puerto 135 con el fin de provocar el desbordamiento de búfer. Este desbordamiento permite al gusano abrir en el sistema atacado una shell remota. A esa shell se le envían los comandos correspondientes para que el sistema, mediante protocolo TFTP, descarge el fichero msblast.exe en el directorio de sistema de Windows.

NOTAS:
1.- Normalmente este directorio es C:\Windows\System32 o bien C:\WINNT\System32.
2.- TFTP (trivial file transfer protocol) es un protocolo FTP simplificado.

Además, se le ordenará al sistema infectado, mediante la shell remota, que que ejecute ese fichero (que es el que se acaba de descargar y el que contiene el gusano).

Ataque de denegación de servicio distribuido

  • En los meses de enero a agosto, el gusano lanzará un ataque de denegación de servicio desde el día 16 de esos meses hasta el 31.
  • El resto de meses, de septiembre a diciembre, el gusano lanzará ese ataque todos los días del mes.
  • En la versión actual del gusano, enviará paquetes de 40 bytes cada 20 milisegundos al puerto 80 de "windowsupdate.com".


Efectos en el sistema infectado

En ocasiones, y debido a un error en el exploit utilizado para aprovecharse de la falla mencionada, se muestra el siguiente mensaje antes de que el sistema se cierre: 

  Apagar el sistema

  Se está apagando el sistema. Guarde todo
  trabajo en curso y cierre la sesión. Se perderá
  cualquier cambio que no haya sido guardado.
  El apagado ha sido iniciado por NT
  AUTORITHY\SYSTEM

  Tiempo restante
  para el apagado: xx:xx:xx

  Mensaje
  Windows debe reiniciar ahora porque el
  servicio Llamada a procedimiento
  remoto (RPC) terminó de forma inesperada

Esto ocurrirá continuamente hasta que sea limpiada la infección.

El gusano también se ejecuta como un servidor TFTP en la computadora atacada usando el puerto UDP/69, con lo que permite que la víctima sirva de host a otros usuarios para que descarguen de allí una copia del gusano (MSBLAST.EXE).

Abre el puerto TCP/4444 en la computadora infectada, aceptando comandos de un usuario remoto. No hay indicios de que el puerto siga abierto después del envío de las instrucciones.


Claves añadidas al registro

El gusano añade alguna de las siguientes claves: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill


Otros detalles

  • El gusano utiliza los puertos TCP 135, 4444 y el UDP 69.
  • Está empaquetado con UPX.
  • El gusano contiene el siguiente texto dentro de su código: 
    I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!
  • Ha sido programado en ensamblador.

Solución:

Enlaces a herramientas que eliminan el virus

Los principales fabricantes antivirus han publicado herramientas, que pueden descargarse gratuitamente desde sus páginas web, y que eliminan este gusano de un sistema infectado. Damos aquí un listado de algunas de esas herramientas:

  • Terminar el proceso asociado al gusano
    1. Abrir el administrador de tareas de windows (CTRL+SHIFT+ESC) y seleccionar las pestaña "Procesos"
    2. En la lista que aparece, seleccionar el proceso MSBLAST.EXE y pulsar el botón "Terminar proceso"
    3. Comprobar que se ha finalizado ese proceso (cerrando el administrador de tareas, volviéndolo a abrir y comprobar que no aparece en la lista).
    4. Cerrar el administrador de tareas.

     

  • Borrar entradas en el registro
    1. Abrir el editor del registro (pulsar Inicio->Ejecutar, escribir regedit y pulsar la tecla Enter).
    2. En el panel izquierdo, hacer doble click en:
      HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
    3. En el panel derecho, localizar y borrar la entrada ”windows auto update" = MSBLAST.EXE
    4. Cerrar el editor del registro.

     

  • Instrucciones adicionales para usuarios de Windows XP

    Para estos usuarios, además de los pasos anteriores, es preciso deshabilitar el "System Restore" de Windows XP. Para ello:

    1. Entrar como admistrador del sistema
    2. Doble click sobre "Mi PC" (en el escritorio) y pinchar en "Propiedades"
    3. Ir a System Restore
    4. Seleccionar "Deshabilitar System Restore"
    5. Pulsar Aplicar > Sí > Aceptar
    6. Continuar con el proceso de limpieza.

     

  • Escaneado con el antivirus

    Indicar al antivirus instalado que haga un escaneado de todo el sistema (asegurarse antes de que el antivirus contiene las últimas actualizaciones). Caso de no tener antivirus, ir al directorio System32 (normalmente C:\Windows\System32 o C:\WINNT\System32) y ahí borrar completamente el fichero MSBLAST.EXE.

     

  • Aplicar parche

    Puede instalar el parche automáticamente en el sitio de Windows Update (requiere Internet Explorer) o puede dirigirse al Boletín de Seguridad de Microsoft MS03-26 y ahí descargar el parche e instalarlo en el sistema.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados