Worm.W32/Blaster.G
Alias:
W32/Blaster.G.worm (Panda Software)
Descripción:
Es un gusano que sólo afecta a ordenadores con sistemas operativos
Windows 2003/XP/2000/NT. Blaster.G aprovecha la vulnerabilidad
conocida como Desbordamiento de búffer en interfaz RPC para
propagarse al mayor número de ordenadores posible.
Blaster.G producirá ataques de denegación de servicio (DoS) contra
el sitio web windowsupdate.com durante los días 15 a 31 de cada
mes, y durante todos los días de los meses de septiembre a
diciembre de cualquier año. Para ello, Blaster.G envía un paquete
de tamaño 40 Bytes a dicho sitio web cada 20 milisegundos, a través
del puerto TCP 80.
Blaster.G se propaga atacando direcciones IP generadas
aleatoriamente, intentando aprovechar la vulnerabilidad arriba
mencionada para descargar en el ordenador atacado una copia de sí
mismo, para lo cual incorpora su propio servidor de TFTP (Trivial
File Transfer Protocol).
Si su ordenador tiene como sistema operativo Windows
2003/XP/2000/NT, es recomendable descargar el parche de seguridad
desde la Web de Microsoft.
Detalles:
Más información sobre la vulnerabilidad y
descarga del parche en el
Boletín de seguridad de Microsoft MS03-026-IT
Efectos
Blaster.G realiza las siguientes acciones:
Realiza ataques de denegación de servicio
(DoS) contra el sitio web windowsupdate.com durante los días 15 a
31 de cada mes, y durante todos los días de los meses de septiembre
a diciembre de cualquier año. Puede llegar a provocar el bloqueo y
reinicio del ordenador atacado, debido a errores de codificación
del gusano. Provoca un aumento del tráfico de red por los puertos
TCP 135 y 4444, y UDP 69.
Método de
Infección
Blaster.G crea el fichero ENILORA.EXE en el
directorio de sistema de Windows. Este fichero contiene el código
del gusano. Blaster.G crea la siguiente entrada en el Registro de
Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\
Run windows auto update” = “enilora.exe”
De esta manera, consigue ejecutarse cada vez
que se inicie Windows.
Blaster.G realiza el siguiente proceso de
infección:
El gusano crea un mutex llamado BILLY para
comprobar que se encuentra activo. Blaster.G verifica que la versión
de Winsock del sistema sea 1.00, 1.01 ó 2.02, y que haya una conexión
válida a Internet; en caso de que no haya conexión, entra en un
bucle que realiza dicha comprobación cada 20 segundos.
Blaster.G genera direcciones IP aleatorias de
forma sucesiva, empezando por la red donde se encuentra el ordenador
donde se está ejecutando, y pasando después a la siguiente red de
clase B (redes con máscara de subred 255.255.0.0).
Blaster.G intenta aprovechar en la máquina
remota, identificada mediante la anterior dirección IP, la
vulnerabilidad conocida como Desbordamiento de búffer en interfaz
RPC.Si lo consigue, Blaster.G lanza una sesión remota y obliga al
ordenador atacado a realizar una conexión desde el puerto TCP 4444
de la máquina atacada al puerto UDP 69 de la máquina atacante.
Cuando se establece dicha conexión, el
ordenador atacado descarga a través de TFTP una copia del gusano.
Para ello, el propio gusano incorpora un servidor TFTP.
Una vez finalizada la descarga, procede a la
ejecución remota del fichero enviado, lo cual provoca que el gusano
pueda también propagarse desde el equipo atacado.
Método de
Propagación
Blaster.G se propaga atacando direcciones IP
generadas aleatoriamente. Estas direcciones IP pertenecen tanto a la
red en la que se encuentra el ordenador atacado, como a redes de
clase B (cuya máscara de subred es 255.255.0.0).
Blaster.G intenta aprovechar en dichas
direcciones IP la vulnerabilidad conocida como Desbordamiento de búffer
en interfaz RPC. En caso de conseguirlo, descarga en el ordenador
atacado una copia de sí mismo, para lo cual incorpora su propio
servidor TFTP.
Otros
detalles
Solución:
- Uso de antivirus actualizado.
Más información acerca de este virus en:
Fuente: red.es |
