Autor Tema: OJO ALERTA VIRICA, GRAVE VIRUS EN WINDOWS, VIRUS BLASTER  (Leído 32632 veces)

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15153
    • http://www.daboblog.com
OJO ALERTA VIRICA, GRAVE VIRUS EN WINDOWS, VIRUS BLASTER
« en: 02 de Agosto de 2003, 12:53:18 am »
DEBAJO COMO EVITAR EL REINICIO, INFO ACTUALIZADA 14-8-03 A LAS 10,30 H

vacuna en www.daboweb.com/sitemap.htm donde pone "virus blaster , vacuna"

El virus blaster de está propagando masivamente, aprovecha una vulnerabilidad conocida en Windows través de la cual un atacante puede lograr la ejecución de código.

Remote Procedure Call (RPC) es un protocolo empleado por los sistemas operativos Windows para proporcionar mecanismos de comunicación entre procesos de forma que un programa que se ejecute en un sistema pueda ejecutar código en un sistema remoto de forma transparente. La implementación de Microsoft de este protocolo está derivada del protocolo RPC de la OSF (Open Software Foundation) pero con la inclusión de algunas extensiones específicas de Microsoft.

El protocolo RPC se utiliza para que un programa pueda ejecutar código en un ordenador remoto. Por ejemplo, se utiliza el protocolo RPC para la compartición de las impresoras de una red. En el caso de Windows, el servicio RPC está asociado al puerto 135/tcp."

Alias

Nombre: W32/Lovsan.A (MSBlast)
Tipo: Gusano de Internet, caballo de Troya
Alias: W32/Lovsan.worm, MSBlast, Exploit-DcomRpc (variant), W32.Blaster.Worm, Win32.Poza, WORM_MSBLAST.A, W32/Blaster-A, Win32/Lovsan.A, Poza, Win32.Poza, Blaster


Ataca a sistemas
Windows 2000
Windows XP (home y profesional)
Windows NT
Windows 2003 server

Efectos sobre la máquina afectada (los más destacados)

Provoca ataques DOS (denegación de servicio) al sitio Windows Update y al PC afectado
Fuerza un reinicio continuo de la máquina afectada haciendo muy difícil su reparación
Provoca un aumento del tráfico en los puertos de red por los puertos TCP 135 y 4444, y UDP 69. Haciendo la navegación casi imposible

Para parchear el sistema afectado y más info de Microsoft (fundamental además de haber bajado la vacuna)

en la mitad de la pagina vereis algo asi

Windows NT 4.0 Server  

Windows NT 4.0 Terminal Server Edition

Windows 2000

Windows XP 32 bit Edition

Windows XP 64 bit Edition (en inglés)

Windows Server 2003 32 bit Edition

Windows Server 2003 64 bit Edition (en inglés)

pinchar en el vuestro  aqui debajo

http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-026-IT.asp




COMO ACTUAR EN CASO DE REINCIO DEL ORDENADOR CONTINUO

hay varias formas de hacerlo, eliminacion manual

Eliminación manual del virus

Antes de nada, es necesario deshabilitar la conexión a Internet. Esta conexión no se podrá habilitar de nuevo hasta que el virus haya sido eleiminado y el sistema protegido contra nuevas posibles infecciones del propio virus


Terminar el proceso asociado al gusano

Abrir el administrador de tareas de windows (CTRL+MAY+ESC) y seleccionar las pestaña "Procesos"
En la lista que aparece, seleccionar el proceso MSBLAST.EXE y pulsar el botón "Terminar proceso"
Comprobar que se ha finalizado ese proceso (cerrando el administrador de tareas, volviéndolo a abrir y comprobar que no aparece en la lista).
Cerrar el administrador de tareas.

Borrais entradas en el registro

Abrir el editor del registro (pulsar Inicio->Ejecutar, escribir regedit y pulsar la tecla Enter).
En el panel izquierdo, hacer doble click en:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
En el panel derecho, localizar y borrar la entrada ”windows auto update" = MSBLAST.EXE
Cerrar el editor del registro.

Instrucciones adicionales para usuarios de Windows XP
Para estos usuarios, además de los pasos anteriores, es preciso deshabilitar el "RESTAURAR SISTEMA" de Windows XP. Para ello:


Entrais como admistrador del sistema
Doble click sobre "Mi PC" (en el escritorio) y pinchar en "Propiedades"
Ir a RESTAURAR SISTEMA
Seleccionar "Deshabilitar RESTAURAR SISTEMA"
Pulsar Aplicar > Sí > Aceptar
Continuar con el proceso de limpieza.

Escaneado con el antivirus
Indicar al antivirus instalado que haga un escaneado de todo el sistema (asegurarse antes de que el antivirus contiene las últimas actualizaciones). Caso de no tener antivirus, ir al directorio System32 (normalmente C:\Windows\System32 o C:\WINNT\System32) y ahí borrar completamente el fichero MSBLAST.EXE.


Aplicar parche
Puede instalar el parche automáticamente en el sitio de Windows Update (requiere Internet Explorer) o puede dirigirse al Boletín de Seguridad de Microsoft MS03-26 http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-026-IT.asp  y ahí descargar el parche e instalarlo en el sistema. Para hacer la descarga del parche habrá que volver a habilitar la conexión a Internet. Recordad que en este momento su ordenador es vulnerable y puede volver a infectarse de nuevo con el virus. Una vez se ha descargado el parche se puede deshabilitar el acceso a Internet y después instalar (ejecutar el parche). Una vez el parche ha sido instalado el sistema ya no es vulnerable a nuevas infecciones de este virus y el acceso a Internet se puede mantener permanentement.



unas aclaraciones a esta informacion, donde bajar el parche, MUY IMPORTANTE, AQUI >>>  http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-026-IT.asp   UNA VEZ ALLI SELECCIONAIS VUESTRA VERSION DE WINDOWS Y OS BAJAIS EL PARCHE

COMO ACTIVAR EL CORTAFUEGOS DEL XP

VAIS A INICIO>>PANEL DE CONTROL>>CONEXIONES DE RED>>>ALLI PINCHAIS SOBRE LA VUESTRA (SERA RED DE AREA LOCAL, ADSL ETC) DESPUES >>>PROPIEDADES>>>AVANZADAS>>> Y PINCHAIS EN LA CASILLA "PROTEGER MI EQUIPO" ETC ETC, ASI ACTIVAIS EL FIREWALL DEL XP

ES PROBABLE QUE AL ACTIVAR EL FIREWALL ALGUNA FUNCION COMO POR EJEMPLO LA DE ENVIAR ARCHIVOS A TRAVES DE MESSENGER QUEDE BLOQUEADA, ES MEJOR QUE ESTAR INFECTADO NO??


OS PODEIS BAJAR OTRO FIREWALL GRATUITO DESDE LA SECCION SOFTWARE DE LA WEB , EL ZONE ALARM

www.daboweb.com/software.htm   alli lo teneis si no quereis el del XP

-------------------------------------------------------------------------------------
Para saber más

http://www.vsantivirus.com/lovsan-a.htm

http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=det&idvirus=40369

http://www.unam-cert.unam.mx/Notas/Notas2003/nota-UNAM-CERT-2003-008.html
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado MClaud

  • Moderadores
  • ******
  • Mensajes: 2145
OJO ALERTA VIRICA, GRAVE VIRUS EN WINDOWS, VIRUS BLASTER
« Respuesta #1 en: 12 de Agosto de 2003, 07:06:31 pm »
- Panda Software alerta sobre la aparición del nuevo gusano Blaster -
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 12 de agosto, 2003 - El Laboratorio de Virus de Panda Software ha
detectado la aparición del nuevo gusano Blaster (W32/Blaster), que ha sido
diseñado para aprovechar una vulnerabilidad recientemente descubierta en
algunas versiones del sistema operativo Windows.

Blaster no se propaga a través de los medios habituales, sino que circula
por Internet en busca de máquinas sobre las que poder realizar su ataque.
Cuando las encuentra, intenta entrar en el sistema a través del puerto de
comunicaciones 135 con el objetivo de provocar un desbordamiento de buffer.
Así, uno de los síntomas más significativos que pueden indicar una infección
por parte de este código malicioso es un notable aumento de la actividad en
dicho puerto.

Una vez instalado en el equipo, Blaster realiza un examen de las direcciones
IP de la red, con el objetivo de encontrar más ordenadores vulnerables a los
que afectar.

Además, crea en el sistema un fichero denominado msblast.exe, el cual
contiene el código del gusano. Al mismo tiempo, genera una clave en el
registro de Windows con el fin de asegurar su ejecución cada vez que se
reinicie el sistema operativo.

Sin embargo, el principal objetivo de Blaster es infectar el mayor número de
máquinas posible con el fin de realizar un ataque de denegación de servicio
sobre el sitio web windowsupdate.com. El mismo, ha sido programado para
llevarse a cabo el próximo 15 de agosto.

La mencionada vulnerabilidad de Windows, denominada RPC DCOM, consiste en un
desbordamiento de buffer en la interfaz RPC, y ha sido calificada como
"crítica" por la propia compañía Microsoft. Afecta a las versiones NT 4.0,
2000, XP y Windows Server 2003. En líneas generales, se trata de un problema
de seguridad que permitiría hacerse con el control de los equipos de forma
remota. Por ello, y con el fin de evitar posibles ataques, Panda Software
aconseja tanto a los administradores y responsables de informática como a
los usuarios particulares, la instalación inmediata de los parches
proporcionados por Microsoft para corregir dicha vulnerabilidad. Los mismos
pueden ser descargados desde
http://www.microsoft.com/security/security_bulletins/ms03-026.asp donde,
además, puede encontrarse información detallada sobre este problema.

En cualquier caso, ante las incidencias registradas por la red internacional
de servicio de Soporte Técnico de Panda Software, y en prevención de
posibles encuentros con Blaster, se aconseja actualizar de inmediato las
soluciones antivirus. La multinacional ya ha puesto a disposición de sus
clientes las correspondientes actualizaciones de sus productos para la
detección de Blaster, por lo que, si no tienen su software configurado para
realizarlo de modo automático, pueden proceder a actualizar sus antivirus
desde http://www.pandasoftware.es.

Además, los usuarios que lo deseen pueden analizar "online" sus sistemas con
la solución antivirus gratuita Panda ActiveScan, que se encuentra disponible
en la página web de la compañía, en http://www.pandasoftware.es.

Más información sobre Blaster u otros códigos maliciosos en la Enciclopedia
de Virus de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
¡Más vale perder el tiempo con amigos...
Que perder amigos con el tiempo!

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15153
    • http://www.daboblog.com
OJO ALERTA VIRICA, GRAVE VIRUS EN WINDOWS, VIRUS BLASTER
« Respuesta #2 en: 12 de Agosto de 2003, 09:50:25 pm »
perfecto MClaudia, como siempre, gracias por la info extra, ya he puesto una vacuna en la web para el virus

www.daboweb.com/sitemap.htm

a ver si por lo menos nosotros no nos infectamos ya que ese virus puede hacer que lo que falla es la linea telefonica o el cable entre otras cosas :D
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado MClaud

  • Moderadores
  • ******
  • Mensajes: 2145
BLASTER
« Respuesta #3 en: 12 de Agosto de 2003, 09:51:23 pm »
¡Más vale perder el tiempo con amigos...
Que perder amigos con el tiempo!

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15153
    • http://www.daboblog.com
+++++++++++++ info blaster, super peligroso
« Respuesta #4 en: 13 de Agosto de 2003, 02:14:01 am »
BlasterPeligrosidad:    Muy Alta
Propagación:    Epidemia
Daño:   Alto
  Solución para clientes  
  >PCs individuales    
  >Redes pequeñas    
 >Grandes redes  
 
La Peligrosidad varía según el Daño y la Propagación.

 
 
         
 
 
Efectos  
 
Blaster realiza las siguientes acciones:

Realiza ataques de denegación de servicio (DoS) contra el sitio web windowsupdate.com cuando la fecha del sistema se encuentre entre el 16 de agosto y el 31 de diciembre de 2003.
Puede llegar a provocar el bloqueo y reinicio del ordenador atacado, debido a errores de codificación del gusano.
Provoca un aumento del tráfico de red por los puertos TCP 135 y 4444, y UDP 69.
 
Metodo de Infección  
 
Blaster crea el fichero MSBLAST.EXE en el directorio de sistema de Windows. Este fichero contiene el código del gusano.

Blaster crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
”windows auto update” = “msblast.exe”
De esta manera, consigue ejecutarse cada vez que se inicie Windows.
Blaster realiza el siguiente proceso de infección:

El gusano crea un mutex llamado BILLY para comprobar que se encuentra activo. Blaster verifica que la versión de Winsock del sistema sea 1.00, 1.01 ó 2.02, y que haya una conexión válida a Internet; en caso de que no haya conexión, entra en un bucle que realiza dicha comprobación cada 20 segundos.
Blaster genera direcciones IP aleatorias de forma sucesiva, empezando por la red donde se encuentra el ordenador donde se está ejecutando, y pasando después a la siguiente red de clase B (redes con máscara de subred 255.255.0.0).
Blaster intenta aprovechar en la máquina remota, identificada mediante la anterior dirección IP, la vulnerabilidad conocida como Desbordamiento de búffer en interfaz RPC.
Si lo consigue, Blaster lanza una sesión remota y obliga al ordenador atacado a realizar una conexión desde el puerto TCP 4444 de la máquina atacada al puerto UDP 69 de la máquina atacante.
Cuando se establece dicha conexión, el ordenador atacado descarga a través de TFTP una copia del gusano. Para ello, el propio gusano incorpora un servidor TFTP.
Una vez finalizada la descarga, procede a la ejecución remota del fichero enviado, lo cual provoca que el gusano pueda también propagarse desde el equipo atacado.
 
Método de Propagación  
 
Blaster se propaga atacando direcciones IP generadas aleatoriamente. Estas direcciones IP pertenecen tanto a la red en la que se encuentra el ordenador atacado, como a redes de clase B (cuya máscara de subred es 255.255.0.0).

Blaster intenta aprovechar en dichas direcciones IP la vulnerabilidad conocida como Desbordamiento de búffer en interfaz RPC. En caso de conseguirlo, descarga en el ordenador atacado una copia de sí mismo, para lo cual incorpora su propio servidor TFTP.
 
 
Otros Detalles  
 
Para que conozca un poco mejor a Blaster, a continuación le presentamos alguna característica adicional:

Ha sido programado en lenguaje ensamblador.
El fichero que transporta el gusano tiene un tamaño de 6176 Bytes cuando se encuentra comprimido mediante UPX. El fichero descomprimido tiene un tamaño de 11296 Bytes.
Contiene varias cadenas de texto en su interior, aunque no son mostradas en ningún momento:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15153
    • http://www.daboblog.com
W32/Blaster, un gusano con una alta incidencia
« Respuesta #5 en: 13 de Agosto de 2003, 01:54:52 pm »
W32/Blaster, un gusano con una alta incidencia
 
 
Tal como avanzamos ayer por la noche en un boletín de urgencia, se está
propagando con rapidez un gusano que ataca los ordenadores que utilizan
los sistemas operativos Windows (las versiones Windows NT 4.0, Windows
2000, Windows XP y Windows Server 2003).Este gusano se aprovecha de una
vulnerabilidad recientemente descubierta en la interfaz de peticiones a
procedimientos remotos (Remote Procedure Call, RPC) de Windows.

El verano del 2003 será recordado por dos hechos en los que la velocidad
de propagación ha sido un factor clave: la oleada de incendios
forestales y el gran número de usuarios que se ven forzados a reiniciar
sus PC debido a la distribución alcanzada por el gusano W32/Blaster.

W32/Blaster utiliza una vulnerabilidad presente en la interfaz RPC de
Windows, descrita a mediados del pasado mes de julio. Esta
vulnerabilidad permite a un atacante remoto (en este caso, el gusano)
obtener el control completo del sistema vulnerable y la ejecución de
código arbitrario.

El gusano dispone de un algoritmo para generar los rangos de direcciones
IP donde intenta localizar nuevos sistemas vulnerables en los que
intentará propagarse. Este algoritmo está pensado para aumentar las
probabilidades de atacar sistemas situados en redes cercanas.

Para cada dirección IP obtenida, el gusano analiza las 20 direcciones IP
siguientes, intentando establecer una conexión en el puerto 135/tcp. Si
la conexión es satisfactoria, el gusano utilizado dos exploits
diferentes para intentar infiltrarse en el sistema remoto. El primero de
estos exploits sólo funciona si el sistema remoto ejecuta Windows 2000
mientras que el segundo es válido en el caso de que el sistema remoto
utilice Windows XP.

Debido a que el gusano no intenta determinar que versión de Windows
utiliza el sistema remoto, sino que lanza uno u otro exploit de forma
aleatoria, en el momento de enviar el código del exploit puede provocar
la detención inesperada del proceso SVCHOST.EXE en el sistema atacado, l
o que provocará que el sistema se vuelva inestable. En estos casos, la
infección no será satisfactoria, pero el sistema atacado puede quedar
inoperativo.

La función del exploit utilizado es abrir una sesión del intérprete de
órdenes de Windows, asociada al puerto 4444/tcp. Dentro de esta sesión,
el gusano utiliza la utilidad tftp para transferir el código del gusano
al ordenador recién atacado.

Una vez ha conseguido entrar en un ordenador vulnerable, el gusano añade
una entrada en el registro para asegurar su ejecución automática en el
momento en que se reinicie el sistema operativo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"windows auto update"="msblast.exe"

Por otra parte, el gusano también verifica la fecha del sistema. En el
caso de que el día del mes sea igual o posterior a 16, empezará a enviar
una gran cantidad de tráfico (paquetes de 40 bytes enviados cada 20
milisegundos) hacia el puerto 80/tcp de windowsupdate.com. La acción
combinada de un gran número de máquinas infectadas puede tener como
efecto un ataque distribuido de denegación de servicio contra el
servicio de actualizaciones de software de Microsoft.


Eliminación del gusano

Para eliminar manualmente el gusano de un ordenador infectado deben
realizarse los siguientes pasos:

1. Utilizar el administrador de tareas de Windows (accesible mediante la
combinación de teclas Control-Majús-Esc) para finalizar la ejecución
del proceso MSBLAST.EXE

2. Borrar el archivo MSBLAST.EXE del directorio de sistema de Windows

3. Utilizar el editor de registro para borrar la entrada añadida en el
registro
(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows Auto Update).

4. Reiniciar la máquina

Adicionalmente diversos fabricantes de programas antivirus han publicado
herramientas para realizar esta eliminación de forma automática. Algunas
de estas herramientas son

ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip
http://vil.nai.com/vil/stinger
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

No obstante, tal como ya indicamos en nuestro boletín de ayer, la mejor
prevención pasa por evitar la entrada del gusano. Para ello es
importante aplicar la actualización publicada por Microsoft que elimina
la vulnerabilidad RPC de Windows. Esta actualización está disponible en
WindowsUpdate.com o bien descargando el parche específico para cada
versión de Windows (consultar el "una-al-día" del pasado 18 de julio
para las URL de estos parches).
 
 
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1751/comentar

Más Información:

Una-al-día (10-08-03) - Aviso de urgencia: Un nuevo gusano de
propagación masiva
http://www.hispasec.com/unaaldia/1750

Una-al-día (18-07-03) - Desbordamiento de búfer en interfaz RPC de
sistemas Windows
http://www.hispasec.com/unaaldia/1728

MS DCOM RPC Worm
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf

Gusano W32.Blaster
http://www.unam-cert.unam.mx/Notas/Notas2003/nota-UNAM-CERT-2003-008.html

Windows worm starts its spread
http://rss.com.com/2100-1002_3-5062364.html?type=pt∂=rss&tag=feed&subj=news

WORM_MSBLAST_A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

RPC DCOM Worm On The Loose
http://slashdot.org/article.pl?sid=03/08/11/2048249

Aviso del CERT CA-2003-20
W32/Blaster worm
http://www.cert.org/advisories/CA-2003-20.html

Win32.Poza
http://www3.ca.com/virusinfo/virus.aspx?ID=36265

Lovsan
http://www.datafellows.com/v-descs/msblast.shtml

W32/Blaster-A
http://www.sophos.com/virusinfo/analyses/w32blastera.html

Internet Security Systems Security Alert: "MS Blast" MSRPC DCOM Worm
Propagation
http://xforce.iss.net/xforce/alerts/id/150

Win32 Blaster Worm is on the Rise
http://slashdot.org/article.pl?sid=03/08/12/1326237

MSBlaster worm spreading rapidly
http://www.theregister.co.uk/content/56/32286.html

Detalles del virus Blaster
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2880

W32/Lovsan.worm
http://vil.nai.com/vil/content/v_100547.htm

W32.Blaster.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15153
    • http://www.daboblog.com
mas info
« Respuesta #6 en: 13 de Agosto de 2003, 01:58:16 pm »
Nota de Seguridad/UNAM-CERT


UNAM-CERT

Departamento de Seguridad en Cómputo

DGSCA- UNAM

Nota de Seguridad UNAM-CERT 2003-008

Gusano W32.Blaster



--------------------------------------------------------------------------------

El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido ésta Nota de Seguridad en la cual se informa que se han recibido reportes de un gran número de sistemas comprometidos en la redes .mx por un nuevo gusano de Internet conocido como W32.Blaster.Worm o WORM_MSBLAST.A que explota las vulnerabilidades recientes en el archivo de la Interfaz RPC de Microsoft descritas en el Boletín de Seguridad UNAM-CERT 2003-019 , Explotación de vulnerabilidades en Interface RPC de Microsoft y en la Nota de Seguridad UNAM-CERT 2003-006 , Código de Exploit Disponible para la Vulnerabilidad de Servicios RPC de Microsoft .

Fecha de Liberación:  11 de Agosto de 2003  
Ultima Revisión:  - - - - -  
Fuente:  CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes.  




SISTEMAS AFECTADOS



Windows 2000
Windows XP

DESCRIPCIÓN
El gusano W32.Blaster utiliza la vulnerabilidad RPC DCOM para propagarse utilizando el puerto 135 TCP.

Primeramente busca un sistema vulnerable y obtiene un shell en el puerto 4444 y lo utiliza para descarga el gusano vía tftp. El exploit es muy cercano a 'dcom.c' y no parece utilizar únicamente el "universal Win2k".

El nombre del binario es msblast.exe. Este programa está empaquetado con UPX (MSBLAST.EXE-09FF84F2.pf) y se auto extrae. El tamaño del binario empaquetado y desempaquetado es de aproximadamente 11 Kbytes y 6 Kbytes respectivamente.

La firma md5 del programa empaquetado es:

MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)


IMPACTO


Un intruso remoto podría explotar estas vulnerabilidades para ejecutar código arbitrario con privilegios de la cuenta Local System o causar una condición de negación de servicio.

W32.Blaster.Worm usa la vulnerabilidad RPC DCOM como medio de propagación. Una vez que encuentra un sistema vulnerable, este abre una sesión (shell) a través del puerto 4444 y lo usa para bajar el gusano vía aplicación tftp. El exploit por sí mismo es muy parecido al programa 'dcom.c' y al momento solo afecta a plataformas basadas en la arquitectura Windows 2000 y XP.

Diversos reportes aún por confirmar reportan que en dicha herramienta lanzará un ataque de tipo Synflood contra windowsupdate.com el día 16, afectando a los equipos Windows 2000 y Windows XP. A la fecha esto no ha sido corroborado y en estos momentos UNAM-CERT se encuentra analizando estos reportes y en comunicación permanente con el equipo de seguridad de Microsoft. en cuanto se confirme/descarte esta información se mantendrá una actualización de este documento.

La secuencia de infección sobre los equipos es la siguiente:

Máquina fuente envía paquetes el puerto 135 TCP con algunas variaciones del exploit descrito en la Nota de Seguridad UNAM-CERT 2003-006 dcom.c a sus objetivos.


Esto provoca que en el equipo destino le otorgue una sesión (shell) a través del puerto 4444.


La máquina fuente envía el comando tftp get a la máquina destino usando el shell en el puerto 4444


La máquina destino se conecta vía tftp server al servidor fuente, bajando con ello el exploit.


SOLUCIÓN


Eliminación Manual

2. Detener el proceso creado por el gusano denominado msblast.exe mediante el Administrador de Tareas de Windows.

3. Eliminar la clave del Registro creada por el gusano:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Eliminar el archivo binario (msblast.exe) y el archivo empaquetado (MSBLAST.EXE-09FF84F2.pf) del sistema.

5. En Windows XP activar el Servidor de Seguridad de conexión a Internet (Internet Conexión Firewall).


'Inicio', 'Panel de Control', 'Conexiones de Red e Internet', 'Conexiones de Red'.
Clic con el botón derecho del ratón la 'Conexión de Red de Área Local' y seleccionar 'Propiedades'.
En la pestaña de 'Avanzadas' activar el cuadro de verificación 'Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet' y. dar clic en 'Aceptar'.
6. Todos los usuarios deben aplicar las actualizaciones mencionadas en el Boletín de Seguridad de Microsoft MS03-026 tan pronto como sea posible con el objetivo de solucionar la vulnerabilidad descrita en VU#568148. Estas actualizaciones también están disponibles mediante el servicio Windows Update de Microsoft.

Los sistemas ejecutando Windows 2000 podrían permanecer vulnerables al ataque de negación de servicio mencionado en la Nota de Vulnerabilidad VU#326746 si el servicio de RPC DCOM está disponible mediante la red. De esta forma, se recomienda a los administradores de los sitios aplicar las recomendaciones de filtrado de paquetes mencionadas a continuación, además de aplicar las actualizaciones proporcionadas en Boletín de Seguridad de Microsoft MS03-026.


APÉNDICE A. Información de Distribuidores


Este apéndice contiene información proporcionada por los distribuidores de éste boletín. Si un distribuidor en particular reporta nueva información al CERT/UNAM-CERT, esta sección será actualizada.


Microsoft

Consulte el Boletín de Seguridad de Microsoft MS03-026.



APÉNDICE B. Distribuidores Antivirus


Para obtener mayor información acerca del gusano W32.Blaster.Worm se pueden consultar los siguientes sitios Web:

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
http://www.f-secure.com/v-descs/msblast.shtml
http://www.hacksoft.com.pe/virus/w32_blaster.htm
http://www.f-prot.com/news/vir_alert/msblast.html
http://www.enciclopediavirus.com/virus/vervirus.php?id=497
http://www.vsantivirus.com/lovsan-a.htm


APÉNDICE C. Referencias



Boletín de Seguridad UNAM-CERT-2003-019 - http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-019.html.
Nota de Seguridad UNAM-CERT 2003-006 - http://www.unam-cert.unam.mx/Notas/Notas2003/nota-UNAM-CERT-2003-006.html
Nota de Vulnerabilidad del CERT/CC VU#561284 - http://www.kb.cert.org/vuls/id/561284
Nota de Vulnerabilidad del CERT/CC VU#326746 - http://www.kb.cert.org/vuls/id/326746
Boletín de Seguridad de Microsoft MS03-026 - http://microsoft.com/technet/security/bulletin/MS03-026.asp
Artículo 823980 de Microsoft Knowledge Base - http://support.microsoft.com?kbid=823980



--------------------------------------------------------------------------------

El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en las pruebas, elaboración y revisión de ésta Nota de Seguridad a:

Omar Hernández Sarmiento ([email protected])
Fernando Zaragoza Hernández ([email protected])
Carlos Juárez Anguiano ([email protected])
Jesús R. Jiménez Rojas ([email protected])


--------------------------------------------------------------------------------


INFORMACIÓN
Para mayor información acerca de éste boletín de seguridad contactar a:


UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : [email protected]
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15153
    • http://www.daboblog.com
VARIANTES
« Respuesta #7 en: 14 de Agosto de 2003, 01:08:12 pm »
Virus: Blaster.C     Peligrosidad: 3 - Media    Fecha: 14/08/2003 07:06

Otra viarante más de la familia Blaster. Se propaga en sistemas Windows 2000 y XP que no están parchados contra la vulnerabilidad DCOM RPC. Se diferencia de los otros gusanos en que ahora en lugar de utilizar "msblast.exe" (como nombre de fichero donde reside el gusano), utiliza "teekids.exe". El resto permanece igual.

Virus: Blaster.B     Peligrosidad: 3 - Media    Fecha: 14/08/2003 06:27

Es un gusano muy similar al famoso Blaster. Se diferencia de él en que únicamente intenta replicarse y afectar a sistemas Windows 2000 y Windows XP. Otra diferencia es que se copia a sí mismo en C:\Windows\System32\ como en vez de MSBlast.exe (como hace el Blaster original). Todo lo demás es muy similar.
 


Alerta: Gusano Blaster
 
 
El gusano Blaster, también conocido como MsBlast o LovSan está provocando un gran número de infecciones desde las primeras horas del 12 de Agosto.

Aprovecha una vulnerabildad en el servicio RPC de sistemas Windows NT/2000/XP/2003 descrita en Boletín de Seguridad de Microsoft MS03-26. Se propaga mediante el puerto TCP/135, así que no debería afectar a ordenadores con un cortafuegos correctamente configurado, dado que en general no es recomendable tener el servicio RPC expuesto en Internet.

El síntoma más claro (y molesto) para los usuarios afectados es que fuerza el apagado del ordenador infectado a los pocos minutos de funcionamiento, mostrando un mensaje que tal que el siguiente:

"Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHYSYSTEM
Este comportamiento no parece ser intencionado, sino que es debido a errores en la programación del gusano.
Recomendaciones:

Si necesita información sobre cómo eliminar este virus, visite nuestra página sobre el gusano Blaster.
Los usuarios de sistemas potencialmente vulnerables deben asegurarse de tener instalado el parche. La forma más simple es navegar al sitio de Windows Update e instalar todas las actualizaciones críticas.
Además, para prevenir este y otros problemas es muy recomendable tener corriendo un cortafuegos en cualquier ordenador conectado a Internet.
 


Noticias de prensa interesantes:
 
Hispasec: W32/Blaster, un gusano con una alta incidencia


http://www.hispasec.com/unaaldia/1751
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License