SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware

OJO ALERTA VIRICA, GRAVE VIRUS EN WINDOWS, VIRUS BLASTER

<< < (2/2)

Dabo:
W32/Blaster, un gusano con una alta incidencia
 
 
Tal como avanzamos ayer por la noche en un boletín de urgencia, se está
propagando con rapidez un gusano que ataca los ordenadores que utilizan
los sistemas operativos Windows (las versiones Windows NT 4.0, Windows
2000, Windows XP y Windows Server 2003).Este gusano se aprovecha de una
vulnerabilidad recientemente descubierta en la interfaz de peticiones a
procedimientos remotos (Remote Procedure Call, RPC) de Windows.

El verano del 2003 será recordado por dos hechos en los que la velocidad
de propagación ha sido un factor clave: la oleada de incendios
forestales y el gran número de usuarios que se ven forzados a reiniciar
sus PC debido a la distribución alcanzada por el gusano W32/Blaster.

W32/Blaster utiliza una vulnerabilidad presente en la interfaz RPC de
Windows, descrita a mediados del pasado mes de julio. Esta
vulnerabilidad permite a un atacante remoto (en este caso, el gusano)
obtener el control completo del sistema vulnerable y la ejecución de
código arbitrario.

El gusano dispone de un algoritmo para generar los rangos de direcciones
IP donde intenta localizar nuevos sistemas vulnerables en los que
intentará propagarse. Este algoritmo está pensado para aumentar las
probabilidades de atacar sistemas situados en redes cercanas.

Para cada dirección IP obtenida, el gusano analiza las 20 direcciones IP
siguientes, intentando establecer una conexión en el puerto 135/tcp. Si
la conexión es satisfactoria, el gusano utilizado dos exploits
diferentes para intentar infiltrarse en el sistema remoto. El primero de
estos exploits sólo funciona si el sistema remoto ejecuta Windows 2000
mientras que el segundo es válido en el caso de que el sistema remoto
utilice Windows XP.

Debido a que el gusano no intenta determinar que versión de Windows
utiliza el sistema remoto, sino que lanza uno u otro exploit de forma
aleatoria, en el momento de enviar el código del exploit puede provocar
la detención inesperada del proceso SVCHOST.EXE en el sistema atacado, l
o que provocará que el sistema se vuelva inestable. En estos casos, la
infección no será satisfactoria, pero el sistema atacado puede quedar
inoperativo.

La función del exploit utilizado es abrir una sesión del intérprete de
órdenes de Windows, asociada al puerto 4444/tcp. Dentro de esta sesión,
el gusano utiliza la utilidad tftp para transferir el código del gusano
al ordenador recién atacado.

Una vez ha conseguido entrar en un ordenador vulnerable, el gusano añade
una entrada en el registro para asegurar su ejecución automática en el
momento en que se reinicie el sistema operativo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"windows auto update"="msblast.exe"

Por otra parte, el gusano también verifica la fecha del sistema. En el
caso de que el día del mes sea igual o posterior a 16, empezará a enviar
una gran cantidad de tráfico (paquetes de 40 bytes enviados cada 20
milisegundos) hacia el puerto 80/tcp de windowsupdate.com. La acción
combinada de un gran número de máquinas infectadas puede tener como
efecto un ataque distribuido de denegación de servicio contra el
servicio de actualizaciones de software de Microsoft.


Eliminación del gusano

Para eliminar manualmente el gusano de un ordenador infectado deben
realizarse los siguientes pasos:

1. Utilizar el administrador de tareas de Windows (accesible mediante la
combinación de teclas Control-Majús-Esc) para finalizar la ejecución
del proceso MSBLAST.EXE

2. Borrar el archivo MSBLAST.EXE del directorio de sistema de Windows

3. Utilizar el editor de registro para borrar la entrada añadida en el
registro
(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows Auto Update).

4. Reiniciar la máquina

Adicionalmente diversos fabricantes de programas antivirus han publicado
herramientas para realizar esta eliminación de forma automática. Algunas
de estas herramientas son

ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip
http://vil.nai.com/vil/stinger
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

No obstante, tal como ya indicamos en nuestro boletín de ayer, la mejor
prevención pasa por evitar la entrada del gusano. Para ello es
importante aplicar la actualización publicada por Microsoft que elimina
la vulnerabilidad RPC de Windows. Esta actualización está disponible en
WindowsUpdate.com o bien descargando el parche específico para cada
versión de Windows (consultar el "una-al-día" del pasado 18 de julio
para las URL de estos parches).
 
 
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1751/comentar

Más Información:

Una-al-día (10-08-03) - Aviso de urgencia: Un nuevo gusano de
propagación masiva
http://www.hispasec.com/unaaldia/1750

Una-al-día (18-07-03) - Desbordamiento de búfer en interfaz RPC de
sistemas Windows
http://www.hispasec.com/unaaldia/1728

MS DCOM RPC Worm
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf

Gusano W32.Blaster
http://www.unam-cert.unam.mx/Notas/Notas2003/nota-UNAM-CERT-2003-008.html

Windows worm starts its spread
http://rss.com.com/2100-1002_3-5062364.html?type=pt∂=rss&tag=feed&subj=news

WORM_MSBLAST_A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

RPC DCOM Worm On The Loose
http://slashdot.org/article.pl?sid=03/08/11/2048249

Aviso del CERT CA-2003-20
W32/Blaster worm
http://www.cert.org/advisories/CA-2003-20.html

Win32.Poza
http://www3.ca.com/virusinfo/virus.aspx?ID=36265

Lovsan
http://www.datafellows.com/v-descs/msblast.shtml

W32/Blaster-A
http://www.sophos.com/virusinfo/analyses/w32blastera.html

Internet Security Systems Security Alert: "MS Blast" MSRPC DCOM Worm
Propagation
http://xforce.iss.net/xforce/alerts/id/150

Win32 Blaster Worm is on the Rise
http://slashdot.org/article.pl?sid=03/08/12/1326237

MSBlaster worm spreading rapidly
http://www.theregister.co.uk/content/56/32286.html

Detalles del virus Blaster
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2880

W32/Lovsan.worm
http://vil.nai.com/vil/content/v_100547.htm

W32.Blaster.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

Dabo:
Nota de Seguridad/UNAM-CERT


UNAM-CERT

Departamento de Seguridad en Cómputo

DGSCA- UNAM

Nota de Seguridad UNAM-CERT 2003-008

Gusano W32.Blaster



--------------------------------------------------------------------------------

El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido ésta Nota de Seguridad en la cual se informa que se han recibido reportes de un gran número de sistemas comprometidos en la redes .mx por un nuevo gusano de Internet conocido como W32.Blaster.Worm o WORM_MSBLAST.A que explota las vulnerabilidades recientes en el archivo de la Interfaz RPC de Microsoft descritas en el Boletín de Seguridad UNAM-CERT 2003-019 , Explotación de vulnerabilidades en Interface RPC de Microsoft y en la Nota de Seguridad UNAM-CERT 2003-006 , Código de Exploit Disponible para la Vulnerabilidad de Servicios RPC de Microsoft .

Fecha de Liberación:  11 de Agosto de 2003  
Ultima Revisión:  - - - - -  
Fuente:  CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes.  




SISTEMAS AFECTADOS



Windows 2000
Windows XP

DESCRIPCIÓN
El gusano W32.Blaster utiliza la vulnerabilidad RPC DCOM para propagarse utilizando el puerto 135 TCP.

Primeramente busca un sistema vulnerable y obtiene un shell en el puerto 4444 y lo utiliza para descarga el gusano vía tftp. El exploit es muy cercano a 'dcom.c' y no parece utilizar únicamente el "universal Win2k".

El nombre del binario es msblast.exe. Este programa está empaquetado con UPX (MSBLAST.EXE-09FF84F2.pf) y se auto extrae. El tamaño del binario empaquetado y desempaquetado es de aproximadamente 11 Kbytes y 6 Kbytes respectivamente.

La firma md5 del programa empaquetado es:

MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)


IMPACTO


Un intruso remoto podría explotar estas vulnerabilidades para ejecutar código arbitrario con privilegios de la cuenta Local System o causar una condición de negación de servicio.

W32.Blaster.Worm usa la vulnerabilidad RPC DCOM como medio de propagación. Una vez que encuentra un sistema vulnerable, este abre una sesión (shell) a través del puerto 4444 y lo usa para bajar el gusano vía aplicación tftp. El exploit por sí mismo es muy parecido al programa 'dcom.c' y al momento solo afecta a plataformas basadas en la arquitectura Windows 2000 y XP.

Diversos reportes aún por confirmar reportan que en dicha herramienta lanzará un ataque de tipo Synflood contra windowsupdate.com el día 16, afectando a los equipos Windows 2000 y Windows XP. A la fecha esto no ha sido corroborado y en estos momentos UNAM-CERT se encuentra analizando estos reportes y en comunicación permanente con el equipo de seguridad de Microsoft. en cuanto se confirme/descarte esta información se mantendrá una actualización de este documento.

La secuencia de infección sobre los equipos es la siguiente:

Máquina fuente envía paquetes el puerto 135 TCP con algunas variaciones del exploit descrito en la Nota de Seguridad UNAM-CERT 2003-006 dcom.c a sus objetivos.


Esto provoca que en el equipo destino le otorgue una sesión (shell) a través del puerto 4444.


La máquina fuente envía el comando tftp get a la máquina destino usando el shell en el puerto 4444


La máquina destino se conecta vía tftp server al servidor fuente, bajando con ello el exploit.


SOLUCIÓN


Eliminación Manual

2. Detener el proceso creado por el gusano denominado msblast.exe mediante el Administrador de Tareas de Windows.

3. Eliminar la clave del Registro creada por el gusano:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Eliminar el archivo binario (msblast.exe) y el archivo empaquetado (MSBLAST.EXE-09FF84F2.pf) del sistema.

5. En Windows XP activar el Servidor de Seguridad de conexión a Internet (Internet Conexión Firewall).


'Inicio', 'Panel de Control', 'Conexiones de Red e Internet', 'Conexiones de Red'.
Clic con el botón derecho del ratón la 'Conexión de Red de Área Local' y seleccionar 'Propiedades'.
En la pestaña de 'Avanzadas' activar el cuadro de verificación 'Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet' y. dar clic en 'Aceptar'.
6. Todos los usuarios deben aplicar las actualizaciones mencionadas en el Boletín de Seguridad de Microsoft MS03-026 tan pronto como sea posible con el objetivo de solucionar la vulnerabilidad descrita en VU#568148. Estas actualizaciones también están disponibles mediante el servicio Windows Update de Microsoft.

Los sistemas ejecutando Windows 2000 podrían permanecer vulnerables al ataque de negación de servicio mencionado en la Nota de Vulnerabilidad VU#326746 si el servicio de RPC DCOM está disponible mediante la red. De esta forma, se recomienda a los administradores de los sitios aplicar las recomendaciones de filtrado de paquetes mencionadas a continuación, además de aplicar las actualizaciones proporcionadas en Boletín de Seguridad de Microsoft MS03-026.


APÉNDICE A. Información de Distribuidores


Este apéndice contiene información proporcionada por los distribuidores de éste boletín. Si un distribuidor en particular reporta nueva información al CERT/UNAM-CERT, esta sección será actualizada.


Microsoft

Consulte el Boletín de Seguridad de Microsoft MS03-026.



APÉNDICE B. Distribuidores Antivirus


Para obtener mayor información acerca del gusano W32.Blaster.Worm se pueden consultar los siguientes sitios Web:

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
http://www.f-secure.com/v-descs/msblast.shtml
http://www.hacksoft.com.pe/virus/w32_blaster.htm
http://www.f-prot.com/news/vir_alert/msblast.html
http://www.enciclopediavirus.com/virus/vervirus.php?id=497
http://www.vsantivirus.com/lovsan-a.htm


APÉNDICE C. Referencias



Boletín de Seguridad UNAM-CERT-2003-019 - http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-019.html.
Nota de Seguridad UNAM-CERT 2003-006 - http://www.unam-cert.unam.mx/Notas/Notas2003/nota-UNAM-CERT-2003-006.html
Nota de Vulnerabilidad del CERT/CC VU#561284 - http://www.kb.cert.org/vuls/id/561284
Nota de Vulnerabilidad del CERT/CC VU#326746 - http://www.kb.cert.org/vuls/id/326746
Boletín de Seguridad de Microsoft MS03-026 - http://microsoft.com/technet/security/bulletin/MS03-026.asp
Artículo 823980 de Microsoft Knowledge Base - http://support.microsoft.com?kbid=823980



--------------------------------------------------------------------------------

El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en las pruebas, elaboración y revisión de ésta Nota de Seguridad a:

Omar Hernández Sarmiento ([email protected])
Fernando Zaragoza Hernández ([email protected])
Carlos Juárez Anguiano ([email protected])
Jesús R. Jiménez Rojas ([email protected])


--------------------------------------------------------------------------------


INFORMACIÓN
Para mayor información acerca de éste boletín de seguridad contactar a:


UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : [email protected]
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43

Dabo:
Virus: Blaster.C     Peligrosidad: 3 - Media    Fecha: 14/08/2003 07:06

Otra viarante más de la familia Blaster. Se propaga en sistemas Windows 2000 y XP que no están parchados contra la vulnerabilidad DCOM RPC. Se diferencia de los otros gusanos en que ahora en lugar de utilizar "msblast.exe" (como nombre de fichero donde reside el gusano), utiliza "teekids.exe". El resto permanece igual.

Virus: Blaster.B     Peligrosidad: 3 - Media    Fecha: 14/08/2003 06:27

Es un gusano muy similar al famoso Blaster. Se diferencia de él en que únicamente intenta replicarse y afectar a sistemas Windows 2000 y Windows XP. Otra diferencia es que se copia a sí mismo en C:\Windows\System32\ como en vez de MSBlast.exe (como hace el Blaster original). Todo lo demás es muy similar.
 


Alerta: Gusano Blaster
 
 
El gusano Blaster, también conocido como MsBlast o LovSan está provocando un gran número de infecciones desde las primeras horas del 12 de Agosto.

Aprovecha una vulnerabildad en el servicio RPC de sistemas Windows NT/2000/XP/2003 descrita en Boletín de Seguridad de Microsoft MS03-26. Se propaga mediante el puerto TCP/135, así que no debería afectar a ordenadores con un cortafuegos correctamente configurado, dado que en general no es recomendable tener el servicio RPC expuesto en Internet.

El síntoma más claro (y molesto) para los usuarios afectados es que fuerza el apagado del ordenador infectado a los pocos minutos de funcionamiento, mostrando un mensaje que tal que el siguiente:

"Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHYSYSTEM
Este comportamiento no parece ser intencionado, sino que es debido a errores en la programación del gusano.
Recomendaciones:

Si necesita información sobre cómo eliminar este virus, visite nuestra página sobre el gusano Blaster.
Los usuarios de sistemas potencialmente vulnerables deben asegurarse de tener instalado el parche. La forma más simple es navegar al sitio de Windows Update e instalar todas las actualizaciones críticas.
Además, para prevenir este y otros problemas es muy recomendable tener corriendo un cortafuegos en cualquier ordenador conectado a Internet.
 


Noticias de prensa interesantes:
 
Hispasec: W32/Blaster, un gusano con una alta incidencia


http://www.hispasec.com/unaaldia/1751

Navegación

[0] Índice de Mensajes

[*] Página Anterior