Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Aparece nueva variante del CodeRed con puerta trasera
 
VSantivirus No. 393 - Año 5 - Domingo 5 de agosto de 2001

Aparece nueva variante del CodeRed con puerta trasera

El centro de incidencias del SANS Institute, donde se sigue minuto a minuto la actividad del gusano CodeRed, ha reportado en las últimas horas del sábado, la aparición de lo que sería la tercer variante del gusano.

Las fuentes, indican que a raiz de esto, también ha estado aumentando la cantidad de sondeos HTTP a redes hogareñas.

Los primeros exámenes de esta versión, parecen indicar que el gusano ahora es capaz de habilitar un "backdoor" (un acceso furtivo a la computadora infectada), lo que habilitaría cualquier tipo de acción posterior a un atacante.

Otros cambios en el código examinado de esta variante (el gusano actúa en memoria, no se copia a ningún archivo, y eso dificulta su examen), parece indicar que más que una variación del código original, podría tratarse de un gusano totalmente nuevo, aunque se muestra en su cuerpo, entre otras cosas, la leyenda "CodeRedII".

Los primeros reportes indican también que el nuevo gusano está generando, comparativamente, más escaneos que la versión original, tendencia que parece ir aumentando.

Uno de los exámenes preliminares, indican que el gusano actúa copiando el ejecutable de comandos CMD.EXE al directorio /scripts o al directorio /MSADC en el raíz del inetpub. Esto dejaría a cualquier máquina infectada, vulnerable a un ataque.

El código contiene estas referencias (entre otras) al respecto:

\inetpub\scripts\root.exe
\progra~1\common~1\system\MSADC\root.exe

Una prueba con una simple conexión vía telnet a un servidor infectado que acababa de enviar un sondeo a otras computadoras, confirmó lo del acceso furtivo.

Por otra parte, aquellos servidores que bloquean la propagación del gusano en base a un determinado string, no detectarían la nueva variante, ya que su código principal también ha sido modificado.

Recordemos que solo son vulnerables las computadoras que tengan como sistema operativo a Windows NT o 2000, y con el servidor IIS de Microsoft (Internet Information Server), instalado, siempre que no hayan actualizado aún sus sistemas con el parche respectivo.

Fuente:

New Code Red Worm in Circulation (The SANS Institute)
http://www.incidents.org

Parches disponibles:

Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Windows 2000 Professional, Server y Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

Más información:

Unchecked Buffer in Index Server ISAPI Extension
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

Ver también:

VSantivirus No. 391 - 3/ago/01
En 1988 fue el Morris. ¿En el 2001 es el CodeRed?

VSantivirus No. 390 - 2/ago/01
CodeRed volvió y seguimos vivos... pero...

VSantivirus No. 387 - 30/jul/01
Internet al borde del colapso por culpa de un virus

VSantivirus No. 380 - 23/jul/01
CodeRed se transforma y se hace más peligroso

VSantivirus No. 377 - 20/jul/01
CodeRed. Un gusano en la memoria de los servidores

VSantivirus No. 348 - 21/jun/01
Vulnerabilidad en las extensiones ISAPI en IIS (MS01-033)



(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS