W32/Lioten. El gusano "Iraq Oil" (Iraq

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

W32/Lioten. El gusano "Iraq Oil" (Iraq_oil.exe)

VSantivirus No. 893 - Año 7 - Martes 17 de diciembre de 2002

W32/Lioten. El gusano "Iraq Oil" (Iraq_oil.exe)
http://www.vsantivirus.com/lioten.htm

Nombre: W32/Lioten
Tipo: Gusano de Internet
Alias: W32.HLLW.Lioten, IraqiWorm, Iraq_oil.exe, WORM_LIOTEN.A, W32/Lioten.worm
Fecha: 16/dic/02
Tamaño: 16,896 bytes (UPX), 40,960 bytes
Plataformas: Windows NT, 2000 y XP
Puerto por defecto: 445 UDP

Escrito en Visual C, este gusano intenta propagarse copiándose a otras computadoras a través de redes basadas en Windows NT (Windows 2000 y XP incluidos).

El gusano utiliza por defecto el puerto 445 (UDP), usando los protocolos de comunicación SMB (Server Message Block Protocol), empleados por Windows para el acceso a recursos compartidos.

Cuando se ejecuta en la máquina infectada, el gusano crea 100 hilos (threads) de si mismo (se carga 100 veces en memoria) y comienza a generar direcciones IP pseudo randómicas.

Luego, intentará conectarse a otras computadoras de la red o de Internet, usando las direcciones IP generadas antes.

En caso de encontrar máquinas con los servicios necesarios abiertos, el gusano se copia en cada computadora remota válida, usando el directorio System (o System32, de acuerdo a la versión de Windows), y con el nombre de "Iraq_oil.exe". Ejemplos:

C:\Windows\System\Iraq_oil.exe
C:\WinNT\System32\iraq_oil.exe

En otras ocasiones, el gusano puede utilizar nombres al azar como "lidf.exe", "wiyvmu.exe", etc., y copiarse en otros directorios de Windows.

El gusano se propaga aprovechándose de servidores que presenten sesiones anónimas nulas habilitadas, o contraseñas por defectos o vacías en las cuentas de los usuarios. Cuando encuentra una entrada, puede utilizar más de 12 diferentes contraseñas predefinidas para intentar conectarse a las otras máquinas, por ejemplo:

[vacía]
server
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
654321
123456
1234
123
111
root
admin

Cuando obtiene acceso como usuario con privilegios, el gusano se copia en la computadora remota, y crea una tarea programada para que el gusano pueda ejecutarse en determinada fecha y hora. Para ello, utiliza la función "NetScheduleJobAdd" de "netapi32.dll" y tiene la posibilidad de usar recursos con nombres clave como ADMIN$ y C$. (Ni Windows 95, ni el 98 ni Me soportan esa característica). Es necesario que la computadora tenga instalado el Programador de tareas.

Al aumentar la cantidad de computadoras infectadas por este gusano, aumentan las posibilidades de ejecutar desde las mismas, ataques coordinados de denegación de servicio, a blancos específicos, aunque el único objetivo claro del gusano es propagarse, y no se han podido detectar funciones que permitan realizar algún ataque de este tipo, con todas las máquinas infectadas apuntando a un solo blanco, por ejemplo.

La mejor protección es no exponer a la red los servicios no utilizados, y utilizar contraseñas seguras, que no sean en blanco ni las que pone Windows por defecto, para todos los ingresos a funciones que las requieran.

Para limpiar el gusano de un sistema infectado, borre los archivos involucrados, ejecute un antivirus actualizado, instale un cortafuegos que cierre todos los puertos y solo habilite los que precisa. Y finalmente, cambie todas las contraseñas de su sistema, incluidas las nulas (solo Enter), y aquellas que Windows pone por defecto (como se muestra en la lista anterior).

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com