Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

 Internet al borde del colapso por culpa de un virus
 
VSantivirus No. 387 - Año 5 - Lunes 30 de julio de 2001

Internet al borde del colapso por culpa de CodeRed

Previniendo un extremadamente peligroso resurgimiento del gusano CodeRed, representantes del gobierno norteamericano, el FBI, organizaciones de seguridad y el propio Microsoft, han emitido una alerta para prevenir las consecuencias de la oleada que se espera.

Este gusano (ver VSAntivirus 377 y 380), volverá a iniciar su fase de búsqueda de sistemas a infectar, a partir del 1 de agosto. En esta fase se encargará de detectar aquellos sistemas bajo Microsoft Internet Information Server (MIIS versiones 4.0 y 5.0), que aún no han aplicado los parches correspondientes, y que por lo tanto son vulnerables al ataque.

En su primer mes, fueron reportados más de 300.000 servidores atacados. Se especula además, conque existan mutaciones mucho más peligrosas que las conocidas hasta ahora.

El gusano, utiliza el puerto 80 para enviar su código, a través de una petición normal de página (este puerto maneja las peticiones Web).

Un desbordamiento de búfer en el componente IDQ.DLL de los servidores MIIS (4 y 5), provocan la ejecución de su código.

El gusano, no infecta ningún archivo, solo permanece en memoria, desde donde empieza a buscar en forma aleatoria, direcciones IP de servidores que puedan ser vulnerables, para seguir propagándose.

Debido a su forma para hacer esto, cada sistema infectado posee la misma lista de direcciones, todos ellos solicitando información a las mismas direcciones IP, lo que debido a la proliferación de sistemas con el gusano, provocará ataques múltiples de negación de servicio.

El gusano solo infecta sistemas con el sistema operativo en inglés. El periodo de escaneo (que es el que más preocupa a las autoridades y a los expertos), ocurre entre el 1 y el 19 de cada mes.

Es previsible que durante esos días, la cantidad de computadoras infectadas, y las que se sumen, que no hayan sido actualizadas, ocasionen grandes dificultades en el tráfico normal de toda la red.

Si tomamos en cuenta que durante la segunda fase de acción del virus (desde el 20 de cada mes al final del mismo), el gusano llegó a enviar tan solo en periodos de 4 horas y media, más de 400 megabytes de información (al sitio de la Casa Blanca norteamericana), podremos imaginarnos la cantidad de tráfico generado provocado por el aumento de la infección.

Se estima que CodeRed puede llegar a infectar hasta medio millón de direcciones IP por día.

Todo esto supone un grave peligro para el funcionamiento normal de Internet en los próximos días.

Por ello, se pide que todo aquel usuario (a nivel corporativo o privado), que disponga un servidor IIS bajo Windows NT o 2000, instale el parche correspondiente, disponible desde mucho antes que CodeRed hiciera su aparición a mediados de este mismo mes.

En caso de notar la presencia del gusano en un sistema infectado, su eliminación, al estar ejecutándose en memoria, puede ser hecha simplemente reiniciando la computadora.

Sin embargo, el riesgo de volverse a ejecutar, estará presente hasta que se instalen los parches respectivos.

Los servidores web que no tengan instalado el Microsoft Internet Information Server NT o Windows 2000 no serán infectados.


Parches disponibles:

Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Windows 2000 Professional, Server y Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800


Más información:

Unchecked Buffer in Index Server ISAPI Extension
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

Código rojo para los servidores Microsoft
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=76

eEye Digital Security - Code Red Analysis
http://www.eeye.com/html/Research/Advisories/AD20010618.html

"Code Red" Worm Exploiting Buffer Overflow
http://www.cert.org/incident_notes/IN-2001-08.html

Full analysis of the .ida "Code Red" worm
http://eeye.com/ 

Aviso de seguridad del CERT:
http://www.cert.org/advisories/CA-2001-23.html 


Ver también:

VSantivirus No. 380 - 23/jul/01
CodeRed se transforma y se hace más peligroso

VSantivirus No. 377 - 20/jul/01
CodeRed. Un gusano en la memoria de los servidores

VSantivirus No. 348 - 21/jun/01
 Vulnerabilidad en las extensiones ISAPI en IIS (MS01-033)


(c) Video Soft - http://www.videosoft.net.uy 		 

Copyright 1996-2001 Video Soft BBS