Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

A fondo: IIS-Worm.BlueCode. El sucesor del CodeRed
 
VSantivirus No. 427 - Año 5 - Sábado 8 de setiembre de 2001

Nombre: IIS-Worm.BlueCode
Tipo: Gusano de IIS
Alias: CodeBlue
Tamaño: 29 Kb - 14 Kb (comprimido con UPX)
Fecha: 7/set/01

Este gusano de Internet, usa como blanco sitios Web con el MS Internet Information Servers (IIS), instalado.

El gusano se propaga desde los sitios infectados, a otros sitios que reúnan las características antes mencionadas, enviando y luego ejecutando esos archivos, aprovechándose de una conocida vulnerabilidad descubierta en octubre del 2000 (la llamada "Web server folder traversal vulnerability"), y para la cuál existe desde ese entonces, un parche.

Los archivos que se envían, siempre tienen el mismo nombre: SVCHOST.EXE y HTTPEXT.DLL

SVCHOST.EXE es una aplicación Win 32, de unos 29 Kb de largo. (Nota: existen reportes de variantes comprimidas con la utilidad UPX, de tan solo 14 Kb).

Los archivos SVCHOST.EXE y HTTPEXT.DLL están presentes en una instalación estándar, en las carpetas SYSTEM32.

El gusano crea sus copias (EXE y DLL) en el raíz de la unidad C:

C:\SVCHOST.EXE
C:\HTTPEXT.DLL

Luego modifica el registro de Windows para que SVCHOST pueda autoejecutarse en el reinicio de Windows.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Domain Manager = C:\svchost.exe

El archivo ejecutable (EXE), creará 100 threads (hilos) que abrirán 100 puertos diferentes para establecer conexiones UDP.

Luego crea y llama al siguiente script en Visual Basic:

C:\D.VBS

Si la aplicación INETINFO.EXE está activa, la finaliza. Luego, el script busca los servicios Indexing Service, Indexing Query y el mapeado de impresoras en red, y los quita. En concreto, este script deshabilita los servicios .ida, .idc y .printer.

Con estas acciones, el gusano impide que posibles brechas en la seguridad continúen siendo usadas, o puedan ser usadas en el futuro.

Una vez activos, los 100 threads escanearán direcciones IP tomadas al azar.

En un 50% de los casos, la computadora atacada estará en la misma red, y las direcciones IP tendrán estas características: "aa.bb.??.??", donde "aa.bb" es parte de la dirección IP de la máquina infectada, y "??" es un número al azar.

El otro 50% serán direcciones totalmente elegidas al azar.

El ataque se produce a través del exploit de una vieja vulnerabilidad: Web Directory Traversal Vulnerability

En cada uno de los 100 hilos creados, el gusano chequeará la hora del sistema, y entre las 10 y las 11 de la mañana de cualquier día, intentará realizar un ataque coordinado de negación de servicio a la dirección IP 211.99.196.135 (www.nsfocus.com). En el resto del horario, intentará propagarse a si mismo buscando servidores vulnerables.

El gusano no libera los recursos utilizados, haciendo que el sistema pueda llegar a colapsar, con la consiguiente caída del servidor.

El parche para la "Web Directory Traversal Vulnerability" puede encontrarse en el sitio de Microsoft:

www.microsoft.com/technet/Security/Bulletin/ms00-078.asp

La empresa de seguridad china involucrada en el ataque de negación de servicio, también ha desarrollado una herramienta de software que puede descubrir y quitar el Code Blue.

Puede bajarse de: 
www.iduba.net/download/other/tool_010907_CodeBlue.htm

Glosario

UDP (Universal Data Packet) - Protocolo de transporte de datagramas, o sea de los pequeños paquetes que forman la información que se transfiere de y hacia nuestra computadora a través de Internet.

D.o.S - Un ataque de D.o.S (Denial of Service, o negación de servicio), hace que los servidores o cualquier computadora conectada a Internet, reciban una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.


Ver también:
08/set/01 - Los colores del gusano. Ayer Code Red, hoy Blue Code


Fuentes: Kaspersky Antivirus, Symantec, Central Command
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS