|
VSantivirus No. 427 - Año 5 - Sábado 8 de setiembre de 2001
Nombre: IIS-Worm.BlueCode
Tipo: Gusano de IIS
Alias: CodeBlue
Tamaño: 29 Kb - 14 Kb (comprimido con UPX)
Fecha: 7/set/01
Este gusano de Internet, usa como blanco sitios Web con el MS Internet Information Servers (IIS), instalado.
El gusano se propaga desde los sitios infectados, a otros sitios que reúnan las características antes mencionadas, enviando y luego ejecutando esos archivos, aprovechándose de una conocida vulnerabilidad descubierta en octubre del 2000 (la llamada "Web server folder traversal vulnerability"), y para la cuál existe desde ese entonces, un parche.
Los archivos que se envían, siempre tienen el mismo nombre: SVCHOST.EXE y
HTTPEXT.DLL.
SVCHOST.EXE es una aplicación Win 32, de unos 29 Kb de largo. (Nota: existen reportes de variantes comprimidas con la utilidad UPX, de tan solo 14 Kb).
Los archivos SVCHOST.EXE y HTTPEXT.DLL están presentes en una instalación estándar, en las carpetas
SYSTEM32.
El gusano crea sus copias (EXE y DLL) en el raíz de la unidad C:
C:\SVCHOST.EXE
C:\HTTPEXT.DLL
Luego modifica el registro de Windows para que SVCHOST pueda autoejecutarse en el reinicio de Windows.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Domain Manager = C:\svchost.exe
El archivo ejecutable (EXE), creará 100 threads (hilos) que abrirán 100 puertos diferentes para establecer conexiones UDP.
Luego crea y llama al siguiente script en Visual Basic:
C:\D.VBS
Si la aplicación INETINFO.EXE está activa, la finaliza. Luego, el script busca los servicios Indexing Service, Indexing Query y el mapeado de impresoras en red, y los quita. En concreto, este script deshabilita los servicios
.ida, .idc y .printer.
Con estas acciones, el gusano impide que posibles brechas en la seguridad continúen siendo usadas, o puedan ser usadas en el futuro.
Una vez activos, los 100 threads escanearán direcciones IP tomadas al azar.
En un 50% de los casos, la computadora atacada estará en la misma red, y las direcciones IP tendrán estas características:
"aa.bb.??.??", donde "aa.bb" es parte de la dirección IP de la máquina infectada, y
"??" es un número al azar.
El otro 50% serán direcciones totalmente elegidas al azar.
El ataque se produce a través del exploit de una vieja vulnerabilidad: Web Directory Traversal Vulnerability
En cada uno de los 100 hilos creados, el gusano chequeará la hora del sistema, y entre las 10 y las 11 de la mañana de cualquier día, intentará realizar un ataque coordinado de negación de servicio a la dirección
IP 211.99.196.135 (www.nsfocus.com). En el resto del horario, intentará propagarse a si mismo buscando servidores vulnerables.
El gusano no libera los recursos utilizados, haciendo que el sistema pueda llegar a colapsar, con la consiguiente caída del servidor.
El parche para la "Web Directory Traversal Vulnerability" puede encontrarse en el sitio de Microsoft:
www.microsoft.com/technet/Security/Bulletin/ms00-078.asp
La empresa de seguridad china involucrada en el ataque de negación de servicio, también ha desarrollado una herramienta de software que puede descubrir y quitar el Code Blue.
Puede bajarse de:
www.iduba.net/download/other/tool_010907_CodeBlue.htm
Glosario
UDP (Universal Data Packet) - Protocolo de transporte de datagramas, o sea de los pequeños paquetes que forman la información que se transfiere de y hacia nuestra computadora a través de Internet.
D.o.S - Un ataque de D.o.S (Denial of Service, o negación de servicio), hace que los servidores o cualquier computadora conectada a Internet, reciban una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.
Ver también:
08/set/01 - Los colores del gusano. Ayer Code Red, hoy Blue Code
Fuentes: Kaspersky Antivirus, Symantec, Central Command
(c) Video Soft - http://www.videosoft.net.uy
|
|