Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Worm.W32/CodeRed.F. ¡Funciona hasta el año 34951!
 
VSantivirus No. 978 - Año 7 - Miércoles 12 de marzo de 2003

Worm.W32/CodeRed.F. ¡Funciona hasta el año 34951!
http://www.vsantivirus.com/codered-f.htm

Nombre: Worm.W32/CodeRed.F
Tipo: Gusano de Internet
Alias: CodeRed.F, Win32.CodeRed.F, W32.Bady.F
Plataforma: Windows 32-bit
Fecha: 12/mar/03

Esta variante, libera un programa del tipo backdoor en el servidor infectado, dándole el control total de éste a un atacante, lo que compromete gravemente la seguridad de todo el sistema.

La única diferencia con las versiones anteriores, son dos bytes que representan la fecha tope de funcionamiento. CodeRed, CodeRed II y CodeRed C, solo funcionaban si el año era menor de 2002 (o sea, hasta el 31 de diciembre de 2001).

Esta nueva versión funciona siempre (o al menos hasta el 31 de diciembre de 34951). ¡Si, treinta y cuatro mil novecientos cincuenta y uno!!

El gusano no representa un riesgo para usuarios de Windows 95, 98, y Me. Los usuarios de Windows NT y 2000, solo deberían preocuparse si poseen una instalación de Microsoft IIS Web Server ejecutándose en sus computadoras.

El gusano se propaga a través de conexiones TCP/IP al puerto 80 (http), instalándose a si mismo en servidores Web seleccionados al azar, utilizando para ello un conocido bug que afecta los servidores Microsoft IIS que no han sido actualizados con el parche que cierra dicha vulnerabilidad.

Cómo sus antecesores, este gusano explota una vieja vulnerabilidad en el archivo IDQ.DLL, de los servidores Microsoft IIS 5.0 (ver "Vulnerabilidad en las extensiones ISAPI en IIS (MS01-033), http://www.vsantivirus.com/vulms01-033.htm).

Esta falla permite, mediante el aprovechamiento de un desbordamiento de búfer, la ejecución de código capaz de tomar el control del servidor web, a través de las extensiones ISAPI.

Cuando un servidor es infectado, el gusano intercepta en la memoria, los procesos del kernel de Windows (solo Windows NT y 2000 son afectados). A través de llamadas al proceso GetProcAddress del KERNEL32.DLL, el virus accede a una serie de APIs:

LoadLibraryA
CreateThread
..
..
GetSystemTime

También carga el archivo WS2_32.DLL para acceder a las funciones socket, closesocket y WSAGetLastError. Utiliza además la función ExitWindowsEx de USER32.DLL para reiniciar el sistema.

El thread (hilo) principal examina la existencia de dos posibles marcas. La primera (29A), controla si está instalado o no el troyano "Trojan.VirtualRoot". La otra marca actúa como semáforo y se llama "CodeRedII". Si este semáforo existe, el gusano entra en un bucle infinito.

Luego, el mismo thread examina el lenguaje por defecto del sistema operativo.

Si este lenguaje es el chino tradicional o chino simplificado, entonces crea 600 nuevos threads. Si el lenguaje es cualquier otro, crea 300 hilos.

Todos estos threads generan direcciones IP al azar, y son las que usará para buscar en Internet, nuevos servidores a infectar.

Cómo en la tercera versión del CodeRed, la forma de generar estas direcciones está mucho más optimizada y es mucho más eficiente que en las versiones anteriores (I y II). Si las IP generadas equivalen a sistemas locales (127.x.x.x, 224.x.x.x, etc.), no las usará, y generará nuevas IP a cuyas máquinas intentará conectarse para poder infectarlas. Se piensa que esto generará más tráfico que las versiones anteriores, comprometiendo el funcionamiento de todo Internet.

Al mismo tiempo que estos threads están trabajando, el thread principal copia el shell de comandos de Windows, CMD.EXE, ubicado en el directorio de sistema de Windows (c:\winnt\system32\cmd.exe), a los siguientes directorios, si estos existen, pero con el nombre de ROOT.EXE:

c:\inetpub\scripts\root.exe
d:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\MSADC\root.exe
d:\progra~1\common~1\system\MSADC\root.exe

Si el troyano es liberado por el gusano, se modifica la siguiente entrada del registro (cómo se verá más adelante):

HKLM\SYSTEM\CurrentControlSet\Services
\W3SVC\Parameters\Virtual Roots

Esto habilita a un atacante externo, tomar el control total del servidor Web a través del envío de solicitudes HTTP GET, para ejecutar el archivo SCRIPTS/ROOT.EXE en el servidor infectado.

El proceso principal se mantiene luego dormido por 48 horas si el lenguaje del sistema es el chino, y 24 en caso contrario. Durante ese periodo, los restantes hilos (300 o 600 según la versión del idioma de Windows), continuarán trabajando, e intentarán infectar otros equipos.

Una vez que el periodo de 24 o 48 horas se cumple, el gusano procede a reiniciar la computadora infectada. Además de esto, los demás threads examinan si el año es menor de 34952, o si el mes actual es menor de 10 (octubre). Si es mayor, procede a reiniciar el sistema.

El gusano copia el shell de comandos (CMD.EXE) al directorio de ejecución habilitado por defecto en el servidor, permitiendo el control remoto de este.

También genera en el raíz de las unidades C: o D:, un archivo llamado EXPLORER.EXE, con los atributos de oculto, de sistema y solo lectura. Este archivo es el troyano identificado como Trojan.VirtualRoot (W32/CodeRed.trojan). El gusano trae este archivo en su propio código, en un formato comprimido, y lo descomprime al copiarlo en la máquina infectada.

La infección durará 24 o 48 horas, y luego de ese tiempo, la PC será reiniciada. Pero la misma máquina podrá ser infectada nuevamente, mientras no se instale el parche mencionado.

Si el mes es octubre, o el año 34952, la computadora también podrá ser reiniciada. Cada vez que esto ocurre, se ejecuta el troyano Trojan.VirtualRoot cada vez que el sistema necesita ejecutar el legítimo EXPLORER.EXE (escritorio, barra de tareas, etc.). Debido a la prioridad en la búsqueda del ejecutable en los paths de Windows, éste ejecutará antes el falso EXPLORER.EXE en el raíz de C (o D). Esta vulnerabilidad conocida de Windows, recibe el nombre de "Relative Shell Path Vulnerability".

Cuando el troyano se activa (C:\EXPLORER.EXE o D:\EXPLORER.EXE), permanece dormido unos 10 minutos, y luego setea el siguiente valor del registro para asegurarse deshabilitar el SFC (System File Checker), o Comprobador de archivos del sistema:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SFCDisable = 0xFFFFFF9D

También cambia estas entradas:

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC
\Parameters\Virtual Roots

Scripts = 217
msadc = 217
c = c:\,,217
d = d:\,,217

Estos cambios (hechos cada 10 minutos), crean un acceso web virtual (/c y /d), que corresponden a las unidades C: y D: mapeadas como tales.

De esta forma, aunque se elimine el archivo ROOT.EXE (CMD.EXE) de las carpetas donde el virus lo copió, un atacante todavía tendría acceso virtual al sistema, con todo el riesgo que esto representa.

Por lo tanto, con el troyano ejecutándose, cualquiera podría acceder a un sistema infectado, con instrucciones del tipo:

http://IpAddress/c/inetpub/scripts/root.exe?/c+comando

o

http://IpAddress/c/winnt/system32/cmd.exe?/c+comando

Una posible manera de verificar si su sistema está infectado, es buscar la presencia de un archivo EXPLORER.EXE en el directorio raíz de las unidades C o D.

También debe verificar si en los directorios SCRIPTS y MSDAC existe un archivo ROOT.EXE.

Tenga presente que la existencia de ROOT.EXE en otra ubicación, podría también ser el producto de la acción de otro virus (Sadmin por ejemplo) (ROOT.EXE en esas carpetas, en realidad es el CMD.EXE renombrado por el virus. CMD.EXE normalmente se encuentra en la carpeta WINNT\SYSTEM32 de Windows).

Para quitar el gusano de un sistema infectado, simplemente reinicie el sistema para sacarlo de la memoria, luego de borrar los archivos mencionados (especialmente C:\EXPLORER.EXE). También es necesario que instale enseguida los parches que usted podrá conseguir en el sitio de Microsoft:

Unchecked Buffer in Index Server ISAPI Extension
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

Debe tenerse en cuenta, que los filtrados utilizados para evitar la acción del CodeRed A y B, no son válidos para esta versión.

La solución definitiva pasa por aplicar los parches mencionados, que por otra parte están disponibles (y ampliamente anunciados), desde junio de 2001 en Internet.

También debe tenerse en cuenta, que aunque el CodeRed sea removido del sistema, y el parche instalado para evitar se repita la infección, existen posibilidades de que durante el tiempo de ejecución del troyano, este pueda haber permitido el ingreso de un atacante, lo que deja el riesgo latente de que otros troyanos o modificaciones peligrosas, hayan sido realizadas en el sistema, por lo que se sugiere un examen exhaustivo del mismo, o incluso, su reinstalación completa.

Aunque el blanco son máquinas corriendo el IIS bajo Windows NT, 2000 o XP, generalmente en entornos corporativos, pueden existir innumerables usuarios particulares que ejecuten estos sistemas (incluso con IIS instalado por defecto sin su conocimiento), y que al tener acceso a Internet (vía telefónica, banda ancha, etc.), pueden ser vulnerables y estar infectados.

Si usted no tiene Windows NT o 2000 como sistema operativo, no puede ser infectado. Aunque algunas instalaciones de Windows 98 contienen lo que Microsoft denomina Personal Web Server (Servidor Web Personal), que se activa, entre otras opciones, por ejemplo al instalarse el FrontPage, su presencia no representa peligro alguno para el usuario, puesto que el PWS no es afectado por el gusano.

Si en cambio, su sistema operativo es Windows NT o 2000, tal vez si pueda tener instalado el IIS (aunque no lo utilice para dar acceso a terceros desde Internet).

Y si además usted tiene una conexión dedicada de 24 horas a Internet, aún cuando no posea una dirección IP fija, podría tener muchas más posibilidades de generar la infección. O sea, ser infectado, e infectar desde su PC a otras computadoras.

Si posee Windows 2000 o NT, y desea saber si tiene instalado el servidor IIS, verifique desde el Panel de control, Agregar o quitar programas, en la pestaña Instalación de Windows o Componentes de Windows, y busque el componente "Internet Information Server (IIS)". Si la opción está tildada, desmárquela para quitar IIS de su sistema (si no lo utiliza, claro).

Si lo utiliza, descargue e instale los parches que mencionamos en este artículo.

En estos casos, además de los parches, se recomienda el uso de cortafuegos personales, como ZoneAlarm, que bloqueará cualquier intento de acceso furtivo al sistema (ver http://www.vsantivirus.com/za.htm).


Remoción manual:

Aplicar los siguientes parches:

El primero arregla el fallo que permite la propagación del gusano, y el segundo el que permite la ejecución del archivo "Explorer.exe" desde el directorio raíz.

Los siguientes archivos pueden ser borrados:

\inetpub\scripts\root.exe
\progra~1\common~1\system\MSADC\root.exe
\explorer.exe

Las siguientes claves del registro también pueden ser removidas (C y D):

SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
\C
\D

Y también puede quitarse el valor "217" de estas entradas:

SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
\Scripts
\MSADC


Glosario:

ISAPI (Interfaz de Programación de Aplicaciones del Servidor Internet), es una tecnología que permite extender las funcionalidades de Internet Information Service y es la propuesta de Microsoft de una interfaz alternativa más rápida que el CGI. Los programas escritos usando ISAPI habilitan a un usuario remoto para ejecutar un programa, buscar información dentro de una base de datos, o intercambiar información con otro software localizado en el servidor.

TCP/IP (Transmission Control Protocol/Internet Protocol) - Básicamente describe dos mecanismos de software empleados para posibilitar la comunicación libre de errores entre múltiples computadoras. TCP/IP es el lenguaje común de Internet, el que permite que diferentes tipos de computadoras utilicen la red y comuniquen unas con otras, indiferentemente de la plataforma o sistema operativo que usen. Aunque menciona implícitamente solo a dos, en realidad está formado por más de 100 protocolos de comunicaciones de bajo nivel (TCP, IP, ICP, UDP, ICMP, PPP, SLIP, RARP, SMTP, SNMP, etc.).

HTTP (Hypertext Transfer Protocol). Este protocolo funciona en el puerto 80 por defecto, y permite la transmisión de mensajes desde el cliente (browser) al servidor y viceversa. En la práctica, su acción más visible es la que nos permite la visualización de las páginas Web.

IIS (Internet Information Server) - Es el servidor web que se instala bajo Windows 2000 Server.

Index Server 2.0 - Es un programa que examina el equipo y crea catálogos que contienen un índice de elementos del sistema de archivos e información acerca de sus propiedades. El programa se ejecuta periódicamente para actualizar los catálogos. Los índices se utilizan cada vez que un usuario realiza una búsqueda en los catálogos.

Socket - Canal de comunicación que se abre entre un puerto de nuestra computadora y la computadora a la que nos conectamos a través de la red.


Referencias

CodeRed. Un gusano en la memoria de los servidores
http://www.vsantivirus.com/codered.htm

En 1988 fue el Morris. ¿En el 2001 es el CodeRed?
http://www.vsantivirus.com/morris-codered.htm

CodeRed se transforma y se hace más peligroso
http://www.vsantivirus.com/codered2.htm

CodeRed volvió y seguimos vivos... pero...
http://www.vsantivirus.com/02-08-01.htm

CodeRed. La tercera versión del gusano examinada a fondo
http://www.vsantivirus.com/codered3.htm

Aparece nueva variante del CodeRed con puerta trasera
http://www.vsantivirus.com/05-08-01.htm

Hotmail, el correo de Microsoft, víctima del CodeRed
http://www.vsantivirus.com/09-08-01.htm

CodeRed. Un cuento de llaves y cerraduras
http://www.vsantivirus.com/06-08-01.htm

El domingo se activa la próxima fase del CodeRed original
http://www.vsantivirus.com/17-08-01.htm

¿Quienes son los autores del CodeRed y del SirCam?
http://www.vsantivirus.com/10-08-01.htm

Otra variante del CodeRed (CodeRed.E)
http://www.vsantivirus.com/codered4.htm

La de Corea, no es una nueva versión del CodeRed
http://www.vsantivirus.com/12-08-01.htm

CodeRed revela un nuevo agujero de seguridad en IIS
http://www.vsantivirus.com/14-08-01.htm

La historia secreta de Microsoft y el CodeRed
http://www.vsantivirus.com/11-08-01.htm

¿Virus benignos?. El CodeRed prueba de su propia medicina
http://www.vsantivirus.com/07-09-01.htm

Resurge la primera versión del CodeRed
http://www.vsantivirus.com/ig-17-10-01.htm

La aplicación de parches y el nuevo virus CodeRed
http://www.vsantivirus.com/vulms01-040-041.htm

FBI frustra intento de propagar nueva versión del CodeRed
http://www.vsantivirus.com/31-08-01.htm

CodeRed se despide de su vida activa
http://www.vsantivirus.com/04-10-01a.htm

CodeRed también afecta impresoras y ruteadores
http://www.vsantivirus.com/24-08-01.htm



Actualizaciones:
13/mar/03 - Alias: W32.Bady.F



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS