|
VSantivirus No. 1307 Año 8, miércoles 4 de febrero de 2004
W32/Lovsan.H (Blaster.H). Utiliza vulnerabilidad en RPC
http://www.vsantivirus.com/lovsan-h.htm
Nombre: W32/Lovsan.H (Blaster.H)
Tipo: Gusano de Internet, caballo de Troya
Alias: W32/Lovsan.H.worm, WORM_MSBLAST.H, Win32/Lovsan.H, Msblast.H, Blaster.H, W32/Blaster-H
Fecha: 3/feb/04
Plataforma: Windows 2000, XP
Tamaño: 6,688 bytes
Esta variante del Lovsan.A original, fue reportado por primera vez el 3 de febrero de 2004. Se propaga a través de computadoras con Windows 2000 y XP, que no poseen el parche que soluciona la vulnerabilidad en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código (ver el parche MS03-039 en el siguiente artículo:
http://www.vsantivirus.com/vulms03-039.htm).
Cuando el gusano se ejecuta, en Windows XP, se muestra el siguiente mensaje antes de que el sistema se cierre:
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
Windows debe reiniciar ahora porque el
servicio Llamada a procedimiento
remoto (RPC) terminó de forma inesperada
Esto ocurrirá continuamente hasta que sea limpiada la infección y se tomen otras precauciones que se detallan más adelante en este artículo.
En Windows 2000, se desactiva el servicio RPC, y no se reinicia la computadora.
IMPORTANTE: Se debe tener en cuenta que este mensaje no es exclusivo de este gusano, sino de cualquier código maligno que se aproveche de ciertos exploits para la vulnerabilidad DCOM/RPC. Además de ello, recuerde que existen otros exploits que no producen este mensaje.
De todos modos, la aparición de un mensaje similar, amerita como opción más segura, la reinstalación del sistema operativo, previo formateo. Esto es así, puesto que es un indicador de que hay puertas abiertas en el PC infectado, y por consiguiente cualquier clase de archivo malicioso pudo haber sido instalado (más información al final del artículo).
El gusano hace uso de los siguientes archivos:
mschost.exe
tftp.exe
MSCHOST.EXE es el gusano propiamente dicho, un archivo comprimido con la utilidad UPX.
TFTP.EXE es un cliente FTP (Trivial FTP), incluido por defecto en la instalación de Windows 2000, XP y Server 2003. El gusano simula su propio servidor TFTP. Este archivo no es propagado por el gusano, y solo se menciona porque en los primeros reportes se hacía referencia a él.
TFTP (Trivial File Transfer Protocol), es una versión simplificada de FTP (File Transfer Protocol), un protocolo que permite la transferencia de archivos entre dos computadoras conectadas en red.
El gusano se propaga a través del puerto TCP/135, copiándose en las computadoras que no poseen el parche para la vulnerabilidad DCOM/RPC. Esto solo ocurre en Windows 2000 y XP (también es vulnerable Windows Server 2003).
Una forma fácil de evitar esto, es habilitar el cortafuego del propio Windows XP, o instalar un cortafuegos personal como Zone Alarm (recomendamos esta segunda opción). Vea como hacerlo al final del artículo.
RPC (Llamada a Procedimiento Remoto), es un protocolo que proporciona a Windows un mecanismo de comunicación entre procesos para que un programa que se está ejecutando en un equipo ejecute fácilmente código en un equipo remoto. La vulnerabilidad afecta las interfaces del protocolo DCOM.
DCOM (Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto de interfaces que permiten a los clientes y servidores comunicarse. Usando una interface DCOM, un programa puede iniciar una Llamada de Procedimiento Remoto (RPC) a un objeto de otro programa.
La vulnerabilidad mencionada (un desbordamiento de búfer), permite que se pueda ejecutar código en forma aleatoria, enviando mensajes construidos maliciosamente entre procesos específicos.
Cuando se ejecuta MSCHOST.EXE, el gusano crea un MUTE en memoria con el nombre de BILLY (un MUTE es un semáforo que le indica a otros procesos que el gusano está activo).
Luego, el gusano agrega la siguiente clave en el registro, para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows shellext.32 = mschost.exe
Una vez en memoria, el gusano escanea direcciones IP al azar, buscando otros sistemas vulnerables en el puerto TCP/135.
Aprovechándose de la vulnerabilidad DCOM RPC, crea un shell remoto (ejecutando CMD.EXE) en el puerto TCP/4444 de la máquina infectada (un SHELL es un intérprete de comandos que interpreta y activa los comandos o utilidades introducidos por el usuario). No hay indicios de que el puerto siga abierto después del envío de las instrucciones.
Usando este shell, el gusano ejecuta un comando TFTP (get) para descargar el gusano propiamente dicho en el directorio System32 de Windows (la carpeta "System32" está en C:\Windows (Windows XP) o C:\WinNT (Windows NT y 2000), por defecto):
c:\windows\system32\mschost.exe
Valiéndose de la mencionada vulnerabilidad, ejecuta luego a este archivo, repitiendo el ciclo visto antes.
El gusano utiliza una rutina de propagación que optimiza la infección en las redes más cercanas al host infectado. Para ello, genera 20 direcciones al azar por vez, tomando como base la dirección IP actual de la computadora infectada.
Por ejemplo, si la dirección IP del host es AAA.BBB.CCC.DDD, las direcciones generadas por el gusano al comienzo tendrán AAA y BBB iguales a los del host.
DDD siempre será cero, y CCC será un número al azar entre 0 y 253. Si el número es mayor de 20, se le restará otro valor menor de 20 también al azar.
Después de ello, alternará las siguientes combinaciones:
AAA será un número de 1 a 254
BBB será un número de 0 a 253
CCC será un número de 0 a 253
DDD será siempre 0
Con las direcciones generadas, el gusano escanea otras computadoras vulnerables, siempre hasta 20 direcciones IP al mismo tiempo.
Intentará conectarse al puerto 135 en cada una de las 20 computadoras examinadas por vez, registrando cada conexión exitosa. En esos casos, utiliza uno de los exploits que se aprovechan de la vulnerabilidad DCOM/RPC, para infectar a su víctima como ya se explicó (el exploit, DCOM.C o similar, está en el código del propio gusano).
Como resultado de toda esta actividad, la subred local será saturada con pedidos al puerto 135.
Además de todo ello, el gusano está preparado para realizar ataques distribuidos de denegación de servicio (DDoS), al servidor de actualizaciones de Microsoft, con la intención es impedir la descarga del parche que evita que el propio gusano pueda propagarse.
Los ataques se llevarán a cabo desde el 16 al 31 de cada uno de los siguientes meses:
Enero
Febrero
Marzo
Abril
Mayo
Junio
Julio
Agosto
También ocurrirá en cualquier día de los meses de setiembre y diciembre.
Durante los ataques, todas las máquinas infectadas pueden enviar en forma masiva, una gran cantidad de paquetes SYN de 40 bytes, en intervalos de 20 milisegundos, al puerto 80 de la página de actualizaciones de Microsoft.
El gusano también se ejecuta como un servidor TFTP en la computadora atacada usando el puerto UDP/69, con lo que permite que la víctima sirva de host a otros usuarios para que descarguen de allí una copia del gusano (MSCHOST.EXE).
En su código, el gusano contiene el siguiente texto (no mostrado al usuario):
Can you hear me? I LOVE YOU SAN!!.
Sucky gates why do you made this windows?
Stop fooling around and make good things!!!
Recomendaciones:
Instalar parches descriptos en el siguiente artículo:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm
Filtrar con un cortafuegos los siguientes puertos:
udp/135
udp/137
udp/138
tcp/135
tcp/445
tcp/593
tcp/69
udp/69
Reparación manual
IMPORTANTE: La reparación (manual y automática), se ofrece solo como una forma segura de acceder a nuestros archivos en forma temporal, inclusive para poder realizar algunos respaldos de información que no hayamos hecho antes de la infección. Lamentablemente la infección con este gusano, amerita acciones más drásticas, como formatear y reinstalar el sistema operativo. Estas razones se explican exhaustivamente en el siguiente enlace de "Preguntas frecuentes sobre el Lovsan (Blaster)", "¿Porqué formatear después del Lovsan (Blaster)?",
http://www.vsantivirus.com/faq-lovsan.htm#11
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Finalizando el proceso del virus en memoria
Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:
1. Detenga el proceso del virus en memoria, pulsando CTRL+SHIFT+ESC (Windows 2000 y XP).
2. En la lista de tareas, señale la siguiente:
MSCHOST.EXE
3. Seleccione el botón de finalizar tarea en la lengüeta Procesos.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows shellext.32
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Vulnerabilidad en RPC (Remote Procedure Call)
Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP.
Un fallo en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC).
Descargue y ejecute el parche correspondiente desde el siguiente enlace:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm
IMPORTANTE
Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.
También instale los parches mencionados más adelante.
Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano.
Activar cortafuegos de Windows XP (Internet Conexión Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|