|
VSantivirus No. 1385 Año 8, miércoles 21 de abril de 2004
W32/Lovsan.J (Blaster). Utiliza vulnerabilidad en RPC
http://www.vsantivirus.com/lovsan-j.htm
Nombre: W32/Lovsan.J (Blaster)
Tipo: Gusano de Internet, caballo de Troya
Alias: Win32/Lovsan.J, W32/Blaster.worm.k, W32/Blaster-G, Exploit-DcomRpc,
WORM_MSBLAST.I, Blaster.H, W32/Blaster.H.worm, Worm.W32.Lovsan.f, W32.Blaster.worm
Fecha: 21/abr/04
Plataforma: Windows 2000, XP
Tamaño: 66,048 bytes
Variante del Lovsan (también conocido como Blaster), reportada el 21 de abril de 2004. Se propaga a través de computadoras con Windows 2000 y XP, que no poseen el parche que soluciona la vulnerabilidad en la interfase RPC (Remote Procedure Call) que permite la ejecución arbitraria de código.
Cuando se ejecuta, crea los siguientes archivos:
svchosthlp.exe
eschlp.exe
El gusano se propaga a través del puerto TCP/135, copiándose en las computadoras que no poseen el parche para la vulnerabilidad DCOM/RPC. Esto solo ocurre en Windows 2000 y XP (también es vulnerable Windows Server 2003).
Una forma fácil de evitar esto, es habilitar el cortafuego del propio Windows XP, o instalar un cortafuegos personal como Zone Alarm (recomendamos esta segunda opción). Vea como hacerlo al final del artículo.
RPC (Llamada a Procedimiento Remoto), es un protocolo que proporciona a Windows un mecanismo de comunicación entre procesos para que un programa que se está ejecutando en un equipo ejecute fácilmente código en un equipo remoto. La vulnerabilidad afecta las interfaces del protocolo DCOM.
DCOM (Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto de interfaces que permiten a los clientes y servidores comunicarse. Usando una interfase DCOM, un programa puede iniciar una Llamada de Procedimiento Remoto (RPC) a un objeto de otro programa.
La vulnerabilidad mencionada (un desbordamiento de búfer), permite que se pueda ejecutar código en forma aleatoria, enviando mensajes construidos maliciosamente entre procesos específicos.
Una vez activo, el gusano escanea direcciones IP al azar, buscando sistemas vulnerables en el puerto TCP/135. Se aprovecha de la vulnerabilidad DCOM RPC para crear un shell remoto con el que descarga el archivo del gusano propiamente dicho, en el directorio System32 de Windows (la carpeta "System32" está en C:\Windows (Windows XP) o C:\WinNT (Windows NT y 2000), por defecto).
El gusano agrega alguna de las siguientes claves en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Helper = c:\windows\system32\eschlp.exe /fstart
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MSUpdate = c:\windows\system32\svchosthlp.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SPUpdate = c:\windows\system32\svchosthlp.exe
HKLM\SYSTEM\ControlSet001\Control "Sysuser"
HKLM\SYSTEM\CurrentControlSet\Control "Sysuser"
También cambia la página de inicio del Internet Explorer, modificando la siguiente entrada:
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = http:/ /www.getgood.biz
Abre un puerto remoto al azar en la máquina infectada (27507, 24367, 25519 y posiblemente otros).
Borra las unidades de red compartidas.
El gusano utiliza una rutina de propagación que optimiza la infección en las redes más cercanas al host infectado. Para ello, genera 20 direcciones al azar por vez, tomando como base la dirección IP actual de la computadora infectada.
Por ejemplo, si la dirección IP del host es AAA.BBB.CCC.DDD, las direcciones generadas por el gusano al comienzo tendrán AAA y BBB iguales a los del host.
DDD siempre será cero, y CCC será un número al azar entre 0 y 253. Si el número es mayor de 20, se le restará otro valor menor de 20 también al azar.
Después de ello, alternará las siguientes combinaciones:
AAA será un número de 1 a 254
BBB será un número de 0 a 253
CCC será un número de 0 a 253
DDD será siempre 0
Con las direcciones generadas, el gusano escanea otras computadoras vulnerables, siempre hasta 20 direcciones IP al mismo tiempo.
Intentará conectarse al puerto 135 en cada una de las 20 computadoras examinadas por vez, registrando cada conexión exitosa. En esos casos, utiliza uno de los exploits que se aprovechan de la vulnerabilidad DCOM/RPC.
Como resultado de toda esta actividad, la subred local será saturada con pedidos al puerto 135.
Recomendaciones:
Instalar parches descriptos en el siguiente artículo (actualizado):
MS04-012 Parche acumulativo para RPC/DCOM (828741)
http://www.vsantivirus.com/vulms04-012.htm
Filtrar con un cortafuegos los siguientes puertos:
udp/135
udp/137
udp/138
tcp/135
tcp/445
tcp/593
tcp/69
udp/69
Reparación manual
IMPORTANTE: La reparación (manual y automática), se ofrece solo como una forma segura de acceder a nuestros archivos en forma temporal, inclusive para poder realizar algunos respaldos de información que no hayamos hecho antes de la infección. Lamentablemente la infección con este gusano, amerita acciones más drásticas, como formatear y reinstalar el sistema operativo. Estas razones se explican exhaustivamente en el siguiente enlace de "Preguntas frecuentes sobre el Lovsan (Blaster)", "¿Porqué formatear después del Lovsan (Blaster)?",
http://www.vsantivirus.com/faq-lovsan.htm#11
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Finalizando el proceso del virus en memoria
Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:
1. Detenga el proceso del virus en memoria, pulsando CTRL+SHIFT+ESC (Windows 2000 y XP).
2. En la lista de tareas, señale las siguientes:
ESCHLP.EXE
SVCHOSTHLP.EXE
3. Seleccione el botón de finalizar tarea en la lengüeta Procesos.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las entradas que aparezcan en la siguiente lista:
Helper
MSUpdate
SPUpdate
4. Edite las siguientes claves del registro, y en cada una de ellas borre la entrada "Sysuser":
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet001
\Control
6. Pinche en "Control" y borre la siguiente entrada:
Sysuser
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
8. Pinche en "Control" y borre la siguiente entrada:
Sysuser
9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
11. Actualice el parche crítico del boletín MS04-012:
www.microsoft.com/technet/security/bulletin/ms04-012.mspx
12. Reinicie su computadora.
Se recomienda instalar un cortafuegos.
Seleccionar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o pinche en "Página en blanco"). O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".
Información adicional
Vulnerabilidad en RPC (Remote Procedure Call)
Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP.
Un fallo en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC).
Descargue y ejecute el parche correspondiente desde el siguiente enlace:
MS04-012 Parche acumulativo para RPC/DCOM (828741)
http://www.vsantivirus.com/vulms04-012.htm
IMPORTANTE
Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.
También instale los parches mencionados más adelante.
Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano.
Activar cortafuegos de Windows XP (Internet Conexión Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
24/abr/04 - Alias: WORM_MSBLAST.I, Blaster.H, W32/Blaster.H.worm
24/abr/04 - Alias: Worm.W32.Lovsan.f, W32.Blaster.worm
24/abr/04 - Correcciones menores en la descripción
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|