Virus: DoS.Storm.Worm. Ataques zombies contra Microsoft

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 336 - Año 5 - Sábado 9 de junio de 2001

Nombre: DoS.Storm.Worm
Tipo: Gusano de Internet
Fecha: 6/jun/01

DoS.Storm es un gusano que provoca ataques zombies contra el sitio de Microsoft. Infecta sistemas que ejecutan Internet Information Server 4 y 5 (IIS) vulnerables.

Si bien Microsoft ha publicado hace bastante tiempo los parches respectivos (la vulnerabilidad llamada "Web Server Traversal Vulnerability", fue reportada en octubre de 2000), existen muchos sistemas vulnerables, los que ahora se han convertido en las armas de una verdadera guerra contra el gigante de Redmond.

Cuando el gusano se ejecuta en un sistema vulnerable, crea un thread de FTP para examinar hasta 10,000,000 de direcciones IP, en busca de otros sistemas con la misma falla.

El gusano se copiará a cada máquina encontrada en esas condiciones, cada una de las cuáles ejecutarán entonces automáticamente el gusano, repitiendo el ciclo.

Por lo tanto, cada uno de estos sistemas infectados también se convierten en zombies, todos ellos programados para lanzar ataques de negación de servicio contra el dominio de Microsoft, http://www.microsoft.com.

Un ataque de D.o.S (Denial of Service, o negación de servicio), envía una gran cantidad de paquetes solicitando servicios, saturando la capacidad de respuesta del servidor atacado, de modo que este disminuye paulatinamente su rendimiento, hasta ocasionar casi siempre la caída del sistema.

Otra característica de este gusano en especial, es su capacidad de poder realizar verdaderos bombardeos de mensajes obscenos (llevan como texto la frase "Fuck you!"), a la dirección gates@microsoft.com.

Cuando el gusano llega a una computadora vulnerable, el gusano modifica el registro de Windows para asegurarse su ejecución en el próximo reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
666 = c:\winnt\system32\storm\start.bat

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
666 = c:\winnt\system32\storm\start.bat

Para eliminarlo de un sistema infectado, deberá ejecutar un antivirus actualizado, borrar los archivos infectados, y eliminar la clave "666 = c:\winnt\system32\storm\start.bat" de las entradas mencionadas del registro.

Se recomienda también actualizar los sistemas vulnerables con los parches que corrigen la vulnerabilidad "Web Server Traversal Vulnerability".

Más información:
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp

Parches para las versiones 4 de IIS:
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp

Parches para las versiones 5 de IIS:
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp

Más información sobre la seguridad en servidores IIS:
http://www.microsoft.com/technet/security/iis5chk.asp
http://www.microsoft.com/technet/security/tools.asp

Artículos relacionados:

VSantivirus No. 352 - 25/jun/01
IRC.Mimic. Tenga o no el mIRC, convierte su PC en Zombie

VSantivirus No. 331 - 4/jun/01
Los nuevos guerreros. ¿Una guerra perdida?

VSantivirus No. 177 - 1/ene/01
¿Está seguro que su computadora no es un ZOMBIE?

VSantivirus No. 151 - 6/dic/00
NAPTHA, todos los sistemas, menos Win2K son vulnerables

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red

VSantivirus No. 222 - 15/feb/01
Trojan.MircAbuser. Convierte a nuestro PC en un zombie

VSantivirus No. 308 - 12/may/01
Sadmin-IIS. Gusano que compromete a Solaris y a IIS

(c) Video Soft - http://www.videosoft.net.uy