Tal com vam avançar ahir a la nit en un butlletí d'urgència, s'està propagant amb rapidesa un cuc que ataca els ordinadors que utilitzen els sistemes operatius Windows (les versions Windows NT 4.0, Windows 2000, Windows XP i Windows Server 2003). Aquest cuc s'aprofita d'una vulnerabilitat recentment descoberta a la interfície de peticions a procediments remots (Remote Procedure Call, RPC) de Windows.
L'estiu del 2003 serà recordat per dos fets en els quals la velocitat de propagació ha estat un factor clau: l'onada d'incendis
forestals i el gran nombre d'usuaris que es veuen forçats a reiniciar els seus PC a causa de la distribució assolida pel cuc W32/Blaster.
W32/Blaster utilitza una vulnerabilitat present a la interfície RPC de Windows, descrita a mitjan passat mes de juliol. Aquesta vulnerabilitat permet a un atacant remot (en aquest cas, el cuc) obtenir el control complet del sistema vulnerable i l'execució de
codi arbitrari.
El cuc disposa d'un algorisme per a generar els rangs d'adreces IP on intenta localitzar nous sistemes vulnerables en els quals
intentarà propagar-se. Aquest algorisme està pensat per a augmentar les probabilitats d'atacar sistemes situats a les xarxes properes.
Per a cada adreça IP obtinguda, el cuc analitza les 20 adreces IP següents, intentant establir una connexió en el port 135/tcp. Si
la connexió és satisfactòria, el cuc utilitzat dos exploits diferents per a intentar infiltrar-se en el sistema remot. El primer d'aquests exploits només funciona si el sistema remot executa Windows 2000 mentre que el segon és vàlid en el cas que el sistema remot
utilitzi Windows XP.
Com el cuc no intenta determinar quina versió de Windows utilitza el sistema remot, sinó que llança un o altre exploit de forma
aleatòria, quan s'envia el codi de l'exploit pot provocar l'aturada inesperada del procés SVCHOST.EXE al sistema atacat, el que provocarà que el sistema es torni inestable. En aquests casos, la infecció no serà satisfactòria, però el sistema atacat pot quedar
inoperatiu.
La funció de l'exploit utilitzat és obrir una sessió de l'intèrpret d'ordres de Windows, associada al port 4444/tcp. Dins d'aquesta sessió, el cuc utilitza la utilitat tftp per a transferir el codi del cuc a l'ordinador acabat d'atacat.
Una vegada ha aconseguit entrar dins d'un ordinador vulnerable, el cuc afegeix una entrada al registre per a assegurar la seva execució automàtica en el moment que es reiniciï el sistema operatiu:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"windows auto update"="msblast.exe" |
D'altra banda, el cuc també verifica la data del sistema. En el cas que el dia del mes sigui igual o posterior a 16, començarà a enviar una gran quantitat de tràfic (paquets de 40 bytes enviats cada 20 mil·lisegons) cap al port 80/tcp de windowsupdate.com. L'acció
combinada d'un gran nombre de màquines infectades pot tenir com efecte un atac distribuït de denegació de servei contra el servei d'actualitzacions de software de Microsoft.
Eliminació del cuc
Per a eliminar manualment el cuc d'un ordinador infectat cal realitzar els següents passos:
- Utilitzar l'administrador de tasques de Windows (accessible mitjançant la combinació de tecles Control-Majús-Esc) per a finalitzar l'execució del procés MSBLAST.EXE
- Esborrar el fitxer MSBLAST.EXE del directori de sistema de Windows
- Utilitzar l'editor de registre per a esborrar l'entrada afegida al registre (HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Auto Update)
- Reiniciar la màquina
Addicionalment diversos fabricants de programes antivírics han publicat eines per a realitzar aquesta eliminació de forma automàtica. Algunes d'aquestes eines són:
No obstant, tal com ja vam indicar al nostre butlletí d'ahir, la millor prevenció passa per evitar l'entrada del cuc. Per a això és
important aplicar l'actualització publicada per Microsoft que elimina la vulnerabilitat RPC de Windows. Aquesta actualització està disponible en WindowsUpdate.com o bé descarregant el pegat específic per a cada versió de Windows (consulteu el butlletí del passat 18 de juliol per a les URL d'aquests pegats).
Per a saber més
Una per dia (10-08-03) - Avís urgent: un nou cuc de propagació massiva
http://www.quands.cat/unaperdia/arxiu/20030810.html
Una per dia (18-07-03) - Desbordament de memòria intermèdia a la interfície RPC dels sistemes Windows
http://www.quands.cat/unaperdia/arxiu/20030718.html
MS DCOM RPC Worm
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf
Gusano W32.Blaster
http://www.unam-cert.unam.mx/Notas/Notas2003/nota-UNAM-CERT-2003-008.html
Windows worm starts its spread
http://rss.com.com/2100-1002_3-5062364.html?type=pt&part=rss&tag=feed&subj=news
WORM_MSBLAST_A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
RPC DCOM Worm On The Loose
http://slashdot.org/article.pl?sid=03/08/11/2048249
Avís del CERT CA-2003-20
W32/Blaster worm
http://www.cert.org/advisories/CA-2003-20.html
Win32.Poza
http://www3.ca.com/virusinfo/virus.aspx?ID=36265
Lovsan
http://www.datafellows.com/v-descs/msblast.shtml
W32/Blaster-A
http://www.sophos.com/virusinfo/analyses/w32blastera.html
Internet Security Systems Security Alert: "MS Blast" MSRPC DCOM Worm Propagation
http://xforce.iss.net/xforce/alerts/id/150
Win32 Blaster Worm is on the Rise
http://slashdot.org/article.pl?sid=03/08/12/1326237
MSBlaster worm spreading rapidly
http://www.theregister.co.uk/content/56/32286.html
Detalles del virus Blaster
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2880
W32/Lovsan.worm
http://vil.nai.com/vil/content/v_100547.htm
W32.Blaster.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
|
