En ocasiones, y debido a un error en el exploit utilizado para aprovecharse de la falla mencionada, se muestra el siguiente mensaje antes de que el sistema se cierre:
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
Windows debe reiniciar ahora porque el
servicio Llamada a procedimiento
remoto (RPC) terminó de forma inesperada
Esto ocurrirá continuamente hasta que sea limpiada la infección y se tomen otras precauciones que se detallan más adelante en este artículo.
El gusano utiliza los siguientes archivos:
msblast.exe
tftp.exe
MSBLAST.EXE es el gusano propiamente dicho, un archivo comprimido con la utilidad UPX.
TFTP.EXE es un cliente FTP (Trivial FTP), incluido por defecto en la instalación de Windows 2000, XP y Server 2003. El gusano simula su propio servidor TFTP. Este archivo no es propagado por el gusano, y solo se menciona porque en los primeros reportes se hacía referencia a él.
TFTP (Trivial File Transfer Protocol), es una versión simplificada de FTP (File Transfer Protocol), un protocolo que permite la transferencia de archivos entre dos computadoras conectadas en red.
En su código, puede encontrarse el siguiente texto:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!
Cuando se ejecuta, escanea direcciones IP al azar, buscando sistemas vulnerables en el puerto TCP/135. El gusano se aprovecha de la vulnerabilidad DCOM RPC, creando un shell remoto en el puerto TCP/4444, y ejecutando el comando TFTP para descargar el gusano propiamente dicho en el directorio System32 de Windows (la carpeta "System32" está en C:\Windows (Windows XP) o C:\WinNT (Windows NT y 2000), por defecto).
c:\windows\system32\msblast.exe
También intentará realizar ataques distribuidos de denegación de servicio (DDoS), al servidor de actualizaciones de Microsoft, con la intención es impedir la descarga del parche que evita que el propio gusano pueda propagarse.
Para ello, y comenzando el 16 de agosto de 2003, todas las máquinas infectadas pueden enviar en forma masiva, una gran cantidad de paquetes de 40 bytes, en intervalos de 20 milisegundos, al puerto 80 de "windowsupdate.com".
Los ataques se producirían desde el día 16 hasta el último día de cada uno de los meses de enero, febrero, marzo, abril, mayo, junio, julio y agosto. También ocurrirían cualquier día de los meses de setiembre y diciembre.
El gusano también se ejecuta como un servidor TFTP en la computadora atacada usando el puerto UDP/69, con lo que permite que la víctima sirva de host a otros usuarios para que descarguen de allí una copia del gusano (MSBLAST.EXE).
Abre el puerto TCP/4444 en la computadora infectada, aceptando comandos de un usuario remoto. No hay indicios de que el puerto siga abierto después del envío de las instrucciones.
Solo se propaga a través de Windows 2000 y XP. Contiene una rutina maliciosa que está siendo analizada.
Crea un MUTE en memoria (semáforo que le indica a otros procesos que el del gusano está activo), con el nombre de BILLY.
El gusano agrega la siguiente clave en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows auto update = msblast.exe I just want to say
LOVE YOU SAN!! bill
Las siguientes cadenas están presentes en su código:
bash-2.05b$ strings -8 /tmp/msblast.exec
!This program cannot be run in DOS mode.
msblast.exe
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!
windowsupdate.com
start %s
tftp -i %s GET %s
%d.%d.%d.%d
%i.%i.%i.%i
windows auto update
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ioctlsocket
inet_addr
inet_ntoa
recvfrom
setsockopt
gethostbyname
gethostname
closesocket
WSAStartup
WSACleanup
getpeername
getsockname
WSASocketA
InternetGetConnectedState
ExitProcess
ExitThread
GetCommandLineA
GetDateFormatA
GetLastError
GetModuleFileNameA
GetModuleHandleA
CloseHandle
GetTickCount
RtlUnwind
CreateMutexA
TerminateThread
CreateThread
RegCloseKey
RegCreateKeyExA
RegSetValueExA
__GetMainArgs
WS2_32.DLL
WININET.DLL
KERNEL32.DLL
ADVAPI32.DLL
CRTDLL.DLL
Recomendaciones:
Instalar parches descriptos en el siguiente artículo:
Parche crítico (boletín MS03-026)
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=206
Filtrar con un cortafuegos los siguientes puertos:
udp/135
udp/137
udp/138
tcp/135
tcp/445
tcp/593
tcp/69
udp/69 |
