Existe una posible infección cuando se producen continuos cuelgues del proceso LSASS.EXE, y existe el siguiente archivo en el sistema:
c:\win2.log
Se genera tráfico excesivo en los siguientes puertos TCP:
445, 5554 y 9996
Análisis:
El gusano es un archivo de 15,872 bytes.
El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:
c:\windows\avserve2.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
También crea los siguientes archivos:
c:\win2.log
c:\windows\system32\#_up.exe (varias copias)
Donde # es un número de cinco dígitos.
Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve2.exe = c:\windows\avserve2.exe
El gusano inicia 1024 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto para el servicio vulnerable).
Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.
En Windows XP, muestra una ventana con un mensaje muy similar al siguiente:
LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos mucho el inconveniente.
En Windows 2000 se muestra una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.
El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).
Windows 9x, Me y NT, no son vulnerables.
Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.
A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE), provocando la infección.
El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.
El archivo C:\WIN2.LOG registra todas las transacciones FTP realizadas.
El gusano crea los siguientes mutex para no ejecutarse más de una vez en memoria:
Jobaka3
JumpallsNlsTillt
El uso de un cortafuego personal, disminuye el riesgo de infección. |
