Webpanto - W32/Lovsan.A (MSBlast). Utiliza la falla en RPC

Este gusano o troyano (aún está siendo analizado), parece valerse de la vulnerabilidad en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código (ver el parche MS03-026 en el siguiente artículo: http://www.vsantivirus.com/vulms03-026-027-028.htm)

Utiliza los siguientes archivos: msblast.exe tftp El gusano contiene el siguiente texto: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Cuando se ejecuta, escanea direcciones IP al azar, buscando sistemas vulnerables en el puerto TCP/135. El gusano se aprovecha de la vulnerabilidad DCOM RPC, creando un shell remoto en el puerto TCP/4444, y ejecutando el comando TFTP para descargar el gusano propiamente dicho en el directorio System32 de Windows (la carpeta "System32" está en C:Windows (Windows XP) o C:WinNT (Windows NT y 2000), por defecto). Intenta realizar un ataque de denegación de servicio (DoS) al sitio de Microsoft "windowsupdate.com" durante un período específico de tiempo (si la fecha es posterior a agosto 15 y anterior a diciembre 31). También ejecuta el servidor TFTP en la computadora atacada, con el que permite que la víctima sirva de host a otros usuarios para que descarguen de allí una copia del gusano (msblast.exe). TFTP (Trivial File Transfer Protocol), es una versión simplificada de FTP (File Transfer Protocol), un protocolo que permite la transferencia de archivos entre dos computadoras conectadas en red. Abre el puerto TCP/4444 en la computadora infectada, aceptando comandos de un usuario remoto. No hay indicios de que el puerto siga abierto después del envío de las instrucciones. Solo se propaga a través de Windows 2000 y XP. Contiene una rutina maliciosa que está siendo analizada. Crea un MUTE en memoria (semáforo que le indica a otros procesos que el del gusano está activo), con el nombre de BILLY. El gusano agrega la siguiente clave en el registro: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Windows auto update = msblast.exe I just want to say LOVE YOU SAN!! bill Las siguientes cadenas están presentes en su código: bash-2.05b$ strings -8 /tmp/msblast.exec !This program cannot be run in DOS mode. msblast.exe I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! windowsupdate.com start %s tftp -i %s GET %s %d.%d.%d.%d %i.%i.%i.%i windows auto update SOFTWAREMicrosoftWindowsCurrentVersionRun ioctlsocket inet_addr inet_ntoa recvfrom setsockopt gethostbyname gethostname closesocket WSAStartup WSACleanup getpeername getsockname WSASocketA InternetGetConnectedState ExitProcess ExitThread GetCommandLineA GetDateFormatA GetLastError GetModuleFileNameA GetModuleHandleA CloseHandle GetTickCount RtlUnwind CreateMutexA TerminateThread CreateThread RegCloseKey RegCreateKeyExA RegSetValueExA __GetMainArgs WS2_32.DLL WININET.DLL KERNEL32.DLL ADVAPI32.DLL CRTDLL.DLL Recomendaciones: Instalar parches descriptos en el siguiente artículo: Tres nuevos parches: MS03-026, MS03-027 y MS03-028 http://www.vsantivirus.com/vulms03-026-027-028.htm Filtrar con un cortafuegos los siguientes puertos: udp/135 udp/137 udp/138 tcp/135 tcp/445 tcp/593 [Esta información será ampliada] Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows auto update 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). Información adicional Vulnerabilidad en RPC (Remote Procedure Call) Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP. Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC). Descargue y ejecute el parche correspondiente (MS03-026) desde el siguiente enlace: Tres nuevos parches: MS03-026, MS03-027 y MS03-028 http://www.vsantivirus.com/vulms03-026-027-028.htm Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com