Re: W32.Blaster.Worm y Debian

To: debian-user-spanish@lists.debian.org
Subject: Re: W32.Blaster.Worm y Debian
From: Rubén Mediano <rmv.listas@hienipa.com>
Date: Thu, 14 Aug 2003 02:43:29 +0200
Message-id: <[🔎] 20030814004333.D513C31273@servidor.hienipa.com>
Reply-to: rmv.listas@hienipa.com
In-reply-to: <[🔎] 200308131944.56121.san@inf.utfsm.cl>
References: <[🔎] 200308131736.21264.jordi@jordi.net> <[🔎] 20030813230857.GB23965@ceslan.net> <[🔎] 200308131944.56121.san@inf.utfsm.cl>

Afecta a miles el gusano Lovsan / MSBlast

Fuente: Microasist <http://www.microasist.com.mx/>
 
  <http://servicios.t1msn.com.mx/lovsan/f-lovsan.zip>

F-Secure acaba de anunciar que este gusano está en alarma 1, ya que se
está extendiendo rápidamente. El síntoma típico es que se reinicializan
los equipos con WIN XP.

 Este archivo de 6176 bytes ejecutable aparece con el nombre de
"msblast.exe" que aparentemente hace uso de una vulnerabilidad llamada
MS03-026 DCOM/RPC.

 Revise en
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp, para
checar si ya tiene usted el parche de Microsoft. Y visite frecuentemente
http://windowsupdate.microsoft.com/, para actualizar los parches de
seguridad.

 Al tratar de atacar las computadoras aparece lo siguiente:

 Este mensaje lo envía el Sistema Operativo y dependerá del lenguaje
nstalado en la máquina.

 Algoritmo de Infección:

 El algoritmo posee capacidades aleatorias para alternar puntos de
análisis de redes y poder contaminarlas, lo que lo hace muy escurridizo.

 En base a la IP de la red y un sistema aleatorio de infección de la
estructura IP: A.B.C.D, el gusano toma la IP de la máquina infectada y
crea una conexión vía el puerto 135 en cada una de las IP´s de la red en
la que se ubica y revisa si la conexión es exitosa.

 EL gusano utiliza varas de las vulnerabilidades de WIN XP y 2000 por lo
que la infección no es exclusiva de WIN XP. Utiliza TFTP (Trivial File
Transfer Protocol). El cliente para este protocolo viene en Windows
2000/XP y el gusano funciona en ese momento como servidor de TFTP.

 Infección:

Cuando Lovsan entra a un sistema vulnerable, introduce el programa
'msblast.exe' que se añade al registro así:

 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update'

 De esta forma el gusano inicia cada vez que arranca Windows.

Daño causado:

 A partir del 16 de Agosto, las Pc´s infectadas con este gusano enviaran
en forma masiva miles de paquetes a windowsupdate.com, paquetes de 40
bytes en intervalos de 20 milisegundos por el puerto 80 (http) serán
enviados, con el objetivo de causar una Negación de Servicio al sitio de
Microsoft.

El gusano contiene esta información (que no es desplegada):

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix
your software!!

Desinfección

   <http://servicios.t1msn.com.mx/lovsan/f-lovsan.zip>

Es posible eliminar el gusano de manera manual:

1, Termine la ejecución del programa msblast.exe usando el
"administrador de procesos"

2, Elimine el archivo "msblast.exe" del directorio System de Windows

3, Elimine del registro:

 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update'

Reply to:

References:
- W32.Blaster.Worm y Debian
  - From: j0rd1 adame <jordi@jordi.net>
- Re: W32.Blaster.Worm y Debian
  - From: cperez@ceslan.net (César Pérez Curiel)
- Re: W32.Blaster.Worm y Debian
  - From: Sergio Ahumada N <san@inf.utfsm.cl>

Prev by Date: Re: SiS650 Aceleración 3D
Next by Date: Re: Se cuelga tras uncompressing kernel
Previous by thread: Re: W32.Blaster.Worm y Debian
Next by thread: Re: W32.Blaster.Worm y Debian
Index(es):
- Date
- Thread