Hace unos años un gusano hizo estragos por la red. Sasser era su nombre. Y durante un mes y medio o quizas mas estuve arreglando los ordenadores de mis vecinos y ganandome unos eurillos por el camino. Tonteas un rato con el registro, abres unos cuantos documentos, miras la hora, metes un minicd con un programita y arreglado. Luego solo tenias que estirar la mano y esperar a que te pagen.
Ahora tengo otro amigo. Se llama Downadup. Infecta a los siguientes sistemas operativos:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Creo que se deja solo el Server 2007.
Pues este nuevo virus actua de la siguiente forma: [cut&paste de Symantec]
Una vez que se ejecuta el gusano, se copia así mismo como los siguientes archivos:
%System%\[NOMBRE DE ARCHIVO ALEATORIO].dll
Posteriormente, el gusano elimina cualquier punto de la Restauración de sistema creado por el usuario.
Crea el siguientee servicio:
Nombre: netsvcs
ImagePath: %SystemRoot%\\system32\\svchost.exe -k netsvcs
Después crea la siguiente clave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\"ServiceDll" = "[PathToWorm]"
El gusano se conecta a las siguientes direcciones para obtener la dirección IP del equipo comprometido.
- http://www.getmyip.org
- http://getmyip.co.uk
- http://checkip.dyndns.org
Posteriormente el gusano descarga un archivo de la siguiente dirección y lo ejecuta:
http://trafficconverter.biz/4vir/antispyware/loadadv.exe
Entonces el gusano crea el servidor http en el equipo comprometido en un puerto aleatorio, por ejemplo:
http://[DIRECCION IP ALEATORIA DEL EQUIPO]:[PUERTO ALEATORIO]
El gusano enviará esta dirección URL como parte de su ejecución a equipos remotos.
Una vez que explote la vulnerabilidad mencionada, el equipo remoto se conectará a dicha dirección URL y descargará el gusano.
De esta forma, cada equipo comprometido puede reproducir la infección, en lugar de descargar el gusano de una ubicación predefinida.
En seguida el gusano se conecta a un router UPnP y abre el puerto http.
Posteriormente intenta localizar el dispositivo registrado de red como getway de Internet dentro de la red y abre el puerto antes mencionado para permitir accesos al equipo comprometido desde redes externas.
El gusano trata de descargar un archivo desde la siguiente dirección:
http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz
El gusano se propaga explotando la vulnerabilidad de Microsoft Windows Server Service RPC Handling Remote Code Execution (BID 31874).
En seguida, el guusano intenta contactar los siguientes sitios para obtner la fecha actual.
- http://www.w3.org
- http://www.ask.com
- http://www.msn.com
- http://www.yahoo.com
- http://www.google.com
- http://www.baidu.com
Utiliza las fechas para generar una lista de nombres de dominio.
El gusano contactará estos dominios para intentar descargar archivos adicionales en el equipo comprometido.
¿Os gusta mi nuevo amigo?
Utiliza para infectar una vulnerabilidad que se descubrió allá por Octubre del año pasado. Aqui teneis un link para descargaros el parche para subsanarla aunque no lo hay para todos los sistemas. No, usuarios de vista, no lo busqueis.
http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx
Mas info sobre posibles soluciones para infecciones y otras chucherias aqui: Symantec
Personalmente aconsejo el uso de buenos antivirus como el Avast, Kaspersky y el nod32. El primero es gratuito ;).
Un saludo
El becario bravido.
3 comentarios:
Si tienes Service Pack 3 instalado no hace falta bajar ningun parche, el sistema estara seguro. Por otro lado, esta vulnerabilidad es algo antiguilla eh.
De la que se sirvió el Sasser también era antigua y así y todo hizo estragos.
Justo iba a instalar el parche que recomendais en el PC de mi chica y he visto lo que dice Luis Gump.
Por cierto soy 50% gallego y conozco gallegos que programan mu bien eh... chistes fáciles con la tierra de mi padre ;-P
Publicar un comentario