Página de inicio de INTECO-CERT, Centro de Respuesta a Incidentes en TI para PYMEs y Ciudadanos

Enlace a la red social de Facebook Enlace a la red social de Twitter Enlace al canal de Inteco-Cert en el portal de videos YouTube

Enlace al canal de Inteco-Cert en Scribd Enlace al canal de Inteco-Cert en Slideshare

Encuesta de Calidad de INTECO-CERT

  • 1.- ¿Ha encontrado en el portal de INTECO-CERT la información que buscaba? *
  • 2.- ¿Dicha información le ha resultado útil / interesante? *

Detalle de virus

null

Se trata de un virus con una capacidad de propagación muy elevada. Esto lo consigue porque hace uso de una vulnerabilidad de los sistemas Windows NT, 2000 XP y 2003 (que son los únicos afectados) conocida como "Desbordamiento de búfer en RPC DCOM ". Se trata de una vulnerabilidad para la que hay parche desde Junio de 2003, todos los usuarios que no hayan actualizado su sistema desde esa fecha deberían hacerlo inmediatamente. Por otra parte se propaga usando el puerto TCP 135, que no debería estar accesible en sistemas conectados a Internet con un cortafuegos correctamente configurado. Los efectos destructivos consisten en lanzar ataques de denegación de servicio con el web de Microsoft "windows update" y quizás provocar inestabilidad en el sistema infectado.

Detalles técnicos

  • Difusión: Media
  • Daño: Alto
  • Dispersibilidad: Alta
  • Fecha de alta: 12/08/2003
  • Última actualización: 10/12/2009

Arriba

Propagación

Capacidad de autopropagación:

Se propaga de las siguientes maneras:

Explotando Vulnerabilidades

Se difunde aprovechando alguna vulnerabilidad, típicamente de servicios de red.

Otro mecanismo de propagación

El gusano está constamente escaneando subredes IP de clase C; empieza por una dirección x.y.z.0, donde x,y,z son valores aleatorios, y barre el rango de direcciones incrementando de uno en uno el cuarto octeto. Si en alguna de estas direcciones IP se encuentra con un sistema vulnerable que aún no ha sido infectado, entonces le enviará datos al puerto 135 con el fin de provocar el desbordamiento de búfer. Este desbordamiento permite al gusano abrir en el sistema atacado una shell remota. A esa shell se le envían los comandos correspondientes para que el sistema, mediante protocolo TFTP, descarge el fichero msblast.exe en el directorio de sistema de Windows.

NOTAS:
1.- Normalmente este directorio es C:\Windows\System32 o bien C:\WINNT\System32.
2.- TFTP (trivial file transfer protocol) es un protocolo FTP simplificado.

Además, se le ordenará al sistema infectado, mediante la shell remota, que que ejecute ese fichero (que es el que se acaba de descargar y el que contiene el gusano).

Ataque de denegación de servicio distribuido

  • En los meses de enero a agosto, el gusano lanzará un ataque de denegación de servicio desde el día 16 de esos meses hasta el 31.
  • El resto de meses, de septiembre a diciembre, el gusano lanzará ese ataque todos los días del mes.
  • En la versión actual del gusano, enviará paquetes de 40 bytes cada 20 milisegundos al puerto 80 de "windowsupdate.com".

Efectos en el sistema infectado.

En ocasiones, y debido a un error en el exploit utilizado para aprovecharse de la falla mencionada, se muestra el siguiente mensaje antes de que el sistema se cierre:


Imagen de VS Antivirus

Esto ocurrirá continuamente hasta que sea limpiada la infección.

El gusano también se ejecuta como un servidor TFTP en la computadora atacada usando el puerto UDP/69, con lo que permite que la víctima sirva de host a otros usuarios para que descarguen de allí una copia del gusano (MSBLAST.EXE).

Abre el puerto TCP/4444 en la computadora infectada, aceptando comandos de un usuario remoto. No hay indicios de que el puerto siga abierto después del envío de las instrucciones.

Claves añadidas al registro

El gusano añade alguna de las siguientes claves: 

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Arriba

Infección/Efectos

Cuando Blaster se ejecuta, realiza las siguientes acciones:

Otros detalles

Atención: Hay hasta 7 variantes del gusano Blasterque usan nombres de fichero distintos a los mencionados aquí, pero todas tienen los mismos efectos (sobre todo el apagado de Windows XP). Utilice un antivirus actualizado para identificar los ficheros.

Vulnerabilidad Windows en "RPC DCOM "

Este gusano explota la vulnerabilidad conocida como "Desbordamiento de Búfer en RPC DCOM", una vulnerabilidad en llamadas a procedimiento remoto (RPC) mediante el modelo de objetos distribuidos (DCOM). Esta vulnerabilidad permite que un atacante remoto obtenga acceso total al sistema atacado y ejecute sobre él código arbitrario.

Más información sobre este vulnerabilidad en el Boletín de Seguridad de Microsoft MS03-26

  • El gusano utiliza los puertos TCP 135, 4444 y el UDP 69.
  • Está empaquetado con UPX.
  • El gusano contiene el siguiente texto dentro de su código: 
     I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!
  • Ha sido programado en ensamblador.

Enlaces Asociados:

Arriba

Contramedidas

Desinfección

Nota: para abortar el apagado automático del sistema ejecute el comando shutdown -a . Haga clic en el botón "Inicio" de Windows, seleccione ejecutar y teclee "shutdown -a" (sin las comillas) y presione retorno. Tenga en cuenta que, aunque el sistema puede seguir funcionando será inestable. Elimine cuanto antes el virus e instale el parche de seguridad.

  • Instrucciones preliminares (solo para usuarios de Windows XP)

    Para estos usuarios, es preciso deshabilitar la "Restauración del sistema" de Windows XP. Para ello:

    1. Sitúese en el Escritorio de Windows y pulse con el botón derecho del ratón sobre el icono Mi PC.
    2. Seleccione la opción Propiedades.
    3. Seleccione la ficha -pestaña- Restaurar sistema.
    4. Marque la casilla Desactivar Restarurar Sistema en todas las unidades, pulsando sobre ella.
    5. Pulse el botón Aceptar.
    6. Se solicita confirmación para reiniciar el ordenador. Conteste afirmativamente.

    No volveremos a habilitar la Restauración del sistema hasta que no se haya finalizado completamente con la eliminación del virus.

  • Aplicar parche

    Es quizás la parte más delicada del proceso de eliminación. El objetivo de este paso es instalar en nueso sistema operativo el parche que repara la vulnerabilidad MS03-26. Para ello, diríjase a Boletín de Seguridad de Microsoft MS03-26 y ahí 1) descargue el parche, 2) instálelo en el sistema. Recuerde que mientras no tenga instalado completamente este parche su ordenador podrá ser infectado .

    Puede suceder que no "dé tiempo" a descargar el parche, porque el sistema operativo se cierra. Si esto sucede tiene varias opciones:

    1. Inténtelo de nuevo: el parche es pequeño y no debería tardar mucho en descargarse
    2. Si aún así no es posible la descarga, las opciones son:
      1. Descargar ese parche desde otro ordenador no infectado, copiarlo a disquete o CD e instalarlo en nuestro ordenador.
      2. Habilitar un cortafuegos para impedir que el virus entre (por el puerto 135). Para ello le recomendamos siga las siguientes instrucciones:
        • Quite físicamente el acceso a Internet (desenchufe el cable de red o de acceso telefónico)
        • Abra el administrador de tareas de windows (CTRL+SHIFT+ESC) y seleccione las pestaña "Procesos"
        • Pinche dos veces (con el botón izquierdo) sobre "Nombre de imagen".
        • En la lista que aparece, seleccione el proceso MSBLAST.EXE y pulsar el botón "Terminar proceso". Responda que "Sí" a la pregunta que hará el sistema.
        • Pulse en el botón "Inicio" -> Panel de control -> Conexiones de red
        • Pulse con el botón derecho sobre la conexión a internet que use habitualmente. Selecciones "Propiedades"
        • Seleccione Protocolo de Internet (TCP/IP). Pulse en "Propiedades"
        • Pulse "Avanzadas"
        • Pulse en filtrado TCP/IP, y a continuación en propiedades
        • Seleccione "Permitir filtrado TCP/IP".
        • En la columna de puertos TCP agregue el puerto 135 y deshabilítelo.
        • Pulse en aceptar las veces que sea necesario. El sistema solicitará ser reiniciado. Respóndale que sí.
        • Para más seguridad, repita el paso de terminar proceso (CTRL + SHIFT + ESCAPE, pinchar en "nombre imagen", pinchar en "MSBLAST.EXE" -> "Terminar Proceso" -> "Sí".
        • Vuelva a enchufar la conexión a Internet. Asegúrese de que puede ya acceder a alguna página web que conozca.
      Ahora hemos conseguido preparar el sistema para poder descargar el parche. Hágalo, descargue el parche, ejecútelo y a continuación reinicie el sistema.

  • Borrar el virus definitivamente

    Como seguridad, repita el paso de matar el proceso MSBLAST (es decir: CTRL + SHIFT + ESCAPE, pinchar en "nombre imagen", pinchar en "MSBLAST.EXE" -> "Terminar Proceso" -> "Sí").

    Si tiene antivirus, asegúrese de que está actualizado y fuércele a relizar un escaneo completo del sistema.
    Si no tiene antivirus, recomendamos que se descargue y ejecute una de las siguientes herramientas:

  • Fin de la eliminación

    Su ordendador ya debería de estar limpio y protegido contra este virus. En caso de no ser así, esto puede ser porque:

    • Por alguna razón no ha instalado el parche de Microsoft. Asegúrse de que lo haya hecho, o intente instalarlo (recuerde que es el de 32 bits, que no basta con bajárselo y guardarlo en algún sitio, hay que abrirlo/ejecutarlo)
    • Si el parche está instalado correctamente vuelva a pasar la herramienta que se descargó de Internet para realizar la limpieza (o bájese una herramienta alternativa e inténtelo de nuevo).

    Finalazdo el proceso de eliminación, recuerde, en Windows XP es conveniente volver a habilitar "Restauración del sistema" (para ello sigua los mismos pasos que se dieron para deshabilitarlo).

Arriba