DST/Virus - W32.Blaster.Worm (Lovsan)

Encontrado en: http://virus.dst.usb.ve/article/articleprint/42/-1/1/

Regresar a Versión normal

Fecha de publicación: 15/09/2003 12:44

Cuando Microsoft comenzó a investigar acerca de un gusano de internet que estaba comenzando a hacer estragos a través de el uso de una vulnerabilidad importante, surgió una gran preocupación para el gigante de Redmond.

Citando a Microsoft:
"El 11 de Agosto a las 11:34 A.M. (Pacific Time) Microsoft comenzó a investigar la presencia de un worm (gusano) reportado por Microsoft Product Support Servicess (PSS). Un "worm" es una subclase de virus que generalmente se ejecuta sin acción del usuario y distribuye copias completas (posiblemente modificadas) de sí mismo a través de las redes. Un "worm" puede consumir memoria o ancho de banda, provocando que la computadora deje de funcionar. "

Bajo estas sencillas palabras, traducidas a 30 idiomas, Microsoft coloca la mayor cantidad de información con relacion a un virus de toda su historia. Los expertos vaticinan que la mitad de los PC con Windows a nivel mundial van a ser afectados.

Ese virus es el W32.Blaster.Worm.

Efecto principal de W32.Blaster.Worm

Si ve esta pantalla, significa que Blaster está haciendo de las suyas. Lo peor es que el proceso de reinicio no lo puede detener nada ni nadie, porque corre con privilegios de administrador.

El gusano conocido como Blaster, comenzó a diseminarse el 09/08/2003. El 11/08 los mayores centros de investigación relacionada con virus (Virus Bulletin, CERT, Symantec) colocaron la información como "muy peligroso" debido a que la vulnerabilidad que aprovecha fue publicada el 16/07/2003 por la propia Microsoft, es relacionada con un componente crítico del subsistema de red de Windows; la interface al protocolo RPC y el subsistema DCOM.

¿Que es eso de RPC?
RPC es un acrónimo que significa Remote Procedure Call o en español, Llamada a Procedimiento Remoto. Este protocolo, descrito en el RFC 1050, indica que RPC, para colocarlo en términos sencillos, es un protocolo independiente del transporte, que sirve (entre otras cosas) para ejecutar procesos desde un computador que "llama" a un computador remoto que tiene un proceso "dormido" (esperando la "llamada"). Cuando el computador recibe la "llamada" recibe un conjunto de instrucciones para ejecutar un proceso, lo ejecuta y envía el resultado al computador que "llamó"; luego, el proceso se vuelve a dormir y a esperar la proxima "llamada". Esto se realiza por un (complicado, pero totalmente documentado) intercambio de mensajes y parámetros. El protocolo RPC se puede denominar como un protocolo de muy alto nivel, ya que tiene sub-protocolos para los mensajes, autentificación y mucho más.

Microsoft, como en múltiples ocasiones, tomó el protocolo original, documentado en el RFC 1050 y por supuesto, lo "microsoft-izó", como ellos mismos lo indican:

"RPC es un protocolo usado por el sistema operativo Windows. RPC provee un mecanismo de comunicación interprocesos que permite que un programa que esté corriendo en un computador ejecute código transparentemente en un sistema remoto. El protocolo en sí es derivado del protocolo RPC de la Open Software Foundation (OSF) con la adición de algunas extensiones específicas de Microsoft."

¿Que es eso de DCOM?
DCOM (también llamado Distributed COM) es otro acrónimo que significa Distributed Component Object Model, o en español, Modelo de Componentes Objeto Distribuido. DCOM fue introducido por Microsoft en 1996, poco después de haber introducido COM. COM (y por supuesto, DCOM) permite que una aplicación pueda estar construida de muchos "componentes" binarios, como un Lego; esto permite hacer aplicaciones más rápido, más faciles de actualizar; ofrece, tal como otros modelos basados en objetos, como CORBA y RMI, muchísimas ventajas. DCOM va un poco más allá, ya que permite que los "componentes" puedan estar en diferentes máquinas. Como una extensión de COM, DCOM mejora el modelo de seguridad de COM y además define los procesos de transferencia de datos a través de máquinas.

La descripción de DCOM dada por Microsoft es la siguiente:

"El Modelo de Componentes Objeto Distribuido (DCOM) es un protocolo que habilita a los componentes de software a comunicarse directamente a través de una red. Llamado previamente "Network OLE", DCOM está diseñado para usarse a través de múltiples transportes de red, incluyendo protocolos de Internet tales como HTTP."

Microsoft tiene otros modelos de objetos basados en COM, como ActiveX y COM+.

Es de hacer notar que tanto RPC como DCOM son componentes críticos de Windows.

La vulnerabilidad...
La vulnerabilidad de la implementación RPC/DCOM de Microsoft fue descubierta por The Last Stage of Delirium Research Group. Ellos indicaron que existía una vulnerabilidad de desbordamiento de buffer que existe en un componente integral de cualquier sistema operativo Windows en la interfaz RPC que implementa DCOM.
Como resultado de un error de implementación en una función responsable de la instanciación de los objetos DCOM, atacantes remotos pueden obtener acceso no autorizado a sistemas vulnerables.

Además, ellos indican que Microsoft fue notificada y confirmó que la vulnerabilidad existía y que ya existía un parche para corregirla.

Citando a LSD:

"Debe ser enfatizado que esta vulnerabilidad reviste una enorme amenaza y los parches apropiados proporcionados por Microsoft deben ser inmediatamente aplicados."

Sabias palabras, que si hubieran sido dichas por Microsoft a los cuatro vientos, hubieran hecho de W32.Blaster.Worm otro virus más.

El error de Blaster
A pesar de su rápida difusión, sus dañinos efectos y su publicidad, W32.Blaster.Worm no es un virus que no pueda ser combatido efectivamente. A partir del 16 de agosto, los computadores infectados que no hayan limpiado el virus en efecto se transformaban en una legión de zombies a los cuales se les instruyó para contactar con el sitio http://windowsupdate.com, sitio que no existe. El verdadero sitio, http://windowsupdate.microsoft.com, no fue contactado directamente; cuando en Microsoft supieron esto, ampliaron la capacidad del sitio Windows Update y hicieron una redirección para recibir el tráfico. Eso permitió a Microsoft combatir algo que se le podía salir de control, si hubiera sido hecho correctamente. Así Microsoft le gano una potencial batalla por los ataques de negación de servicio al sitio de Windows Update, a Blaster. Efectivamente, Microsoft le envió el ataque DoS que Blaster generó a algo así como /dev/null.

A pesar de esto, Blaster es una pésima publicidad para Windows Server 2003, que supuestamente es un sistema superseguro.

La importancia de mantener su sistema actualizado
W32.Blaster, cuando hizo acto de presencia en la USB, golpeó fuerte a la red con el flujo de paquetes ICMP que "chorreaba" de las máquinas afectadas. Al día de hoy (15/10/2003), ha disminuido un poco la actividad del gusano; sin embargo, quedan algunos pocos casos.

Es fundamental tener en Windows, todos los Service Packs y actualizaciones disponibles de manera permanente.
No solamente todo se reduce a tener el antivirus actualizado.

Nota importante: Al aplicar los patches de Microsoft debe tener cuidado de usar el patch correspondiente al idioma en el cual tiene instalado Windows; además, Asegúrese de colocar el patch que corresponda única y exclusivamente a la versión de Windows instalada.

Descripción de W32.Blaster.Worm

Archivos anexos

ClnPoza.zip	( ClnPoza.zip 334.32 KB )
Herramienta de Computer Associates para eliminar el virus Blaster.
Stinger	( stinger.exe 686.01 KB )
Stinger es una herramienta para eliminar virus específicos. Esta versión de Stinger incluye soporte para eliminar el Blaster. De Network Associates.
Sysclean.com	( sysclean.com 1.15 MB )
Sysclean es una herramienta para eliminar virus específicos, como el Blaster. De Trend Micro.
Windows2000-KB823980-x86-ENU.exe	( Windows2000-KB823980-x86-ENU.exe 897.05 KB )
Patch para corregir la vulnerabilidad DCOM/RPC en Windows 2000 (Inglés)
Windows2000-KB823980-x86-ESN.exe	( Windows2000-KB823980-x86-ESN.exe 900.05 KB )
Patch para corregir la vulnerabilidad DCOM/RPC en Windows 2000 (Español)
WindowsXP-KB823980-x86-ENU.exe	( WindowsXP-KB823980-x86-ENU.exe 1.23 MB )
Patch para corregir la vulnerabilidad DCOM/RPC en Windows XP (Inglés)
WindowsXP-KB823980-x86-ESN.exe	( WindowsXP-KB823980-x86-ESN.exe 1.23 MB )
Patch para corregir la vulnerabilidad DCOM/RPC en Windows XP (Español)
Antimsblast	( Antimsblast-EN.exe 57.00 KB )
Para eliminar el W32.Blaster.Worm.
FixBlast	( FixBlast.exe 132.19 KB )
FixBlast es una herramienta para eliminar el W32.Blaster.Worm, desde la variante A a la F.