Informe semanal sobre virus al 14/08/2003

Cinco gusanos – Blaster, Blaster.B, Blaster.C, RPCSdbot y RPCSdbot.B -, que comparten la característica de aprovechar la misma vulnerabilidad para difundirse al mayor número de equipos posible, y un troyano denominado HatFiend.10 centran la atención del informe sobre virus de esta semana.

Informe semanal sobre virus al 14/08/2003Tras su aparición el lunes, y en apenas unas pocas horas, Blaster se extendió rápidamente a miles de equipos y pasó a ocupar la primera posición en la lista de virus más frecuentemente detectados por la solución antivirus online y gratuita Panda ActiveScan.

Blaster se propaga atacando direcciones IP -generadas aleatoriamente- que pertenecen tanto a la red en la que se encuentra el equipo atacado, como a redes de clase B. En concreto, intenta aprovecharse en las referidas direcciones IP de la vulnerabilidad conocida como “Desbordamiento de buffer en interfaz RPC”. En el caso de conseguirlo, Blaster descarga en el ordenador atacado una copia de sí mismo en un archivo denominado MSBLAST.EXE, para lo que incorpora su propio servidor TFTP.

Entre las acciones que Blaster lleva a cabo destacan las siguientes:

– Ataques de Denegación de Servicio (DoS) contra el sitio web windowsupdate.com, cuando la fecha del sistema se encuentre entre el 16 de agosto y el 31 de diciembre de 2003. Si se cumple esta condición, el gusano crea un nuevo hilo de ejecución que envía, cada 20 milisegundos y por el puerto 80 TC, un paquete de 40 bytes al citado sitio.

– Bloqueo y reinicio del ordenador atacado.

– Aumento del tráfico de red por los puertos TCP 135 y 4444, y UDP 69.

Por su parte, las variantes B y C de Blaster tienen muchas similitudes con el original, si bien, presentan algunas diferencias. Ejemplos de ello son los nombres de los archivos que generan en el equipo, los cuales son PENIS32.EXE (Blaster.B) y TEEKIDS.EXE (Blaster.C).

Ante las incidencias registradas por la aparición de Blaster y sus variantes, Panda Software ha puesto a disposición de todos los usuarios una aplicación PQREMOVE diseñada específicamente para limpiar y restaurar los equipos afectados por la acción de estos gusanos. La misma puede descargarse desde la dirección http://www.pandasoftware.es/descargas/utilidades/.

RPCSdbot y RPCSdbot.B son dos códigos maliciosos muy similares que también aprovechan la vulnerabilidad de “Desbordamiento de buffer en interfaz RPC” para difundirse. Para ello, siguen el mismo procedimiento empleado por Blaster, ya que atacan direcciones IP generadas aleatoriamente para descargar en el ordenador, mediante su propio servidor de TFTP, copias de sí mismos.

RPCSdbot y RPCSdbot.B también instalan en los equipos a los que afectan un troyano de tipo backdoor, que permite a un hacker realizar acciones tales como ejecutar programas, borrar y descargar ficheros, producir ataques DoS, etc.

Debido a que todos estos códigos maliciosos aprovechan una vulnerabilidad que afecta a ordenadores con sistemas operativos Windows 2003/XP/2000/NT, se aconseja a los usuarios de dichas plataformas que instalen los parches proporcionados por Microsoft para corregirla, que pueden descargarse desde: http://www.microsoft.com/security/security_bulletins/ms03-026.asp.

Acabamos el presente informe con HatFiend.10, troyano de tipo backdoor que permite a los hackers acceder, de forma remota, a otros ordenadores para realizar en ellos operaciones que comprometen la confidencialidad del usuario y dificultan su trabajo. Este código malicioso permanece residente en memoria y abre el puerto 1871 del equipo al que afecta en el que, además, lleva a cabo varias acciones, como capturar las pulsaciones del teclado y controlar totalmente las unidades de disco duro.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

– DoS / Denegación de servicios: ataque, causado en ocasiones por los virus, que impide la utilización de ciertos servicios (del sistema operativo, de servidores web, etc.).

– Servidor: sistema informático (ordenador) que presta ciertos servicios y recursos (de comunicación, aplicaciones, ficheros, etc.) a otros ordenadores (denominados clientes), que están conectados en red a él.

Más definiciones técnicas relacionadas con los virus y los antivirus en: http://www.pandasoftware.es/virus_info/glosario/default.aspx

Sobre el Laboratorio de Virus de Panda Software

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática