domingo, 14 de agosto de 2005

Gusano "Zotob" aprovecha vulnerabilidad en Plug-and-Play de Windows

El gusano es capaz de infectar automáticamente los sistemas
Windows 2000 que no hayan instalado la actualización MS05-0039,
disponible desde el pasado martes. Desde Hispasec aconsejamos a todos
los usuarios mantengan sus sistemas puntualmente actualizados, y de
forma especialmente urgente este mes en el caso de Windows.

Tal y como adelantamos a las 18:30 del domingo a los suscriptores
del servicio de alertas de virus de Hispasec por SMS
( http://www.hispasec.com/unaaldia/2400 ), el gusano se encuentra
activo, y aprovecha la vulnerabilidad en Plug-and-Play de Windows
que puede ser explotada de forma remota por un usuario anónimo en
sistemas Windows 2000.

La aparición de un gusano de estas características era previsible,
ya que hace unos días fueron publicados los detalles para explotar
esta vulnerabilidad junto a otras pruebas de concepto sobre ataques
relativos a los parches de Windows del mes de agosto. Más detalles
sobre las pruebas de concepto publicadas y la respuesta AV en
http://blog.hispasec.com/laboratorio/22

Las casas antivirus de momento no dan protagonismo a "Zotob" en sus
alertas y rankings, no en vano la propagación es muy discreta. El
hecho de que infecte a través del puerto TCP/445 dificulta su
propagación por Internet, ya que lo usual es que el puerto esté
filtrado por los firewalls perimetrales.

Sin embargo, desde Hispasec queremos advertir sobre la posibilidad
de que este gusano o uno similar llegue a redes corporativas, donde
sin duda podría causar más estragos. No hace falta recordar los
casos de infecciones en redes corporativas al conectar portátiles,
o por estaciones de trabajo remotas, infectados por Blaster o Sasser.

Es por ello vital que los sistemas se mantengan puntualmente
actualizados con los últimos parches disponibles. En esta ocasión
es crítico en el caso de Windows, ya que se han publicado los
códigos que permiten aprovechar varias de las últimas
vulnerabilidades corregidas durante el mes de agosto.

"Zotob" es sólo una muestra de lo que puede hacerse al automatizar
este tipo de ataques. No es la única, en las últimas horas están
apareciendo nuevos especímenes que aprovechan la misma
vulnerabilidad, como el caso de variantes de Sdbot o del propio
Zotob, y tampoco debemos olvidar la posibilidad de ser víctimas
de un ataque específico contra nuestro sistema.

Los usuarios domésticos pueden comprobar e instalar las últimas
actualizaciones disponibles desde la dirección
http://windowsupdate.microsoft.com

En el caso de los usuarios corporativos entendemos que el despliegue
se hará de forma centralizada, por lo que instamos a los
administradores a que aceleren el proceso.

Descripción de "Zotob"

Como hemos comentado, el gusano busca sistemas vulnerables que no hayan
instalado el parche MS05-039. Para ello lanza 16 hilos para barrer
aleatoriamente la clase B de la IP del sistema infectado en busca de
sistemas con el puerto TCP/445 abierto.

Cuando encuentra un sistema vulnerable, aprovecha la vulnerabilidad
en Plug-and-Play para abrir un shell en el puerto TCP/8888 del equipo
de la víctima, a través del cual llama a FTP.EXE para realizar la
descarga del gusano (archivo haha.exe) desde un servidor FTP hospedado
en el puerto TCP/33333 del sistema previamente infectado desde el que
partía el ataque.

Una vez se ejecuta el gusano en el nuevo sistema, crea el archivo
botzor.exe en la carpeta de sistema de Windows y las entradas en
el registro de Windows para asegurarse su ejecución en cada inicio
de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WINDOWS SYSTEM" = "botzor.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"WINDOWS SYSTEM" = "botzor.exe"

También modifica el archivo hosts del sistema para que los dominios
web de los antivirus apunten a la dirección 127.0.0.1 (localhost),
como estrategia para impedir que los sistemas infectados puedan
actualizar el antivirus o utilizar herramientas para su localización
y desinfección.

Por último "Zotob" intenta conectarse a un servidor IRC desde donde
el gusano puede recibir órdenes de sus creadores, como descargar e
instalar nuevas versiones del gusano.


Bernardo Quintero
bernardo@hispasec.com