Diversas organizaciones, como ISS, Kapersky Labs e incidents.org,
informan de la existencia de un nuevo gusano que recuerda en cierta
medida a «Code Red». No obstante, los análisis realizados por ahora
parecen indicar que no tendrá una incidencia tan importante como su
predecesor.
«Code Blue» no es un gusano residente en memoria como «Code Red».
Esto hace que su detección sea mucho más simple. Se distribuye dentro
de un archivo .DLL (biblioteca de enlace dinámico) y lo ejecuta un
archivo .EXE. En lo que sí se parece a «Code Red» es en el método de
propagación, una vez infectado el sistema, «Code Blue» inicia
aproximadamente 100 threads que realizaran la búsqueda de otros
sistemas vulnerables donde se pueda copiar el gusano.
«Code Blue» inicia la búsqueda en las direcciones IP «cercanas» con
el objetivo de reducir las peticiones a direcciones IP no
direccionables. Incluye también una porción de código para evitar la
infección de un sistema ya afectado.
«Code Blue» no parece tener ninguna intención destructiva o malévola.
No borra ningún archivo del sistema ni instala ninguna puerta trasera
(backdoor) en el sistema infectado. Eso si, tiene un notable impacto
en el rendimiento del sistema afectado.
El gusano instala un programa escrito en Visual BASIC Script (d.vbs)
que borra los mapeos de los archivos «.ida», «.idq» y «.printer» para
a continuación borrarse el mismo. Una posible explicación de esta
acción es la de evitar la infección del sistema por parte de «Code
Red» o bien prevenir cualquier otro ataque que utilice la
vulnerabilidad .IDA de Microsoft IIS.
Cada día, entre las 10:00 y las 11:00 GMT, el gusano realizará un
ataque de denegación de servicio (envío masivo de paquetes) contra
una dirección IP específica que corresponde a los sistemas de una
empresa de seguridad de la China.
«Code Blue» utiliza la vulnerabilidad denominada «Web Server Folder
Traversal», para la que Microsoft publicó una actualización el pasado
octubre de 2000. Esta actualización, además, también viene incluida
dentro del Service Pack 2 de Windows 2000 y el Security Rollup
Package (SRP) para Windows NT 4.0. Esto hace prever que la incidencia
de este gusano será bastante pequeña.
«Code Blue» utiliza varias cadenas para el ataque contra los
sistemas, con diferentes caracteres codificados. No obstante, el
método de escaneo si que es uniforme: el gusano envía una petición
HTTP (HEAD) contra el servidor e inspecciona la respuesta. Si el
servidor remoto es un IIS, envía una segunda petición HTTP (GET) en
la que intenta explotar la vulnerabilidad.
Esta segunda petición tiene un aspecto similar al siguiente:
GET / .. [caracteres codificados] ../winnt/system32/cmd.exe?c+dir
Recomendaciones
Si algún administrador de IIS todavía no ha instalado la
actualización necesario, debe seguir estos pasos:
* Instalar la actualización disponible para IIS 4.0 e IIS 5.0:
IIS 4.0
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862
IIS 5.0
http://www.microsoft.com/windows2000/downloads/critical/q269862
Alternativamente puede instalar el parche acumulativo que, además de
esta actualización, incluye otras igualmente importantes:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
Eliminación de «Code Blue» de un ordenador infectado
* Con REGEDIT, localizar la clave
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
* Localizar y borrar la entrada correspondiente a C:\SVCHOST.EXE
* Salir de REGEDIT.
* Borrar el archivo C:\SVCHOST.EXE.
* Borrar cualquier copia de D.VBS existente en el sistema.
* Reiniciar el ordenador.
xcaballe@quands.com
Más información:
Aviso de Kapersky Labs
http://www.kapersky.com/news.asp?tnews=0&nvView=1&id=228&page=0
Hispasec 20-10-00: Una grave vulnerabilidad afecta a todos los
servidores IIS
http://www.hispasec.com/unaaldia.asp?id=726
Boletín de de Microsoft: «Microsoft IIS 4.0 / 5.0 Extended UNICODE
Directory Traversal Vulnerability»
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
Versión original de esta noticia (en catalán)
http://www.quands.com/alertes/html/code-blue.html
Deja una respuesta