W32/Blaster, un gusano con una alta incidencia

Tal como avanzamos ayer por la noche en un boletín de urgencia, se está
propagando con rapidez un gusano que ataca los ordenadores que utilizan
los sistemas operativos Windows (las versiones Windows NT 4.0, Windows
2000, Windows XP y Windows Server 2003).Este gusano se aprovecha de una
vulnerabilidad recientemente descubierta en la interfaz de peticiones a
procedimientos remotos (Remote Procedure Call, RPC) de Windows.

El verano del 2003 será recordado por dos hechos en los que la velocidad
de propagación ha sido un factor clave: la oleada de incendios
forestales y el gran número de usuarios que se ven forzados a reiniciar
sus PC debido a la distribución alcanzada por el gusano W32/Blaster.

W32/Blaster utiliza una vulnerabilidad presente en la interfaz RPC de
Windows, descrita a mediados del pasado mes de julio. Esta
vulnerabilidad permite a un atacante remoto (en este caso, el gusano)
obtener el control completo del sistema vulnerable y la ejecución de
código arbitrario.

El gusano dispone de un algoritmo para generar los rangos de direcciones
IP donde intenta localizar nuevos sistemas vulnerables en los que
intentará propagarse. Este algoritmo está pensado para aumentar las
probabilidades de atacar sistemas situados en redes cercanas.

Para cada dirección IP obtenida, el gusano analiza las 20 direcciones IP
siguientes, intentando establecer una conexión en el puerto 135/tcp. Si
la conexión es satisfactoria, el gusano utilizado dos exploits
diferentes para intentar infiltrarse en el sistema remoto. El primero de
estos exploits sólo funciona si el sistema remoto ejecuta Windows 2000
mientras que el segundo es válido en el caso de que el sistema remoto
utilice Windows XP.

Debido a que el gusano no intenta determinar que versión de Windows
utiliza el sistema remoto, sino que lanza uno u otro exploit de forma
aleatoria, en el momento de enviar el código del exploit puede provocar
la detención inesperada del proceso SVCHOST.EXE en el sistema atacado, l
o que provocará que el sistema se vuelva inestable. En estos casos, la
infección no será satisfactoria, pero el sistema atacado puede quedar
inoperativo.

La función del exploit utilizado es abrir una sesión del intérprete de
órdenes de Windows, asociada al puerto 4444/tcp. Dentro de esta sesión,
el gusano utiliza la utilidad tftp para transferir el código del gusano
al ordenador recién atacado.

Una vez ha conseguido entrar en un ordenador vulnerable, el gusano añade
una entrada en el registro para asegurar su ejecución automática en el
momento en que se reinicie el sistema operativo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

«windows auto update»=»msblast.exe»

Por otra parte, el gusano también verifica la fecha del sistema. En el
caso de que el día del mes sea igual o posterior a 16, empezará a enviar
una gran cantidad de tráfico (paquetes de 40 bytes enviados cada 20
milisegundos) hacia el puerto 80/tcp de windowsupdate.com. La acción
combinada de un gran número de máquinas infectadas puede tener como
efecto un ataque distribuido de denegación de servicio contra el
servicio de actualizaciones de software de Microsoft.

Eliminación del gusano

Para eliminar manualmente el gusano de un ordenador infectado deben
realizarse los siguientes pasos:

1. Utilizar el administrador de tareas de Windows (accesible mediante la
combinación de teclas Control-Majús-Esc) para finalizar la ejecución
del proceso MSBLAST.EXE

2. Borrar el archivo MSBLAST.EXE del directorio de sistema de Windows

3. Utilizar el editor de registro para borrar la entrada añadida en el
registro
(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows Auto Update).

4. Reiniciar la máquina

Adicionalmente diversos fabricantes de programas antivirus han publicado
herramientas para realizar esta eliminación de forma automática. Algunas
de estas herramientas son

ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip
http://vil.nai.com/vil/stinger
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

No obstante, tal como ya indicamos en nuestro boletín de ayer, la mejor
prevención pasa por evitar la entrada del gusano. Para ello es
importante aplicar la actualización publicada por Microsoft que elimina
la vulnerabilidad RPC de Windows. Esta actualización está disponible en
WindowsUpdate.com o bien descargando el parche específico para cada
versión de Windows (consultar el «una-al-día» del pasado 18 de julio
para las URL de estos parches).

Más información:

Una-al-día (10-08-03) – Aviso de urgencia: Un nuevo gusano de
propagación masiva
http://www.hispasec.com/unaaldia/1750

Una-al-día (18-07-03) – Desbordamiento de búfer en interfaz RPC de
sistemas Windows
http://www.hispasec.com/unaaldia/1728

MS DCOM RPC Worm
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf

Gusano W32.Blaster
http://www.unam-cert.unam.mx/Notas/Notas2003/nota-UNAM-CERT-2003-008.html

Windows worm starts its spread
http://rss.com.com/2100-1002_3-5062364.html?type=pt∂=rss&tag=feed&subj=news

WORM_MSBLAST_A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

RPC DCOM Worm On The Loose
http://slashdot.org/article.pl?sid=03/08/11/2048249

Aviso del CERT CA-2003-20
W32/Blaster worm
http://www.cert.org/advisories/CA-2003-20.html

Win32.Poza
http://www3.ca.com/virusinfo/virus.aspx?ID=36265

Lovsan
http://www.datafellows.com/v-descs/msblast.shtml

W32/Blaster-A
http://www.sophos.com/virusinfo/analyses/w32blastera.html

Internet Security Systems Security Alert: «MS Blast» MSRPC DCOM Worm
Propagation
http://xforce.iss.net/xforce/alerts/id/150

Win32 Blaster Worm is on the Rise
http://slashdot.org/article.pl?sid=03/08/12/1326237

MSBlaster worm spreading rapidly
http://www.theregister.co.uk/content/56/32286.html

Detalles del virus Blaster
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2880

W32/Lovsan.worm
http://vil.nai.com/vil/content/v_100547.htm

W32.Blaster.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html