Diferencia entre revisiones de «Blaster»
| Línea 1: | Línea 1: | ||
{{#breadcrumb: }} | {{#breadcrumb: }} | ||
| − | Es un gusano informático (por lo tanto tiene la capacidad de replicarse a sí mismo) que se propagó durante agosto de 2003 por ordenadores con sistemas operativos Windows XP o Windows 2000. | + | Es un gusano informático (por lo tanto tiene la capacidad de replicarse a sí mismo) que se propagó durante agosto de 2003 por ordenadores con sistemas operativos Windows XP o Windows 2000. |
{| class="wikitable floatright" style="margin-left: auto; margin-right: 0px;" | {| class="wikitable floatright" style="margin-left: auto; margin-right: 0px;" | ||
| Línea 20: | Línea 20: | ||
| Daños generados (en dolares) || 320.000.000 | | Daños generados (en dolares) || 320.000.000 | ||
|} | |} | ||
| + | También se le ha llamado como Lovsan o LoveSan 3a1. Se le conoce por sus dos cadenas de texto características que mostraba por pantalla "Solo quería decir que te amo SAN!" y "Bill Gates, ¿por que haces esto posible? ¡Deja de hacer dinero y corrige tu software!" | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
==Funcionamiento== | ==Funcionamiento== | ||
Revisión de 18:58 8 feb 2018
Es un gusano informático (por lo tanto tiene la capacidad de replicarse a sí mismo) que se propagó durante agosto de 2003 por ordenadores con sistemas operativos Windows XP o Windows 2000.
| BLASTER | |
| Tipo | Gusano informático |
| Creador | Desconocido |
| Fecha | 11 de agosto de 2003 |
| Código fuente | C |
| Plataforma | MS Windows |
| Tipo de fichero | .exe |
| Daños generados (en dolares) | 320.000.000 |
También se le ha llamado como Lovsan o LoveSan 3a1. Se le conoce por sus dos cadenas de texto características que mostraba por pantalla "Solo quería decir que te amo SAN!" y "Bill Gates, ¿por que haces esto posible? ¡Deja de hacer dinero y corrige tu software!"
Funcionamiento
El gusano esta programado para explorar una cantidad aleatoria de direcciones IP en busca de sistemas vulnerables a la falla del protocolo DCOM/RPC (Remote Procedure Call (Llamada a Procedimiento Remoto)) en el puerto 135, lo que permite que procesos remotos puedan comunicarse y poder infectar ordenadores remotos por medio de un desbordamiento del búfer . Para evitar infectar un sistema que originalmente ya estaba infectado, el gusano intenta crear un mutex llamado BILLY (referencia a Bill Gates); si ya hay uno existente detiene su ejecución. Hay un 80% de probabilidades de que el gusano envíe código para explotar las vulnerabilidades de Windows XP y 20% para código destinado a Windows 2000. Si el código transmitido no concuerda con el tipo de sistema ocurrirá una falla del subsistema RPC que se traduce en un reinicio del sistema operativo.
Cuando el gusano encuentra un sistema vulnerable abre un shell remoto en el puerto TCP 4000. Luego, inicia un protocolo de transferencia de pequeños archivos TFFP a través del puerto UDP 69. Esto produce la transmisión de un comando a través del puerto 4444 desde el ordenador infectado que obliga al ordenador remoto descargar una copia del gusano en el directorio %WinDir%\system32. Una vez finalizada la descarga, el gusano desconecta el puerto y finaliza el protocolo TFFP.
En el sistema objetivo, el gusano, una vez descargado, se ejecuta y crea entradas en el registro de Windows para poder ejecutarse de forma automática cada vez que el ordenador se reinicia. También crea el mutex anteriormente mencionado
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Si el gusano encuentra una conexión a red activa, iniciara su proceso de búsqueda de nuevos sistemas para poder infectarlos. Se duerme por intervalos de 20 segundos para despertarse y reanudar la búsqueda.
