Diferencia entre revisiones de «Blaster»
m (→Síntomas de infección) |
|||
| Línea 20: | Línea 20: | ||
Es un gusano informático (por lo tanto tiene la capacidad de replicarse a sí mismo) que se propagó durante agosto de 2003 por ordenadores con sistemas operativos Windows XP o Windows 2000. También se le ha llamado Lovsan o LoveSan 3a1. Se le conoce por sus las siguientes dos cadenas de texto características que mostraba por pantalla: | Es un gusano informático (por lo tanto tiene la capacidad de replicarse a sí mismo) que se propagó durante agosto de 2003 por ordenadores con sistemas operativos Windows XP o Windows 2000. También se le ha llamado Lovsan o LoveSan 3a1. Se le conoce por sus las siguientes dos cadenas de texto características que mostraba por pantalla: | ||
| − | <code>''"Solo quería decir que te amo SAN!" y "Bill Gates, ¿por que haces esto posible? ¡Deja de | + | <code>''"Solo quería decir que te amo SAN!" y "Bill Gates, ¿por que haces esto posible? ¡Deja de ganar dinero y corrige tu software!" ''.</code> |
Revisión de 20:41 8 feb 2018
| BLASTER | |
| Tipo | Gusano informático |
| Creador | Desconocido |
| Fecha | 11 de agosto de 2003 |
| Código fuente | C |
| Plataforma | MS Windows |
| Tipo de fichero | .exe |
| Daños generados (en dolares) | 320.000.000 |
Es un gusano informático (por lo tanto tiene la capacidad de replicarse a sí mismo) que se propagó durante agosto de 2003 por ordenadores con sistemas operativos Windows XP o Windows 2000. También se le ha llamado Lovsan o LoveSan 3a1. Se le conoce por sus las siguientes dos cadenas de texto características que mostraba por pantalla:
"Solo quería decir que te amo SAN!" y "Bill Gates, ¿por que haces esto posible? ¡Deja de ganar dinero y corrige tu software!" .
Contenido
Funcionamiento
El gusano esta programado para explorar una cantidad aleatoria de direcciones IP en busca de sistemas vulnerables a la falla del protocolo DCOM/RPC (Remote Procedure Call (Llamada a Procedimiento Remoto)) en el puerto 135, lo que permite que procesos remotos puedan comunicarse y poder infectar ordenadores remotos por medio de un desbordamiento del búfer . Para evitar infectar un sistema que originalmente ya estaba infectado, el gusano intenta crear un mutex llamado BILLY (referencia a Bill Gates); si ya hay uno existente detiene su ejecución. Hay un 80% de probabilidades de que el gusano envíe código para explotar las vulnerabilidades de Windows XP y 20% para código destinado a Windows 2000. Si el código transmitido no concuerda con el tipo de sistema ocurrirá una falla del subsistema RPC que se traduce en un reinicio del sistema operativo.
Cuando el gusano encuentra un sistema vulnerable abre un shell remoto en el puerto TCP 4000. Luego, inicia un protocolo de transferencia de pequeños archivos TFFP a través del puerto UDP 69. Esto produce la transmisión de un comando a través del puerto 4444 desde el ordenador infectado que obliga al ordenador remoto descargar una copia del gusano en el directorio %WinDir%\system32. Una vez finalizada la descarga, el gusano desconecta el puerto y finaliza el protocolo TFFP.
En el sistema objetivo, el gusano, una vez descargado, se ejecuta y crea el mutex anteriormente mencionado y genera las siguientes entradas en el registro de Windows para poder ejecutarse de forma automática cada vez que el ordenador se reinicia:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Si el gusano encuentra una conexión a red activa, iniciara su proceso de búsqueda de nuevos sistemas para poder infectarlos. Se duerme por intervalos de 20 segundos para despertarse y reanudar la búsqueda.
Formas de propagación
Síntomas de infección
Una de las consecuencias de la explotación de las vulnerabilidades de los protocolos RPC/DCOM es la aparición de varios errores de funcionamiento en el sistema infectado. De esta forma, podemos saber si un sistema se encuentra infectado observando si posee algunos de los siguientes síntomas:
- Las opciones de Copiar/Pegar son defectuosas o no se pueden utilizar.
- Abrir un hiperviculo en una nueva ventana es imposible.
- Mover los íconos es también imposible.
- La búsqueda de archivos de Windows es irregular.
- El puerto 135/TCP está cerrado.
- Windows XP se reinicia: El sistema se reinicia constantemente por NT AUTHORITY\SYSTEM con el/los siguiente/s mensaje/s:
Ahora, Windows debe reiniciarse debido a la inesperada finalización del servicio de Llamada por Procedimiento Remoto.
El sistema se cerrará en 60 segundos. Guarde todos los trabajos sin terminar y cierre la sesión. NT AUTHORITY/SYSTEM inició este cierre de sistema. Windows debe reiniciarse ahora
Variantes
El gusano informático Blaster ha tenido unas cuantas variantes que no llegaron a propagarse ni causar el mismo daño que el original.
- Blaster.B : La variante B tiene un tamaño de 7.200 bytes y emplea "penis32.exe" como el ejecutable del Blaster. El autor de esta variante fue Jeffrey Lee Parson, joven de la localidad de Hopkins, Minnesota que fue arrestado el 12 de marzo de 2004 a sus 18 años de edad, y sentenciado a 18 meses en prision en enero de 2005.
- Blaster.C : La variante C tiene un tamaño de 5.360 bytes . El ejectuable se denomina "teekids.exe" y añade la entrada "Microsoft Inet Xp.. = teekids.exe" al mismo registro de Windows.
- Blaster.D : Tiene un tamaño de 11.776 bytes. El ejecutable se denomina "mspatch.exe" y añade la entrada "Nonton Antivirus = mspatch.exe" al registro de Windows.
- Blaster.E : El ejecutable se denomina "mslaugh.exe" y añade la entrada "windows automation = mslaugh.exe" al registro de Windows.
- Blaster.F : Tiene un tamaño 11.808 bytes de Usa el ejecutable denominado "enbiei.exe" y añade "www.hidro.4t.com = enbiei.exe" al registro de Windows. También contiene un segmento de texto en rumano: Nu datzi la fuckultatea de Hidrotehnica!!! Pierdetzi timp ul degeaba… Birsan te cheama pensia!!!Ma pis pe diploma!!!!!! Que se puede traducir en lo siguiente: "No vayas a la facultad de hidráulica!!!. Estas desperdiciando tu tiempo. Birstan, tu pension te espera!!!. Oriné en el diploma!!!!!" . El autor fue Dan Dumitru Ciobanu, el cual puede llegar a ser sentenciado a 15 años de prisión si es condenado por "posesión ilegal de programas e interrupción de un sistema informático".
- Blaster.G : Es el mas grande de todos los variantes con un tamaño de 66.048 bytes. Emplea el ejecutable "eschlp.exe" y "svchosthlp.exe". Agrega la entrada "Helper = (windows system folder)\eschlp.exe /fstart" and"MSUpdate = (windows system folder)\svchosthlp.exe" al registro de Windows. Tambien modifica la configuracion del explorador predeterminado para establecer como pagina de inicio el sitio web http://www.getgood.biz.
- Blaster.H : Tiene un tamaño de 6.688 bytes . Emplea el ejecutable "mschost.exe". Añade la entrada "windows shellext.32 = mschost.exe" al registro de Windows.
