Blaster

Es un gusano informático (por lo tanto tiene la capacidad de replicarse a sí mismo) que se propagó durante agosto de 2003 por ordenadores con sistemas operativos Windows XP o Windows 2000. También se le ha llamado Lovsan o LoveSan 3a1. Se le conoce por sus las siguientes dos cadenas de texto características que mostraba por pantalla: "Solo quería decir que te amo SAN!" y "Bill Gates, ¿por que haces esto posible? ¡Deja de hacer dinero y corrige tu software!" .

Funcionamiento

El gusano esta programado para explorar una cantidad aleatoria de direcciones IP en busca de sistemas vulnerables a la falla del protocolo DCOM/RPC (Remote Procedure Call (Llamada a Procedimiento Remoto)) en el puerto 135, lo que permite que procesos remotos puedan comunicarse y poder infectar ordenadores remotos por medio de un desbordamiento del búfer . Para evitar infectar un sistema que originalmente ya estaba infectado, el gusano intenta crear un mutex llamado BILLY (referencia a Bill Gates); si ya hay uno existente detiene su ejecución. Hay un 80% de probabilidades de que el gusano envíe código para explotar las vulnerabilidades de Windows XP y 20% para código destinado a Windows 2000. Si el código transmitido no concuerda con el tipo de sistema ocurrirá una falla del subsistema RPC que se traduce en un reinicio del sistema operativo.

Cuando el gusano encuentra un sistema vulnerable abre un shell remoto en el puerto TCP 4000. Luego, inicia un protocolo de transferencia de pequeños archivos TFFP a través del puerto UDP 69. Esto produce la transmisión de un comando a través del puerto 4444 desde el ordenador infectado que obliga al ordenador remoto descargar una copia del gusano en el directorio  %WinDir%\system32. Una vez finalizada la descarga, el gusano desconecta el puerto y finaliza el protocolo TFFP.

En el sistema objetivo, el gusano, una vez descargado, se ejecuta y crea el mutex anteriormente mencionado y genera entradas en el registro de Windows para poder ejecutarse de forma automática cada vez que el ordenador se reinicia:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Si el gusano encuentra una conexión a red activa, iniciara su proceso de búsqueda de nuevos sistemas para poder infectarlos. Se duerme por intervalos de 20 segundos para despertarse y reanudar la búsqueda.

Síntomas de infección

Una de las consecuencias de la explotación de las vulnerabilidades de los protocolos RPC/DCOM es la aparición de varios errores de funcionamiento en el sistema infectado. De esta forma, podemos saber si un sistema se encuentra infectado observando si posee algunos de los siguientes síntomas:

• Las opciones de Copiar/Pegar son defectuosas o no se puede utilizar.
• Abrir un hiperviculo en una nueva ventana es imposible.
• Mover los íconos es también imposible.
• La búsqueda de archivos de Windows es irregular.
• El puerto 135/TCP está cerrado.
• Windows XP se reinicia: El sistema se reinicia constantemente por NT AUTHORITY\SYSTEM con el/los siguiente/s mensaje/s:

Ahora, Windows debe reiniciarse debido a la inesperada finalización del servicio de Llamada por Procedimiento Remoto. El sistema se cerrará en 60 segundos. Guarde todos los trabajos sin terminar y cierre la sesión. NT AUTHORITY/SYSTEM inició este cierre de sistema. Windows debe reiniciarse ahora

Véase también

• Ciberterrorismo
• Suplantación de identidad
• Skimming
• Spyware
• KRACK
• Vishing

Mensaje en representación hexadecimal característico del gusano blaster

Referencias

• http://es.ccm.net/contents/747-el-virus-lovsan-blaster

• https://www.pandasecurity.com/mediacenter/malware/virus-blaster/

• https://es.wikipedia.org/wiki/Blaster

• http://virus.wikidot.com/blaster

• https://www.youtube.com/watch?v=3x94Y787zfM