Blaster

From FdIwiki ELP
Jump to: navigation, search
BLASTER
Tipo Gusano informático
Creador Desconocido
Fecha 11 de agosto de 2003
Código fuente C
Plataforma MS Windows
Tipo de fichero .exe
Daños generados (en dolares) 320.000.000

Es un gusano informático (por lo tanto tiene la capacidad de replicarse a sí mismo) que se propagó durante agosto de 2003 por ordenadores con sistemas operativos Windows XP o Windows 2000. También se le ha llamado Lovsan o LoveSan 3a1. Se le conoce por sus las siguientes dos cadenas de texto características que mostraba por pantalla:

"Solo quería decir que te amo SAN!" y "Bill Gates, ¿por que haces esto posible? ¡Deja de ganar dinero y corrige tu software!" .


Funcionamiento

El gusano esta programado para explorar una cantidad aleatoria de direcciones IP en busca de sistemas vulnerables a la falla del protocolo DCOM/RPC (Remote Procedure Call (Llamada a Procedimiento Remoto)) en el puerto 135, lo que permite que procesos remotos puedan comunicarse y poder infectar ordenadores remotos por medio de un desbordamiento del búfer . Para evitar infectar un sistema que originalmente ya estaba infectado, el gusano intenta crear un mutex llamado BILLY (referencia a Bill Gates); si ya hay uno existente detiene su ejecución. Hay un 80% de probabilidades de que el gusano envíe código para explotar las vulnerabilidades de Windows XP y 20% para código destinado a Windows 2000. Si el código transmitido no concuerda con el tipo de sistema ocurrirá una falla del subsistema RPC que se traduce en un reinicio del sistema operativo.

Mensaje en representación hexadecimal característico del gusano blaster

Cuando el gusano encuentra un sistema vulnerable abre un shell remoto en el puerto TCP 4000. Luego, inicia un protocolo de transferencia de pequeños archivos TFFP a través del puerto UDP 69. Esto produce la transmisión de un comando a través del puerto 4444 desde el ordenador infectado que obliga al ordenador remoto descargar una copia del gusano en el directorio %WinDir%\system32. Una vez finalizada la descarga, el gusano desconecta el puerto y finaliza el protocolo TFFP.

En el sistema objetivo, el gusano, una vez descargado, se ejecuta y crea el mutex anteriormente mencionado y genera las siguientes entradas en el registro de Windows para poder ejecutarse de forma automática cada vez que el ordenador se reinicia:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill


Si el gusano encuentra una conexión a red activa, iniciara su proceso de búsqueda de nuevos sistemas para poder infectarlos. Se duerme por intervalos de 20 segundos para despertarse y reanudar la búsqueda.

Una vez infecta el sistema objetivo, el gusano realiza un ataque SYN Flood (un tipo de ataque DoS, donde se realizan múltiples peticiones SYN que nunca son correspondidas) al puerta 80 de windowsupdate.com si la fecha del sistema era posterior al 15 de agosto y previa al 31 de diciembre, y tras el día 15 de cada otro mes. De esa manera, se constituye un ataque DDoS(Ataque de negación de servicio distribuido) contra el sitio web. No obstante, el daño a Microsoft fue leve.

Formas de propagación

Blaster emplea dos métodos de búsquedas de IP para infectar otros sistemas:

  1. El primer método tiene una probabilidad del 40% de que se utilice. Blaster usa la dirección IP del sistema infectado actual como dirección base para infectar otros ordenadores. Los primeros dos números de la dirección IP se mantienen intactos, mientras que el cuarto numero se pone a cero y luego modifica el tercer numero de acuerdo a la siguiente condición: si el tercer numero de la dirección IP es mayor que 20 , hay una probabilidad del 40% de que el gusano reste un numero aleatorio que es menor que 20 modificando así la dirección base. A partir de ahi, el gusano incrementa el ultimo numero de la dirección sondeando la subred en busca de nuevos ordenadores que infectar. Asi por ejemplo, si tenemos la dirección IP 205.35.123.89, el gusano podría convertirla a la dirección 205.35.103.0 restando el numero aleatorio generado 20 al tercer numero de la dirección.
  2. El segundo método ocurre un 60% de las veces. El gusano selecciona una dirección base completamente aleatoria y comienza a incrementarla a partir de ese número.

Síntomas de infección

Una de las consecuencias de la explotación de las vulnerabilidades de los protocolos RPC/DCOM es la aparición de varios errores de funcionamiento en el sistema infectado. De esta forma, podemos saber si un sistema se encuentra infectado observando si posee algunos de los siguientes síntomas:

Mensaje del reinicio del sistema.
  • Las opciones de Copiar/Pegar son defectuosas o no se pueden utilizar.
  • Abrir un hiperviculo en una nueva ventana es imposible.
  • Mover los íconos es también imposible.
  • La búsqueda de archivos de Windows es irregular.
  • El puerto 135/TCP está cerrado.
  • Windows XP se reinicia: El sistema se reinicia constantemente por NT AUTHORITY\SYSTEM con el/los siguiente/s mensaje/s:

Ahora, Windows debe reiniciarse debido a la inesperada finalización del servicio de Llamada por Procedimiento Remoto. El sistema se cerrará en 60 segundos. Guarde todos los trabajos sin terminar y cierre la sesión. NT AUTHORITY/SYSTEM inició este cierre de sistema. Windows debe reiniciarse ahora

Variantes

El gusano informático Blaster ha tenido unas cuantas variantes que no llegaron a propagarse ni causar el mismo daño que el original.

Jeffrey Lee Parson. Autor del variante Blaster.B
  1. Blaster.B : La variante B tiene un tamaño de 7.200 bytes y emplea "penis32.exe" como el ejecutable del Blaster. El autor de esta variante fue Jeffrey Lee Parson, joven de la localidad de Hopkins, Minnesota que fue arrestado el 12 de marzo de 2004 a sus 18 años de edad, y sentenciado a 18 meses en prision en enero de 2005.
  2. Blaster.C : La variante C tiene un tamaño de 5.360 bytes . El ejectuable se denomina "teekids.exe" y añade la entrada "Microsoft Inet Xp.. = teekids.exe" al mismo registro de Windows.
  3. Blaster.D : Tiene un tamaño de 11.776 bytes. El ejecutable se denomina "mspatch.exe" y añade la entrada "Nonton Antivirus = mspatch.exe" al registro de Windows.
  4. Blaster.E : El ejecutable se denomina "mslaugh.exe" y añade la entrada "windows automation = mslaugh.exe" al registro de Windows.
  5. Blaster.F : Tiene un tamaño 11.808 bytes de Usa el ejecutable denominado "enbiei.exe" y añade "www.hidro.4t.com = enbiei.exe" al registro de Windows. También contiene un segmento de texto en rumano: Nu datzi la fuckultatea de Hidrotehnica!!! Pierdetzi timp ul degeaba… Birsan te cheama pensia!!!Ma pis pe diploma!!!!!! Que se puede traducir en lo siguiente: "No vayas a la facultad de hidráulica!!!. Estas desperdiciando tu tiempo. Birstan, tu pension te espera!!!. Oriné en el diploma!!!!!" . El autor fue Dan Dumitru Ciobanu, el cual puede llegar a ser sentenciado a 15 años de prisión si es condenado por "posesión ilegal de programas e interrupción de un sistema informático".
  6. Blaster.G : Es el mas grande de todos los variantes con un tamaño de 66.048 bytes. Emplea el ejecutable "eschlp.exe" y "svchosthlp.exe". Agrega la entrada "Helper = (windows system folder)\eschlp.exe /fstart" and"MSUpdate = (windows system folder)\svchosthlp.exe" al registro de Windows. Tambien modifica la configuracion del explorador predeterminado para establecer como pagina de inicio el sitio web http://www.getgood.biz.
  7. Blaster.H : Tiene un tamaño de 6.688 bytes . Emplea el ejecutable "mschost.exe". Añade la entrada "windows shellext.32 = mschost.exe" al registro de Windows.

Efectos

Blaster apagó por completo CTX, el sistema ferroviario mas grande del este de los Estados Unidos, durante horas. Dejó incapacitada la intraned de la Armada y el Cuerpo de Marines de los Estados Unidos. Apagó por completo el sistema de registro aéreo de Canadá y estuvo implicado en varios apagones del noreste del país. La Administración de Vehículos de Maryland se vio obligada a detener y parar su funcionamiento ordinario debido a que sus sistemas fueron gravemente afectados. Otras organizaciones reportaron haber sufrido de retardos de la red o cosas peores. También se vieron afectadas empresas como BMW, la empresa de telecomunicaciones sueca TeliaSonera, la Reserva Federal del Banco de Atlanta y el ayuntamiento de Filadelfia.

Se cree que el gusano llego a infectar alrededor de 188.000 ordenadores el 13 de agosto (dos días después de su descubrimiento). En total, Microsoft cree que alrededor de 8 a 16 millones de ordenadores llegaron a ser infectados por Blaster.

Véase también

Referencias