Download Technical Information Technical Support Department

page
1
page
2
page
3
Document related concepts

Conficker wikipedia , lookup

Internet Information Services wikipedia , lookup

Transcript 
Technical Information
www.avp.com.mx
Nombre: Worm.W32/CodeRed.F
Alias:
CodeRed.F, Win32.CodeRed.F
Plataformas: Windows 32 bits
Estado:
Activo
Aparición: 12/03/03
Tipo:
Gusano de Internet
Peligrosidad: Media
Esta variante, libera un programa de tipo backdoor
en el servidor infectado, dándole el control total de
éste a un atacante, lo que compromete
gravemente la seguridad del sistema.
La única diferencia con las versiones anteriores,
son dos bytes que representan la fecha del
funcionamiento. CodeRed, CodeRed II y CodeRed
C, solo funcionaban si el año era menor al 2002 (o
sea, hasta el 31 de diciembre de 2001).
Esta nueva versión funciona siempre (o al menos
hasta el 31 de diciembre de 34951). ¡Si, treinta y
cuatro mil novecientos cincuenta y uno!!
El virus no representa un riesgo para
usuarios de Windows 95, 98, y Me. Los
usuarios de Windows NT y 2000, solo deberían
preocuparse si cuentan con la instalación de
Microsoft IIS Web Server ejecutándose en sus
computadoras.
El gusano se propaga a través de conexiones
TCP/IP al puerto 80 (http), instalándose de
esta forma en servidores Web seleccionados al
azar, utilizando para ello un conocido bug que
afecta los servidores Microsoft IIS que no han
sido actualizados con el parche que cierra dicha
vulnerabilidad.
Este virus explota una vieja vulnerabilidad en el
archivo IDQ.DLL, de los servidores Microsoft
IIS 5.0 (ver "Vulnerabilidad en las
extensiones ISAPI en IIS (MS01-033),
Parches disponibles:
Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp
?ReleaseID=30833
Windows 2000 Professional, Server y Advanced Server:
http://www.microsoft.com/Downloads/Release.asp
?ReleaseID=30800
Más información
http://www.microsoft.com/technet/security/bulleti
n/MS01-033.asp
Esta falla permite, el aprovechamiento de un
desbordamiento de búfer, la ejecución de código
Technical Support Department
Kaspersky Lab Mexico
capaz de tomar el control del servidor Web, a
través de las extensiones ISAPI.
Cuando un servidor es infectado, el gusano
intercepta en la memoria, los procesos del kernel
de Windows (solo Windows NT y 2000 son
afectados). A través de llamadas al proceso
GetProcAddress del KERNEL32.DLL, el virus
accede a una serie de APIs:
LoadLibraryA
CreateThread
..
..
GetSystemTime
También carga el archivo WS2_32.DLL para
acceder a las funciones socket, closesocket y
WSAGetLastError. Utiliza además la función
ExitWindowsEx de USER32.DLL para reiniciar
el sistema.
El thread (hilo) principal examina la existencia de
dos posibles marcas. La primera (29A), controla si
está instalado o no el troyano
"Trojan.VirtualRoot". La otra marca actúa como
semáforo y se llama "CodeRedII". Si este
semáforo existe, el gusano entra en un bucle
infinito.
Luego, el mismo thread examina el lenguaje por
defecto del sistema operativo.
Si este lenguaje es el chino tradicional o chino
simplificado, entonces crea 600 nuevos threads. Si
el lenguaje es cualquier otro, crea 300 hilos.
Todos estos threads generan direcciones IP al
azar, y son las que usará para buscar en Internet,
nuevos servidores a infectar.
Cómo en la tercera versión del CodeRed, la forma
de generar estas direcciones es mucho más
optimizada y es más eficiente que en las versiones
anteriores (I y II). Si las IP generadas equivalen a
sistemas locales (127.x.x.x, 224.x.x.x, etc.), no las
usará, y generará nuevas IP a cuyas máquinas
intentará conectarse para poder infectarlas. Se
piensa que esto generará más tráfico que las
versiones anteriores, comprometiendo el
funcionamiento de todo Internet.
Al mismo tiempo que estos threads están
trabajando, el thread principal copia el shell de
comandos de Windows, CMD.EXE, ubicado en el
directorio de sistema de Windows
(c:\winnt\system32\cmd.exe), a los
Kaspersky Lab Mexico Río Danubio No. 88 Col. Cuauhtemoc Tel.5147-5970 y 5147-5971
Email: [email protected] [email protected]
Technical Information
www.avp.com.mx
siguientes directorios, si estos existen, pero con el
nombre de ROOT.EXE:
c:\inetpub\scripts\root.exe
d:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\MSADC\r
oot.exe
d:\progra~1\common~1\system\MSADC\r
oot.exe
Si el troyano es liberado por el gusano, modifica el
siguiente registro
HKLM\SYSTEM\CurrentControlSet\Services
\W3SVC\Parameters\Virtual Roots
Esto le da oportunidad a un atacante externo,
tomar el control total del servidor Web a través
del envío de solicitudes HTTP GET, para ejecutar
el archivo SCRIPTS/ROOT.EXE en el servidor
infectado.
El proceso principal se mantiene deshabilitado por
48 horas si el lenguaje del sistema es el chino, y
24 en caso contrario. Durante ese periodo, los
threads restantes (300 o 600 según la versión del
idioma de Windows), continuarán trabajando, e
intentarán infectar otros equipos.
Una vez que el periodo de 24 o 48 horas se
cumple, el gusano procede a reiniciar la
computadora infectada. Además de esto, los
demás threads examinan si el año es menor de
34952, o si el mes actual es menor de 10
(octubre). Si es mayor, procede a reiniciar el
sistema.
El gusano copia el shell de comandos (CMD.EXE)
al directorio de ejecución habilitado por defecto en
el servidor, permitiendo el control remoto de este.
También genera en el raíz de las unidades C: o D:,
un archivo llamado EXPLORER.EXE, con los
atributos de oculto, de sistema y solo lectura.
Este archivo es el troyano identificado como
Trojan.VirtualRoot (W32/CodeRed.trojan).
El gusano trae este archivo en su propio código,
en un formato comprimido, y lo descomprime al
copiarlo en la máquina infectada.
La infección durará 24 o 48 horas, y luego de ese
tiempo, la PC será reiniciada. Pero la misma
máquina podrá ser infectada nuevamente,
mientras no se instale el parche mencionado.
Si el mes es octubre, o el año 34952, la
computadora también podrá ser reiniciada. Cada
vez que esto ocurre, se ejecuta el troyano
Technical Support Department
Kaspersky Lab Mexico
Trojan.VirtualRoot cada vez que el sistema
necesita ejecutar el legítimo EXPLORER.EXE
(escritorio, barra de tareas, etc.). Debido a la
prioridad en la búsqueda del ejecutable en los
paths de Windows, éste ejecutará antes el falso
EXPLORER.EXE en raíz de C (o D). Esta
vulnerabilidad conocida de Windows, recibe el
nombre de "Relative Shell Path Vulnerability".
Cuando el troyano se activa (C:\EXPLORER.EXE
o D:\EXPLORER.EXE), permanece deshabilitado
unos 10 minutos, y luego setea el siguiente valor
del registro para asegurarse deshabilitar el SFC
(System File Checker), o Comprobador de archivos
del sistema:
HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
SFCDisable = 0xFFFFFF9D
También cambia estas entradas:
HKLM\SYSTEM\CurrentControlSet\Services
\W3SVC
\Parameters\Virtual Roots
Scripts = 217
msadc = 217
c = c:\,,217
d = d:\,,217
Estos cambios (hechos cada 10 minutos), crean un
acceso Web virtual (/c y /d), que corresponden a
las unidades C: y D: mapeadas como tales.
De esta forma, aunque se elimine el archivo
ROOT.EXE (CMD.EXE) de las carpetas donde el
virus lo copió, un atacante todavía tendría acceso
virtual al sistema, con todo el riesgo que esto
representa.
Por lo tanto, con el troyano ejecutándose,
cualquiera podría acceder a un sistema infectado,
con instrucciones del tipo:
http://IpAddress/c/inetpub/scripts/root.ex
e?/c+comando
o
http://IpAddress/c/winnt/system32/cmd.e
xe?/c+comando
Una posible manera de verificar si su sistema está
infectado, es buscar la presencia de un archivo
EXPLORER.EXE en el directorio raíz de las
unidades C o D. También debe verificar si en los
directorios SCRIPTS y MSDAC existe un archivo
ROOT.EXE.
Kaspersky Lab Mexico Río Danubio No. 88 Col. Cuauhtemoc Tel.5147-5970 y 5147-5971
Email: [email protected] [email protected]
Technical Information
www.avp.com.mx
Tenga presente que la existencia de ROOT.EXE
en otra ubicación, podría también ser el producto
de la acción de otro virus (Sadmin por ejemplo)
(ROOT.EXE en esas carpetas, en realidad es
el CMD.EXE renombrado por el virus.
CMD.EXE normalmente se encuentra en la
carpeta WINNT\SYSTEM32 de Windows).
Para quitar el gusano de un sistema infectado,
simplemente reinicie el sistema para sacarlo de la
memoria, luego de borrar los archivos
mencionados (especialmente
C:\EXPLORER.EXE). También es necesario que
instale enseguida los parches que usted podrá
descargar en el sitio de Microsoft:
Unchecked Buffer in Index Server ISAPI Extension
http://www.microsoft.com/technet/security/bulleti
n/MS01-033.asp
Debe tenerse en cuenta, que los filtrados
utilizados para evitar la acción del CodeRed
A y B, no son válidos para esta versión.
La solución definitiva es aplicar los parches
mencionados, que de la misma forma están
disponibles (y ampliamente anunciados), desde
junio de 2001 en Internet.
También debe tenerse en cuenta, que aunque el
CodeRed sea removido del sistema, y el parche
instalado para evitar se repita la infección, existen
posibilidades de que durante el tiempo de
ejecución del troyano, este pudo haber permitido
el ingreso de un atacante, lo que deja el riesgo
latente de que otros troyanos o modificaciones
peligrosas, hayan sido realizadas en el sistema,
por lo que se sugiere un examen exhaustivo del
mismo, o incluso, su reinstalación completa.
Technical Support Department
Kaspersky Lab Mexico
Sin en cambio, si su sistema operativo es
Windows NT o 2000, tal vez si pueda tener
instalado el IIS (aunque no lo utilice para dar
acceso a terceros desde Internet).
Si posee Windows 2000 o NT, y desea saber si
tiene instalado el servidor IIS, verifique desde el
Panel de control, Agregar o quitar
programas, en la pestaña Instalación de
Windows o Componentes de Windows, y
busque el componente "Internet
Information Server (IIS)". Si la opción está
tildada, desmárquela para quitar IIS de su
sistema (si no lo utiliza, claro).
Si lo utiliza, descargue e instale los parches que
mencionamos.
Reparación manual:
Aplicar los siguientes parches:
•
•
http://www.microsoft.com/technet/securi
ty/bulletin/ms01-033.asp
http://www.microsoft.com/technet/securi
ty/bulletin/MS00-052.asp
El primero arregla el fallo que permite la
propagación del gusano, y el segundo el que
permite la ejecución del archivo "Explorer.exe"
desde el directorio raíz.
Los siguientes archivos pueden ser borrados:
\inetpub\scripts\root.exe
\progra~1\common~1\system\MSADC\roo
t.exe
\explorer.exe
Aunque el blanco son máquinas corriendo el IIS
bajo Windows NT, 2000 o XP, generalmente en
entornos corporativos, pueden existir usuarios
particulares que ejecuten estos sistemas (incluso
con IIS instalado por defecto sin su
conocimiento), y que al tener acceso a Internet
(vía telefónica, banda ancha, etc.), pueden ser
vulnerables y estar infectados.
Los siguientes registros también pueden ser
removidos (C y D):
Si usted no tiene Windows NT o 2000 como
sistema operativo, no puede ser infectado. Aunque
algunas instalaciones de Windows 98 contienen
lo que Microsoft denomina Personal Web
Server (Servidor Web Personal), que se
activa, entre otras opciones, por ejemplo al
instalarse el FrontPage, su presencia no
representa peligro alguno para el usuario, puesto
que el PWS no es afectado por el gusano.
Y también puede quitarse el valor "217" de estas
entradas:
SYSTEM\CurrentControlSet\Services\W3SV
C\Parameters\Virtual Roots
\C
\D
SYSTEM\CurrentControlSet\Services\W3SV
C\Parameters\Virtual Roots
\Scripts
\MSADC
Kaspersky Lab Mexico Río Danubio No. 88 Col. Cuauhtemoc Tel.5147-5970 y 5147-5971
Email: [email protected] [email protected]
Related documents
Windows XP Protección de archivos
Windows XP Protección de archivos
RECOVERY LABS
RECOVERY LABS
Análisis Forense en Sistemas Windows Escenario de una
Análisis Forense en Sistemas Windows Escenario de una
Alias: :LQ 7URMDQ`URSSHU 6PDOO
Alias: :LQ 7URMDQ`URSSHU 6PDOO
Tesis previa a la obtención del Título de Ingeniero
Tesis previa a la obtención del Título de Ingeniero
universidad técnica de cotopaxi
universidad técnica de cotopaxi
Preguntas Frecuentes acerca del Virus Lovesan (MS Blast
Preguntas Frecuentes acerca del Virus Lovesan (MS Blast
¿Cómo mantener una defensa informática eficaz?
¿Cómo mantener una defensa informática eficaz?
¿Qué es un virus? ¿Pueden entrar por el ratón? ¿Qué efectos tienen
¿Qué es un virus? ¿Pueden entrar por el ratón? ¿Qué efectos tienen
Descargar archivo - pedro beltran canessa
Descargar archivo - pedro beltran canessa
Cómo proteger su red del virus Nimda
Cómo proteger su red del virus Nimda
Identificación y eliminación de malware en Windows XP
Identificación y eliminación de malware en Windows XP
Malware
Malware
RECOVERY LABS
RECOVERY LABS