Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Blaster | |
Peligrosidad Daño Propagación |
De un vistazo
| |
| Nombre común: | Blaster |
| Nombre técnico: | W32/Blaster |
| Peligrosidad: | Baja |
| Alias: | W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A, Win32.Poza, WORM_MSBLAST.H |
| Tipo: | Gusano |
| Efectos: | Realiza ataques de tipo DoS contra el sitio windowsupdate.com. Reinicia el ordenador afectado. |
| Plataformas que infecta: |
Windows 2003/XP/2000/NT |
| Detección actualizada: | 02/01/2004 |
| Estadísticas | No |
Protección proactiva: | Sí, mediante las Tecnologías TruPrevent
|
| Utilidad de reparación: | Panda QuickRemover |
Descripción Breve | |
Blaster es un gusano que sólo afecta a ordenadores con sistemas operativos Windows 2003/XP/2000/NT. Blaster aprovecha la vulnerabilidad conocida como Desbordamiento de búffer en interfaz RPC para propagarse al mayor número de ordenadores posible. Blaster producirá ataques de denegación de servicio (DoS) contra el sitio web windowsupdate.com durante los días 15 a 31 de cada mes, y durante todos los días de los meses de septiembre a diciembre de cualquier año. Para ello, Blaster envía un paquete de tamaño 40 Bytes a dicho sitio web cada 20 milisegundos, a través del puerto TCP 80. Blaster se propaga atacando direcciones IP generadas aleatoriamente, intentando aprovechar la vulnerabilidad mencionada para descargar en el ordenador atacado una copia de sí mismo, para lo cual incorpora su propio servidor de TFTP (Trivial File Transfer Protocol). Si su ordenador tiene como sistema operativo Windows 2003/XP/2000/NT, es recomendable descargar el parche de seguridad desde la Web de Microsoft. Acceda a la página de descarga del parche. |
Síntomas Visibles | |
Dos claros síntomas de la presencia de Blaster dentro del ordenador son los siguientes: - Un aumento considerable del tráfico de red a través de los puertos TCP 135 y 4444 y UDP 69.
- El bloqueo y reinicio del ordenador atacado, debido a errores de codificación del gusano.
|
Detalles técnicos
Efectos |
Blaster realiza las siguientes acciones: Realiza ataques de denegación de servicio (DoS) contra el sitio web windowsupdate.com durante los días 15 a 31 de cada mes, y durante todos los días de los meses de septiembre a diciembre de cualquier año. Puede llegar a provocar el bloqueo y reinicio del ordenador atacado, debido a errores de codificación del gusano. Provoca un aumento del tráfico de red por los puertos TCP 135 y 4444, y UDP 69.
|
Metodo de Infección
Blaster crea el archivo MSBLAST.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
Blaster crea la siguiente entrada en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
windows auto update = msblast.exe
De esta manera, consigue ejecutarse cada vez que se inicie Windows.
Blaster realiza el siguiente proceso de infección:
- El gusano crea un mutex llamado BILLY para comprobar que se encuentra activo. Blaster verifica que la versión de Winsock del sistema sea 1.00, 1.01 ó 2.02, y que haya una conexión válida a Internet; en caso de que no haya conexión, entra en un bucle que realiza dicha comprobación cada 20 segundos.
- Blaster genera direcciones IP aleatorias de forma sucesiva, empezando por la red donde se encuentra el ordenador donde se está ejecutando, y pasando después a la siguiente red de clase B (redes con máscara de subred 255.255.0.0).
- Blaster intenta aprovechar en la máquina remota, identificada mediante la anterior dirección IP, la vulnerabilidad conocida como Desbordamiento de búffer en interfaz RPC.
- Si lo consigue, Blaster lanza una sesión remota y obliga al ordenador atacado a realizar una conexión desde el puerto TCP 4444 de la máquina atacada al puerto UDP 69 de la máquina atacante.
- Cuando se establece dicha conexión, el ordenador atacado descarga a través de TFTP una copia del gusano. Para ello, el propio gusano incorpora un servidor TFTP.
- Una vez finalizada la descarga, procede a la ejecución remota del archivo enviado, lo cual provoca que el gusano pueda también propagarse desde el equipo atacado.
Método de Propagación
Blaster se propaga atacando direcciones IP generadas aleatoriamente. Estas direcciones IP pertenecen tanto a la red en la que se encuentra el ordenador atacado, como a redes de clase B (cuya máscara de subred es 255.255.0.0).
Blaster intenta aprovechar en dichas direcciones IP la vulnerabilidad conocida como Desbordamiento de búffer en interfaz RPC. En caso de conseguirlo, descarga en el ordenador atacado una copia de sí mismo, para lo cual incorpora su propio servidor TFTP.
Otros Detalles
Blaster está escrito en lenguaje Ensamblador. Este gusano tiene un tamaño de 6176 Bytes cuando está comprimido mediante UPX, y de 11296 Bytes una vez descomprimido.
El código de Blaster contiene las siguientes cadenas de texto, aunque no son mostradas en ningún momento:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
