Gusano que explota el fallo RPC DOM se extiende por la Red

No ha tardado mucho tiempo en aparecer un gusano que explota el recientemente
descubierto fallo
de seguridad del servicio RPC DOM de los sistemas Windows NT/2000/Xp Este
gusano, conocido como WORM_MSBLAST.A (Trend Micro) o W32/Blaster (Panda Software)
está infectando a gran velocidad máquinas de todo el mundo que no tienen sus
sistemas operativos actualizados. Las distintas casas de antivirus han sacado
rápidamente utilidades de detección y reparación.

El objetivo del gusano es realizar un ataque de denegación de servicios
distribuido (DDoS) al servicio WindowsUpdate de
Microsoft, entre el día 16
de agosto y el 31 de diciembre de este año, con el fin de tirar el
servicio de actualizaciones de los sistemas de la casa de Redmond.
Además, y debido a errores de programación del gusano, produce
reinicios y cuelques del sistema operativo. Estos fallos desencadenan
la terminación del proceso del gusano, con siguiente mensaje
del sistema:

Guarde todo el trabajo en curso y cierre la sesion. Se perdera cualquier cambio
que no haya sido guardado. El apagdo ha sido iniado por NT
AUTHORITYSYSTEM

Tiempo restante para el apagado 1:00
Windows debe reiniciar ahora porque el servicio llamada a procedimiento
remoto [RPC] termino de forma inesperada

Su método de infección hace uso del puerto de TCP 135, usado
por múltiples
servicios de Windows, y que todo buen cortafuegos debidamente
configurado debería bloquear de cara al exterior. Inicialmente,
y haciendo uso del mencionado fallo
de seguridad de desbordamiento de búfer en el servicio RPC DOM
(Procedimiento de Llamada Remoto), consigue abrir una shell o
interface de comandos que se conecta desde el puerto local 4444
de TCP al puerto remoto de UDP 69 (servicio TFTP) de la máquina
que inició el ataque, para seguidamente introducir el gusano
en el sistema y ejecutarlo.

Una vez infectada la máquina, el gusano creará una cadena en
el registro de Windows que le garantiza que se ejecute al iniciarse el sistema:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
”
windows auto update” = “msblast.exe”

El gusano se suele acomodar en las carpetas del sistema de windows, típicamente,
C:WINNT o C:WINNTSystem32, bajo el nombre de msblast.exe,
un ejecutable de 11296 Bytes, que contiene entre otras cosas,
el mensaje:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money
and fix your software!!

Para su desinfección, lo más recomendable es usar alguna de
las aplicaciones que han distribuido los principales fabricantes
de antivirus, y además, ejecutar o bien el servicio Windows
Update para parchear
el sistema, o bien, descargar directamente el parche de
seguridad que publicó Microsoft para subsanar el error del servicio
de llamada de procedimiento remoto (RPC)

Las distintas herramientas las podéis encontrar en estas URLs (algunas requieren
ser usuario registrado, generalmente, gratuito):

• System Cleaner de Trend Micro
  
• 
  Blaster Removal Tool de Symantec
  
• Herramienta de Computer Associates
  
• 
  PQRemove de Panda Software
  

Para más información sobre el virus, mirad:

• Aviso del servicio de Alerta
  Antivirus.
• Aviso aparecido
  en la lista bugtraq de SecurityFocus
• Boletín de seguridad de Microsoft sobre el fallo de RPC DOM en inglés y castellano.
• Trend Micro
• Panda Software
• McAfee
• Symantec
• PerAntivirus
• VS Antivirus
• Enciclopedia Virus (Ontinent)
• Sophos
• Computer Associates

SIGUE LEYENDO