Foros del Web » Administración de Sistemas » Seguridad y redes »

Blaster !!!, que gusano!

Estas en el tema de Blaster !!!, que gusano! en el foro de Seguridad y redes en Foros del Web. Blaster, un virus preparado para lanzar ataques masivos Se trata de un virus gusano que se propaga con los nombres de LoveSan, Blaster o MSBlaster ...
  #1 (permalink)  
Antiguo 13/10/2003, 18:21
Avatar de sebastian H.  
Fecha de Ingreso: septiembre-2003
Ubicación: Bogotá D.C.
Mensajes: 19
Antigüedad: 21 años, 1 mes
Puntos: 0
Blaster !!!, que gusano!

Blaster, un virus preparado para lanzar ataques masivos

Se trata de un virus gusano que se propaga con los nombres de LoveSan, Blaster o MSBlaster y se aprovecha de un agujero en la seguridad de Windows 2000 y Windows XP, concretamente en el software que permite compartir archivos con otras máquinas. La finalidad de la plaga es recolectar equipos para realizar un ataque hacker contra un sitio de Microsoft.

El virus Blaster tiene poco que ver con las plagas informáticas tradicionales: no se propaga por los medios habituales, sino que circula por Internet en busca de máquinas sobre las que poder realizar su ataque.

Además, no tiene como finalidad crear un daño en el ordenador, lo que busca es recolectar ordenadores para obligarlos a realizar un ataque contra un sitio de Microsoft.



Blaster rastrea ordenadores vulnerables conectados a Internet. Cuando los encuentra, intenta entrar en el sistema a través del puerto de comunicaciones 135 con el objetivo de provocar un desbordamiento de buffer. Así, uno de los síntomas más significativos que pueden indicar una infección por parte de este código malicioso es un notable aumento de la actividad en dicho puerto.

Una vez instalado en el equipo, Blaster realiza un examen de las direcciones IP de la red, con el objetivo de encontrar más ordenadores vulnerables a los que afectar.

Creación de ficheros en el sistema

Este gusano crea en el sistema un fichero denominado msblast.exe, el cual contiene el código del virus. Al mismo tiempo, genera una clave en el registro de Windows con el fin de asegurar su ejecución cada vez que se reinicie el sistema operativo.

Sin embargo, el principal objetivo de Blaster es infectar el mayor número de máquinas posible con el fin de realizar un ataque de denegación de servicio sobre el sitio web windowsupdate.com. El mismo, ha sido programado para llevarse a cabo el próximo 15 de agosto.

La vulnerabilidad de Windows aprovechada por Blaster

La mencionada vulnerabilidad de Windows, denominada RPC DCOM, consiste en un desbordamiento de buffer en la interfaz RPC, y ha sido calificada como "crítica" por la propia compañía Microsoft. Afecta a las versiones NT 4.0, 2000, XP y Windows Server 2003.

En líneas generales, se trata de un problema de seguridad que permitiría hacerse con el control de los equipos de forma remota. Por ello, y con el fin de evitar posibles ataques, se aconseja tanto a los administradores y responsables de informática como a los usuarios particulares, la instalación inmediata de los parches proporcionados por Microsoft para corregir dicha vulnerabilidad. Los mismos pueden ser descargados desde http://www.microsoft.com/technet/tre...n/MS03-026.asp donde, además, puede encontrarse información detallada sobre este problema.

******************************************
Claves del virus


Síntomas visibles

Dos claros síntomas de la presencia de Blaster dentro del ordenador son los siguientes:


Un aumento considerable del tráfico de red a través de los puertos TCP 135 y 4444 y UDP 69.
El bloqueo y reinicio del ordenador atacado, debido a errores de codificación del gusano cuando llevamos navegando por Internet aproximadamente cinco minutos. El reinicio del equipo viene precedido por la frase:

Error: "EL CIERRE HA SIDO ORDENADO POR NT AUTORITY SYSTEM PORQUE LA LLAMADA A PROCEDIMIENTO REMOTO (RPC) TERMINÓ DE FORMA INESPERADA. SE CERRARÁ EL EQUIPO EN 30 SEG, CIERRE TODOS LOS PROGRAMAS O PERDERÁ LOS CAMBIOS"
************************************************

Descarga los parches proporcionados por Microsoft para corregir la vulnerabilidad que permite la entrada de Blaster.


__________________
Sebastian H

Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 01:08.