Blaster (gusano informático)

Gusano informático de Windows 2003

Blaster (también conocido como Lovsan , Lovesan o MSBlast ) fue un gusano informático que se propagó en computadoras con sistemas operativos Windows XP y Windows 2000 durante agosto de 2003. ^[1]

El gusano fue detectado por primera vez y comenzó a propagarse el 11 de agosto de 2003. La velocidad a la que se propagó aumentó hasta que el número de infecciones alcanzó su punto máximo el 13 de agosto de 2003. Una vez que una red (como una empresa o universidad) se infectaba, se propagaba más rápidamente dentro de la red porque los cortafuegos normalmente no impedían que las máquinas internas usaran un determinado puerto. ^[2] El filtrado por parte de los ISP y la amplia publicidad sobre el gusano frenaron la propagación de Blaster.

En septiembre de 2003, Jeffrey Lee Parson, un joven de 18 años de Hopkins, Minnesota , fue acusado de crear la variante B del gusano Blaster; admitió su responsabilidad y fue sentenciado a 18 meses de prisión en enero de 2005. ^[3] El autor de la variante A original sigue siendo desconocido.

Creación y efectos

Según documentos judiciales, el Blaster original fue creado después de que investigadores de seguridad del grupo chino Xfocus aplicaran ingeniería inversa al parche original de Microsoft que permitía la ejecución del ataque. ^[4]

El gusano se propaga explotando un desbordamiento de búfer descubierto por el grupo de investigación de seguridad polaco Last Stage of Delirium ^[5] en el servicio DCOM RPC de los sistemas operativos afectados, para el que se había publicado un parche un mes antes en MS03-026 ^[6] y más tarde en MS03-039 ^[7] . Esto permitía al gusano propagarse sin que los usuarios abrieran los archivos adjuntos simplemente enviándose spam a un gran número de direcciones IP aleatorias. Se han detectado cuatro versiones en circulación ^[8] . Éstas son las vulnerabilidades más conocidas del fallo original en RPC, pero de hecho había otras 12 vulnerabilidades diferentes que no recibieron tanta atención de los medios ^{[9] .}

El gusano estaba programado para iniciar una inundación SYN contra el puerto 80 de windowsupdate.com si la fecha del sistema es posterior al 15 de agosto y anterior al 31 de diciembre y posterior al día 15 de otros meses, creando así un ataque de denegación de servicio distribuido (DDoS) contra el sitio. ^[8] El daño a Microsoft fue mínimo ya que el sitio atacado era windowsupdate.com, en lugar de windowsupdate.microsoft.com, al que se redirigía el primero. Microsoft cerró temporalmente el sitio atacado para minimizar los posibles efectos del gusano. ^{[ cita requerida ]}

El ejecutable del gusano, MSBlast.exe, ^[10] contiene dos mensajes. El primero dice:

¡Sólo quiero decirte que te amo, SAN!

Este mensaje le dio al gusano el nombre alternativo de Lovesan. El segundo dice:

Billy Gates, ¿por qué haces esto posible? ¡Deja de ganar dinero
y arregla tu software!

Este es un mensaje para Bill Gates , el cofundador de Microsoft y el objetivo del gusano.

El gusano también crea la siguiente entrada de registro para que se ejecute cada vez que se inicia Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\actualización automática de Windows=msblast.exe

Cronología

• 28 de mayo de 2003: Microsoft publica un parche que protegería a los usuarios de un exploit en WebDAV que Welchia utilizaba. (Welchia utilizaba el mismo exploit que MSBlast, pero tenía un método adicional de propagación que se corrigió en este parche. Este método solo se utilizó después de 200.000 ataques RPC DCOM, el formato que utilizaba MSBlast). ^{[11] [12]}
• 5 de julio de 2003: Marca de tiempo del parche que Microsoft lanza el día 16. ^[2]
• 16 de julio de 2003: Microsoft publica un parche que protegería a los usuarios del aún desconocido MSBlast. Al mismo tiempo, también publica un boletín que describe el exploit. ^{[2] [13]}
• Alrededor del 16 de julio de 2003: los piratas informáticos de sombrero blanco crean un código de prueba de concepto que verifica que los sistemas sin parches son vulnerables. El código no se publicó. ^[5]
• 17 de julio de 2003: CERT/CC publica una advertencia y sugiere bloquear el puerto 135. ^[14]
• 21 de julio de 2003: CERT/CC sugiere también bloquear los puertos 139 y 445. ^[14]
• 25 de julio de 2003: xFocus publica información sobre cómo explotar el error de RPC que Microsoft intentó solucionar con el parche del 16 de julio. ^[15]
• 1 de agosto de 2003: Estados Unidos emite una alerta para estar atentos a malware que explote el error RPC. ^[5]
• En algún momento anterior al 11 de agosto de 2003: existen otros virus que utilizan el exploit RPC. ^[9]
• 11 de agosto de 2003: La versión original del gusano aparece en Internet. ^[16]
• 11 de agosto de 2003: Symantec Antivirus lanza una actualización de protección de lanzamiento rápido. ^[8]
• 11 de agosto de 2003, por la tarde: las empresas de antivirus y seguridad emitieron alertas para ejecutar Windows Update. ^[16]
• 12 de agosto de 2003: Se informa que el número de sistemas infectados es de 30.000. ^[16]
• 13 de agosto de 2003: Dos nuevos gusanos aparecen y comienzan a propagarse (Sophos, una variante de MSBlast y W32/RpcSpybot-A, un gusano totalmente nuevo que utilizaba el mismo exploit) ^[17]
• 15 de agosto de 2003: Se informa que el número de sistemas infectados es de 423.000. ^[18]
• 16 de agosto de 2003: comienza un ataque DDoS contra windowsupdate.com (que no tuvo éxito porque esa URL es simplemente una redirección al sitio real, windowsupdate.microsoft.com). ^[16]
• 18 de agosto de 2003: Microsoft emite una alerta sobre MSBlast y sus variantes. ^[19]
• 18 de agosto de 2003: El útil gusano relacionado , Welchia , aparece en Internet. ^[20]
• 19 de agosto de 2003: Symantec eleva su evaluación de riesgo de Welchia a “alto” (categoría 4). ^[21]
• 25 de agosto de 2003: McAfee reduce su evaluación de riesgo a "Medio". ^[22]
• 27 de agosto de 2003: Se descubre un posible ataque DDoS contra HP en una variante del gusano. ^[8]
• 1 de enero de 2004: Welchia se elimina a sí misma. ^[20]
• 13 de enero de 2004: Microsoft lanza una herramienta independiente para eliminar el gusano MSBlast y sus variantes. ^[23]
• 15 de febrero de 2004: Se descubre en Internet una variante del gusano relacionado Welchia. ^[24]
• 26 de febrero de 2004: Symantec reduce su evaluación de riesgo del gusano Welchia a “Bajo” (categoría 2). ^[20]
• 12 de marzo de 2004: McAfee reduce su evaluación de riesgo a "Bajo". ^[22]
• 21 de abril de 2004: Se descubre una variante "B". ^[22]
• 28 de enero de 2005: El creador de la variante B de MSBlaster es condenado a 18 meses de prisión. ^[25]

Efectos secundarios

Aunque el gusano sólo puede propagarse en sistemas que ejecutan Windows 2000 o Windows XP , puede causar inestabilidad en el servicio RPC en sistemas que ejecutan otras versiones de Windows NT , incluidos Windows Server 2003 y Windows XP Professional x64 Edition . En particular, el gusano no se propaga en Windows Server 2003 porque Windows Server 2003 se compiló con el modificador /GS, que detectó el desbordamiento del búfer y cerró el proceso RPCSS. ^[26]

Cuando se produce una infección, el desbordamiento del búfer provoca el bloqueo del servicio RPC, lo que lleva a Windows a mostrar el siguiente mensaje y luego reiniciarse automáticamente, generalmente después de 60 segundos. ^[27]

Apagado del sistema:

Este sistema se está apagando. Guarde todo el trabajo en curso y cierre la sesión. Se perderán todos los cambios que no se hayan guardado. Este apagado fue iniciado por NT AUTHORITY\SYSTEM

Tiempo antes del apagado: horas:minutos:segundos

Mensaje:

Windows ahora debe reiniciarse porque el servicio de llamada a procedimiento remoto (RPC) finalizó inesperadamente.

Este fue el primer indicio de que muchos usuarios tenían una infección; a menudo ocurría unos minutos después de cada inicio en las máquinas comprometidas. Una solución sencilla para detener la cuenta regresiva es ejecutar el comando "shutdown /a", ^[28] que provoca algunos efectos secundarios, como una pantalla de bienvenida vacía (sin usuarios). ^[29] El gusano Welchia tuvo un efecto similar. Meses después, apareció el gusano Sasser , que provocó que apareciera un mensaje similar.

Véase también

• Conficante
• Cronología de los virus y gusanos informáticos
• Lista de delincuentes informáticos condenados
• Zeus (malware)

Referencias

1. "CERT Advisory CA-2003-20: W32/Blaster worm" (Aviso CERT CA-2003-20: gusano W32/Blaster) CERT/CC. 14 de agosto de 2003. Archivado desde el original el 17 de octubre de 2014. Consultado el 3 de noviembre de 2018 .
2. "MS03-026: El desbordamiento del búfer en RPC puede permitir la ejecución de código". Soporte técnico de Microsoft . Microsoft Corporation . Consultado el 3 de noviembre de 2018 .
3. "Hombre de Minnesota sentenciado a 18 meses de prisión por crear y difundir una variante del gusano informático MS Blaster". Departamento de Justicia de los Estados Unidos . 2005-01-28 . Consultado el 2021-02-17 .
4. Thomson, Iain (1 de septiembre de 2003). "El FBI arresta al 'estúpido' sospechoso de Blaster.B". vnunet.com . Archivado desde el original el 1 de noviembre de 2008. Consultado el 3 de noviembre de 2018 .
5. "MSBlast W32.Blaster.Worm / LovSan :: instrucciones de eliminación". able2know.org. 2003-08-12 . Consultado el 2018-11-03 .
6. "Boletín de seguridad de Microsoft MS03-026: Crítico". learn.microsoft.com . 1 de marzo de 2023.
7. "Boletín de seguridad de Microsoft MS03-039: Crítico". learn.microsoft.com . 1 de marzo de 2023.
8. «W32.Blaster.Worm». Symantec. 9 de diciembre de 2003. Archivado desde el original el 17 de mayo de 2018. Consultado el 3 de noviembre de 2018 .
9. "El ciclo de vida de una vulnerabilidad" (PDF) . Internet Security Systems, Inc. 2005. Archivado desde el original (PDF) el 24 de diciembre de 2016 . Consultado el 3 de noviembre de 2018 .
10. "Worm:Win32/Msblast.A". Microsoft Corporation . Consultado el 3 de noviembre de 2018 .
11. Bransfield, Gene (18 de diciembre de 2003). "El gusano Welchia" (PDF) . págs. 14, 17. Consultado el 3 de noviembre de 2018 .
12. "El desbordamiento del búfer en el manejo de mensajes del kernel de Windows podría provocar privilegios elevados (811493)" . Consultado el 3 de noviembre de 2018 .
13. "Error en la implementación de RPC en Microsoft Windows". 16 de julio de 2003. Archivado desde el original el 4 de marzo de 2016.
14. "Desbordamiento de búfer en Microsoft RPC". 8 de agosto de 2003. Archivado desde el original el 15 de julio de 2014. Consultado el 3 de noviembre de 2018 .
15. "Análisis del desbordamiento del búfer de LSD en la interfaz RPC de Windows". 25 de julio de 2003. Archivado desde el original el 17 de febrero de 2018. Consultado el 3 de noviembre de 2018 .
16. Roberts, Paul F. (12 de agosto de 2003). "El gusano Blaster se está propagando y los expertos advierten de un ataque". InfoWorld . Consultado el 3 de noviembre de 2018 .
17. Roberts, Paul F. (13 de agosto de 2003). "Nueva variante del gusano Blaster circulando". InfoWorld . Consultado el 3 de noviembre de 2018 .
18. Roberts, Paul F. (18 de agosto de 2003). "El ataque del gusano Blaster es un fracaso". InfoWorld . Consultado el 3 de noviembre de 2018 .
19. "Alerta de virus sobre el gusano Blaster y sus variantes". Soporte técnico de Microsoft . Microsoft Corporation . Consultado el 3 de noviembre de 2018 .
20. «W32.Welchia.Worm». Symantec. 11 de agosto de 2017. Archivado desde el original el 3 de septiembre de 2018. Consultado el 3 de noviembre de 2018 .
21. Naraine, Ryan (19 de agosto de 2003). "El gusano 'amistoso' Welchia causa estragos". InternetNews.com . Consultado el 3 de noviembre de 2018 .
22. "Perfil de virus: W32/Lovsan.worm.a". McAfee . 2003-08-11 . Consultado el 2018-11-03 .
23. "Hay una herramienta disponible para eliminar las infecciones de los gusanos Blaster y Nachi de los equipos que ejecutan Windows 2000 o Windows XP". Soporte técnico de Microsoft . Microsoft Corporation. Archivado desde el original el 2014-08-06 . Consultado el 2018-11-03 .
24. "W32.Welchia.C.Worm". Symantec. 13 de febrero de 2007. Archivado desde el original el 3 de noviembre de 2018. Consultado el 3 de noviembre de 2018 .
25. "Hombre de Minnesota sentenciado a 18 meses de prisión por crear y difundir una variante del gusano informático MS Blaster". 28 de enero de 2005. Archivado desde el original el 14 de julio de 2014. Consultado el 3 de noviembre de 2018 .
26. Howard, Michael (23 de mayo de 2004). «Por qué Blaster no infectó Windows Server 2003». Microsoft Developer . Microsoft Corporation . Consultado el 3 de noviembre de 2018 .
27. "Worm_MSBlast.A". TrendMicro.com . Consultado el 3 de noviembre de 2018 .
28. "El virus gusano Blaster o sus variantes hacen que el equipo se apague con un mensaje de error NT AUTHORITY\SYSTEM relacionado con el servicio de llamada a procedimiento remoto (RPC)". Soporte al consumidor de HP . Archivado desde el original el 2014-11-10 . Consultado el 2018-11-03 .
29. "Gusano Blaster". Techopedia . Consultado el 3 de noviembre de 2018 .