Derecho informático Derecho nuevas tecnologías

Derecho informático Derecho nuevas tecnologías
Derecho informático Derecho nuevas tecnologías
 Noticias
  • Aparece el gusano "Code Blue" [12-09-01]  

    Diversas organizaciones, como ISS, Kapersky Labs e incidents.org, informan de la existencia de un nuevo gusano que recuerda en cierta medida a "Code Red". No obstante, los análisis realizados por ahora parecen indicar que no tendrá una incidencia tan importante como su predecesor.

    "Code Blue" no es un gusano residente en memoria como "Code Red". Esto hace que su detección sea mucho más simple. Se distribuye dentro de un archivo .DLL (biblioteca de enlace dinámico) y lo ejecuta un archivo .EXE. En lo que sí se parece a "Code Red" es en el método de propagación, una vez infectado el sistema, "Code Blue" inicia aproximadamente 100 threads que realizaran la búsqueda de otros
    sistemas vulnerables donde se pueda copiar el gusano.

    "Code Blue" inicia la búsqueda en las direcciones IP "cercanas" con el objetivo de reducir las peticiones a direcciones IP no direccionables. Incluye también una porción de código para evitar la infección de un sistema ya afectado.

    "Code Blue" no parece tener ninguna intención destructiva o malévola.
    No borra ningún archivo del sistema ni instala ninguna puerta trasera (backdoor) en el sistema infectado. Eso si, tiene un notable impacto en el rendimiento del sistema afectado.

    El gusano instala un programa escrito en Visual BASIC Script (d.vbs) que borra los mapeos de los archivos ".ida", ".idq" y ".printer" para a continuación borrarse el mismo. Una posible explicación de esta acción es la de evitar la infección del sistema por parte de "Code Red" o bien prevenir cualquier otro ataque que utilice la vulnerabilidad .IDA de Microsoft IIS.

    Cada día, entre las 10:00 y las 11:00 GMT, el gusano realizará un ataque de denegación de servicio (envío masivo de paquetes) contra una dirección IP específica que corresponde a los sistemas de una empresa de seguridad de la China.

    "Code Blue" utiliza la vulnerabilidad denominada "Web Server Folder Traversal", para la que Microsoft publicó una actualización el pasado octubre de 2000. Esta actualización, además, también viene incluida dentro del Service Pack 2 de Windows 2000 y el Security Rollup Package (SRP) para Windows NT 4.0. Esto hace prever que la incidencia de este gusano será bastante pequeña.

    "Code Blue" utiliza varias cadenas para el ataque contra los sistemas, con diferentes caracteres codificados. No obstante, el método de escaneo si que es uniforme: el gusano envía una petición HTTP (HEAD) contra el servidor e inspecciona la respuesta. Si el servidor remoto es un IIS, envía una segunda petición HTTP (GET) en la que intenta explotar la vulnerabilidad.

    Esta segunda petición tiene un aspecto similar al siguiente:

    GET / .. [caracteres codificados] ../winnt/system32/cmd.exe?c+dir

    Recomendaciones
    Si algún administrador de IIS todavía no ha instalado la
    actualización necesario, debe seguir estos pasos:

    * Instalar la actualización disponible para IIS 4.0 e IIS 5.0:

    IIS 4.0
    http://www.microsoft.com/ntserver/nts/downloads/critical/q269862

    IIS 5.0
    http://www.microsoft.com/windows2000/downloads/critical/q269862

    Alternativamente puede instalar el parche acumulativo que, además de
    esta actualización, incluye otras igualmente importantes:

    http://www.microsoft.com/technet/security/bulletin/MS01-044.asp


    Eliminación de "Code Blue" de un ordenador infectado

    * Con REGEDIT, localizar la clave
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    * Localizar y borrar la entrada correspondiente a C:\SVCHOST.EXE

    * Salir de REGEDIT.

    * Borrar el archivo C:\SVCHOST.EXE.

    * Borrar cualquier copia de D.VBS existente en el sistema.

    * Reiniciar el ordenador.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldiacom.asp?id=1052

    Más información:

    Avís de Kapersky Labs
    http://www.kapersky.com/news.asp?tnews=0&nvView=1&id=228&page=0

    Hispasec 20-10-00: Una grave vulnerabilidad afecta a todos los
    servidores IIS
    http://www.hispasec.com/unaaldia.asp?id=726

    Boletín de de Microsoft: "Microsoft IIS 4.0 / 5.0 Extended UNICODE
    Directory Traversal Vulnerability"
    http://www.microsoft.com/technet/security/bulletin/ms00-078.asp

    Versión original de esta noticia (en catalán)
    http://www.quands.com/alertes/html/code-blue.html


    Xavier Caballé
    xcaballe@quands.com



    Noticias actuales...
    Archivo de noticias...
    •  
    Gratis Servicio de noticias
    Suscribir Borrado
    Tus Sugerencias son bienvenidas
    Pincha Aquí
    ¡¡Lista de correo!!
    Introduzca su correo:




    www.delitosinformaticos.com . webmaster@delitosinformaticos.com . Delitosinformáticos

    © Copyright 2000-2005 Delitosinformaticos.com -.