ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Net-Worm.Win32.BlueCode

Clase Net-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un gusano de Internet que se dirige a los sitios web al infectar servidores de información de Internet (ISS). El gusano perpetra este método de propagación de un sitio web a otro mediante el envío y la ejecución de su archivo EXE.

El nombre de los archivos del gusano es constante: SVCHOST.EXE y HTTPEXT.DLL. El archivo EXE es una aplicación Win32 (archivo PE EXE) de aproximadamente 29 KB de longitud, y está escrito en Microsoft C ++. También se descubrió una variante comprimida, que tiene un tamaño de aproximadamente 14K. El archivo DLL tiene aproximadamente 47 KB de tamaño y está escrito en Microsoft C ++.

Tenga en cuenta que el gusano utiliza nombres de archivo EXE de Win32 estándar. SVCHOST.EXE y HTTPEXT.DLL se pueden encontrar en instalaciones estándar de Win2000 en la subcarpeta SYSTEM32.

El gusano infecta solo las máquinas instaladas con el paquete IIS y el contenido del sitio web. La aplicación del gusano, al ejecutarse en una máquina de este tipo, localiza e infecta sitios web remotos (máquinas remotas con el paquete IIS instalado): los ingresa y, al usar un exploit de Web Directory Traversal, envía allí su copia y genera esa copia. Como resultado, el gusano infecta todos los servidores web vlunerable a los que se puede acceder desde una máquina infectada actual, y otros servidores infectados propagan aún más la copia del gusano, y así sucesivamente.

El gusano tiene una rutina de carga que, desde las 10:00 a.m. hasta las 11:00 a.m., horario global, realiza un ataque DoS (denegación de servicio) en el servidor web http://www.nsfocus.com.

Instalación

El gusano crea sus copias (EXE y DLL) en la raíz de C: unidad – C: SVCHOST.EXE y C: HTTPEXT.DLL. Este archivo EXE se registra luego en la clave de ejecución automática del Registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Administrador de dominio = C: svchost.exe

A continuación, el gusano crea y cambia un archivo de script C: D.VBS, luego busca la aplicación INETINFO.EXE y la finaliza si está activa. El programa de script VBS también busca el servicio de indexación, la búsqueda de indexación y la asignación de impresora y los elimina.

Como resultado, el gusano desactiva infracciones de seguridad que pueden ser utilizadas (o utilizadas) por otros gusanos para infectar a la máquina y / o piratas informáticos para romper las protecciones de seguridad web.

Extensión

Para extenderse aún más, el gusano ejecuta 100 subprocesos que escanean direcciones IP seleccionadas al azar y las ataca.

En el 50% de los casos, las máquinas atacadas están en la misma red, y las direcciones IP atacadas son "aa.bb. ??. ??", donde "aa.bb" es parte de la dirección IP de la máquina infectada, y "??" son al azar

En el otro 50% de los casos, las direcciones atacadas son muy aleatorias.

Para atacar una máquina víctima, el gusano usa el exploit de Web Directory Traversal tres veces:

  1. intenta determinar el directorio IIS en una máquina remota,
  2. luego envía una solicitud a la máquina remota para descargar el componente DLL del virus (archivo HTTPEXT.DLL) del infectado,
  3. la última solicitud es copiar ese archivo DLL al C: directorio raíz.

Para cargar un archivo DLL a una máquina víctima, el gusano usa un comando "tftp" y activa el servidor temporal TFTP en una máquina infectada (actual) para procesar un comando "obtener datos" desde la máquina víctima (remota).

Cuando se carga un archivo DLL en la máquina de la víctima, se activa mediante un truco. Entonces, la copia del gusano se inicia en un servidor remoto, luego cae y ejecuta el componente EXE que luego propaga el virus.


Enlace al original