Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Net-Worm
Net-Worms se propagan a través de redes informáticas. La característica distintiva de este tipo de gusano es que no requiere acción del usuario para propagarse. Este tipo de gusano generalmente busca vulnerabilidades críticas en el software que se ejecuta en las computadoras en red. Para infectar las computadoras en la red, el gusano envía un paquete de red especialmente diseñado (llamado exploit) y como resultado el código del gusano (o parte del código del gusano) penetra en la computadora de la víctima y se activa. A veces, el paquete de red solo contiene la parte del código del gusano que descargará y ejecutará un archivo que contiene el módulo principal del gusano. Algunos gusanos de red usan varios exploits simultáneamente para propagarse, lo que aumenta la velocidad a la que encuentran víctimas.Más información
Plataforma: Win32
Win32 es una API en sistemas operativos basados en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.Descripción
Detalles técnicos
Este es el primer gusano conocido que tiene como objetivo los sitios web al infectar servidores de información de Internet (ISS). El gusano se da cuenta de su método de propagación de un sitio web a otros sitios web mediante el envío y la ejecución de su archivo EXE. El nombre del archivo de gusano es constante: IISWORM.EXE.
El gusano infecta solo las máquinas con un paquete IIS instalado y el contenido del sitio web. La aplicación del gusano que se ejecuta en una máquina de este tipo localiza e infecta sitios web remotos (máquinas remotas con el paquete IIS instalado): los ingresa y, mediante un truco, envía su copia allí y genera esa copia allí. Como resultado, el gusano infecta todos los servidores web a los que se puede acceder desde el equipo actualmente infectado, y otros servidores infectados distribuyen la copia del gusano aún más, etc.
Una forma similar de infección fue utilizada por el famoso "virus Morris" (también conocido como "gusano de Internet") que llegó a las redes de EE. UU. En 1988. Ese gusano infectó varios miles de máquinas y paralizó muchas redes debido a las copias ilimitadas enviadas. Afortunadamente, el "IISWorm" tiene un error letal y no puede repetir esa historia. El gusano parece ser capaz de extender su copia a la primera máquina IIS, pero no se extiende aún más.
El código del gusano contiene solo rutinas de dispersión, no de activación. El gusano no se manifiesta de ninguna manera.
Detalles
El gusano en sí es una aplicación Win32 de 80K de longitud, escrita en Borland C ++. Se ejecuta como una aplicación estándar de Windows, abre una conexión y usa un formato de paquetes HTTP para propagarse.
Para localizar servidores de víctimas, el gusano busca direcciones de sitios web en todos los archivos * .HTM * en los directorios INetpub:
wwwroot
www root
inetpubwwwroot
raíz de inetpubwww
websharewwwroot
Mediante el uso de direcciones de sitios web, el gusano los conecta y envía un paquete de bombas allí. Este paquete explota una vulnerabilidad en el software IIS: el paquete se construye de modo que sus datos se superpongan a un búfer de datos en un IIS remoto, y un bloque del paquete se ejecuta como código allí (en un IIS remoto). Este fragmento de código abre una conexión a su máquina "principal", obtiene la copia completa del gusano (el archivo IISWORM.EXE), lo crea en un disco y lo genera. Como resultado, la máquina IIS remota está infectada y el gusano está activo y continúa propagándose.
Durante las pruebas en el laboratorio, se encontraron algunos errores en el código del gusano que impiden que el gusano se propague. El gusano también parece depender de las versiones de IIS y Service Pack de WinNT.
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com