Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es el primer gusano conocido que tiene como objetivo los sitios web al infectar servidores de información de Internet (ISS). El gusano se da cuenta de su método de propagación de un sitio web a otros sitios web mediante el envío y la ejecución de su archivo EXE. El nombre del archivo de gusano es constante: IISWORM.EXE.

El gusano infecta solo las máquinas con un paquete IIS instalado y el contenido del sitio web. La aplicación del gusano que se ejecuta en una máquina de este tipo localiza e infecta sitios web remotos (máquinas remotas con el paquete IIS instalado): los ingresa y, mediante un truco, envía su copia allí y genera esa copia allí. Como resultado, el gusano infecta todos los servidores web a los que se puede acceder desde el equipo actualmente infectado, y otros servidores infectados distribuyen la copia del gusano aún más, etc.

Una forma similar de infección fue utilizada por el famoso "virus Morris" (también conocido como "gusano de Internet") que llegó a las redes de EE. UU. En 1988. Ese gusano infectó varios miles de máquinas y paralizó muchas redes debido a las copias ilimitadas enviadas. Afortunadamente, el "IISWorm" tiene un error letal y no puede repetir esa historia. El gusano parece ser capaz de extender su copia a la primera máquina IIS, pero no se extiende aún más.

El código del gusano contiene solo rutinas de dispersión, no de activación. El gusano no se manifiesta de ninguna manera.

Detalles

El gusano en sí es una aplicación Win32 de 80K de longitud, escrita en Borland C ++. Se ejecuta como una aplicación estándar de Windows, abre una conexión y usa un formato de paquetes HTTP para propagarse.

Para localizar servidores de víctimas, el gusano busca direcciones de sitios web en todos los archivos * .HTM * en los directorios INetpub:

wwwroot
www root
inetpubwwwroot
raíz de inetpubwww
websharewwwroot

Mediante el uso de direcciones de sitios web, el gusano los conecta y envía un paquete de bombas allí. Este paquete explota una vulnerabilidad en el software IIS: el paquete se construye de modo que sus datos se superpongan a un búfer de datos en un IIS remoto, y un bloque del paquete se ejecuta como código allí (en un IIS remoto). Este fragmento de código abre una conexión a su máquina "principal", obtiene la copia completa del gusano (el archivo IISWORM.EXE), lo crea en un disco y lo genera. Como resultado, la máquina IIS remota está infectada y el gusano está activo y continúa propagándose.

Durante las pruebas en el laboratorio, se encontraron algunos errores en el código del gusano que impiden que el gusano se propague. El gusano también parece depender de las versiones de IIS y Service Pack de WinNT.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Net-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es el primer gusano conocido que tiene como objetivo los sitios web al infectar servidores de información de Internet (ISS). El gusano se da cuenta de su método de propagación de un sitio web a otros sitios web mediante el envío y la ejecución de su archivo EXE. El nombre del archivo de gusano es constante: IISWORM.EXE. El gusano infecta solo las máquinas con un paquete IIS instalado y el contenido del sitio web. La aplicación del gusano que se ejecuta en una máquina de este tipo localiza e infecta sitios web remotos (máquinas remotas con el paquete IIS instalado): los ingresa y, mediante un truco, envía su copia allí y genera esa copia allí. Como resultado, el gusano infecta todos los servidores web a los que se puede acceder desde el equipo actualmente infectado, y otros servidores infectados distribuyen la copia del gusano aún más, etc. Una forma similar de infección fue utilizada por el famoso "virus Morris" (también conocido como "gusano de Internet") que llegó a las redes de EE. UU. En 1988. Ese gusano infectó varios miles de máquinas y paralizó muchas redes debido a las copias ilimitadas enviadas. Afortunadamente, el "IISWorm" tiene un error letal y no puede repetir esa historia. El gusano parece ser capaz de extender su copia a la primera máquina IIS, pero no se extiende aún más. El código del gusano contiene solo rutinas de dispersión, no de activación. El gusano no se manifiesta de ninguna manera. Detalles El gusano en sí es una aplicación Win32 de 80K de longitud, escrita en Borland C ++. Se ejecuta como una aplicación estándar de Windows, abre una conexión y usa un formato de paquetes HTTP para propagarse. Para localizar servidores de víctimas, el gusano busca direcciones de sitios web en todos los archivos * .HTM * en los directorios INetpub: wwwroot www root inetpubwwwroot raíz de inetpubwww websharewwwroot Mediante el uso de direcciones de sitios web, el gusano los conecta y envía un paquete de bombas allí. Este paquete explota una vulnerabilidad en el software IIS: el paquete se construye de modo que sus datos se superpongan a un búfer de datos en un IIS remoto, y un bloque del paquete se ejecuta como código allí (en un IIS remoto). Este fragmento de código abre una conexión a su máquina "principal", obtiene la copia completa del gusano (el archivo IISWORM.EXE), lo crea en un disco y lo genera. Como resultado, la máquina IIS remota está infectada y el gusano está activo y continúa propagándose. Durante las pruebas en el laboratorio, se encontraron algunos errores en el código del gusano que impiden que el gusano se propague. El gusano también parece depender de las versiones de IIS y Service Pack de WinNT.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Net-Worm.Win32.IISWorm

Detalles técnicos

Detalles