ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Net-Worm.Win32.IISWorm

Clase Net-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es el primer gusano conocido que tiene como objetivo los sitios web al infectar servidores de información de Internet (ISS). El gusano se da cuenta de su método de propagación de un sitio web a otros sitios web mediante el envío y la ejecución de su archivo EXE. El nombre del archivo de gusano es constante: IISWORM.EXE.

El gusano infecta solo las máquinas con un paquete IIS instalado y el contenido del sitio web. La aplicación del gusano que se ejecuta en una máquina de este tipo localiza e infecta sitios web remotos (máquinas remotas con el paquete IIS instalado): los ingresa y, mediante un truco, envía su copia allí y genera esa copia allí. Como resultado, el gusano infecta todos los servidores web a los que se puede acceder desde el equipo actualmente infectado, y otros servidores infectados distribuyen la copia del gusano aún más, etc.

Una forma similar de infección fue utilizada por el famoso "virus Morris" (también conocido como "gusano de Internet") que llegó a las redes de EE. UU. En 1988. Ese gusano infectó varios miles de máquinas y paralizó muchas redes debido a las copias ilimitadas enviadas. Afortunadamente, el "IISWorm" tiene un error letal y no puede repetir esa historia. El gusano parece ser capaz de extender su copia a la primera máquina IIS, pero no se extiende aún más.

El código del gusano contiene solo rutinas de dispersión, no de activación. El gusano no se manifiesta de ninguna manera.

Detalles

El gusano en sí es una aplicación Win32 de 80K de longitud, escrita en Borland C ++. Se ejecuta como una aplicación estándar de Windows, abre una conexión y usa un formato de paquetes HTTP para propagarse.

Para localizar servidores de víctimas, el gusano busca direcciones de sitios web en todos los archivos * .HTM * en los directorios INetpub:

wwwroot
www root
inetpubwwwroot
raíz de inetpubwww
websharewwwroot

Mediante el uso de direcciones de sitios web, el gusano los conecta y envía un paquete de bombas allí. Este paquete explota una vulnerabilidad en el software IIS: el paquete se construye de modo que sus datos se superpongan a un búfer de datos en un IIS remoto, y un bloque del paquete se ejecuta como código allí (en un IIS remoto). Este fragmento de código abre una conexión a su máquina "principal", obtiene la copia completa del gusano (el archivo IISWORM.EXE), lo crea en un disco y lo genera. Como resultado, la máquina IIS remota está infectada y el gusano está activo y continúa propagándose.

Durante las pruebas en el laboratorio, se encontraron algunos errores en el código del gusano que impiden que el gusano se propague. El gusano también parece depender de las versiones de IIS y Service Pack de WinNT.


Enlace al original