ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN. Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Detect date
01/17/2008
Clase
Net-Worm
Plataforma
Win32

Clase de padre: VirWare

Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.

Clase: Net-Worm

Net-Worms se propagan a través de redes informáticas. La característica distintiva de este tipo de gusano es que no requiere acción del usuario para propagarse. Este tipo de gusano generalmente busca vulnerabilidades críticas en el software que se ejecuta en las computadoras en red. Para infectar las computadoras en la red, el gusano envía un paquete de red especialmente diseñado (llamado exploit) y como resultado el código del gusano (o parte del código del gusano) penetra en la computadora de la víctima y se activa. A veces, el paquete de red solo contiene la parte del código del gusano que descargará y ejecutará un archivo que contiene el módulo principal del gusano. Algunos gusanos de red usan varios exploits simultáneamente para propagarse, lo que aumenta la velocidad a la que encuentran víctimas.

Más información

Plataforma: Win32

Win32 es una API en sistemas operativos basados ​​en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.

Descripción

Lovesan es un gusano de Internet que explota la vulnerabilidad DCOM RPC en Microsoft Windows que se describe en MS Security Bulletin MS03-026 .

Lovesan está escrito en C usando el compilador LCC. El gusano es un archivo EXE de Windows PE de aproximadamente 6 KB (comprimido mediante UPX - 11 KB cuando se descomprime).

Lovesan descarga e intenta ejecutar un archivo llamado msblast.exe.

El texto es el siguiente:

Solo quiero decir ¡TE AMO SAN!
Billy Gates, ¿por qué haces esto posible? ¡Deja de hacer dinero y arregla tu software!
Síntomas de infección:

  • MSBLAST.Exe en la carpeta Windows system32.
  • Mensaje de error: error en el servicio RPC. Esto hace que el sistema se reinicie.


Cómo se propaga el gusano

Lovesan se registra en la clave de ejecución automática cuando el sistema se reinicia y se inicia cada vez que la computadora se reinicia en el futuro:

 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunWindows auto update = "msblast.exe" 
Luego, el gusano escanea las direcciones IP, intenta conectarse a 20 direcciones IP aleatorias e infecta las máquinas vulnerables. Lovesan duerme durante 1.8 segundos y escanea las siguientes 20 direcciones IP.

Lovesan escanea las direcciones IP siguiendo uno de los patrones siguientes:

  1. En 3 de cada 5 casos, Lovesan selecciona direcciones IP base aleatorias (ABCD) donde D es igual a 0, mientras que A, B y C son números aleatorios entre 0 y 255.

  2. En los 2 casos restantes de 5, Lovesan escanea la subred y obtiene la dirección IP local de la máquina infectada, extrae los valores A y B de ella y establece D en 0. Luego, el gusano extrae el valor C.

    Si C es menor o igual que 20, entonces Lovesan no modifica C. Por lo tanto, si la dirección IP local es 207.46.14.1, el gusano escaneará las direcciones IP a partir de 207.46.14.0

    Si C es mayor que 20, entonces Lovesan selecciona un valor aleatorio entre C y C-19. Por lo tanto, si la dirección IP de la máquina infectada es 207.46.134.191, el gusano escaneará las direcciones IP 207.46. {115-134} .0

El gusano envía una solicitud de desbordamiento del búfer a máquinas vulnerables a través del puerto TCP 135. La máquina recién infectada inicia el shell del comando en el puerto TCP 4444.

Lovesan ejecuta el hilo que abre la conexión en el puerto 4444 y espera la solicitud FTP 'get' de la máquina víctima. El gusano fuerza a la máquina víctima a enviar la solicitud 'FTP get'. Por lo tanto, la máquina víctima descarga el gusano de la máquina infectada y lo ejecuta. La máquina de la víctima ahora también está infectada.


Otra información

Una vez que una computadora está infectada, el sistema envía un mensaje de error sobre la falla del servicio RPC y puede reiniciar la máquina.

A partir del 16 de agosto de 2003, Lovesan lanzará ataques DDoS en el servidor de Windowsupdate.com.

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com

¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!
Kaspersky Free Anti-Ransomware Tool for Business
Descargue la herramienta gratuita
Kaspersky Premium
Protección completa para tus dispositivos, privacidad en línea e identidad
Premium
Confirm changes?
Your message has been sent successfully.