ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Fecha de detección | 01/17/2008 |
Clase | Net-Worm |
Plataforma | Win32 |
Descripción |
Lovesan es un gusano de Internet que explota la vulnerabilidad DCOM RPC en Microsoft Windows que se describe en MS Security Bulletin MS03-026 . Lovesan está escrito en C usando el compilador LCC. El gusano es un archivo EXE de Windows PE de aproximadamente 6 KB (comprimido mediante UPX – 11 KB cuando se descomprime). Lovesan descarga e intenta ejecutar un archivo llamado msblast.exe. El texto es el siguiente:
Síntomas de infección:
Cómo se propaga el gusano Lovesan se registra en la clave de ejecución automática cuando el sistema se reinicia y se inicia cada vez que la computadora se reinicia en el futuro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Windows auto update = "msblast.exe" Luego, el gusano escanea las direcciones IP, intenta conectarse a 20 direcciones IP aleatorias e infecta las máquinas vulnerables. Lovesan duerme durante 1.8 segundos y escanea las siguientes 20 direcciones IP. Lovesan escanea las direcciones IP siguiendo uno de los patrones siguientes:
El gusano envía una solicitud de desbordamiento del búfer a máquinas vulnerables a través del puerto TCP 135. La máquina recién infectada inicia el shell del comando en el puerto TCP 4444. Lovesan ejecuta el hilo que abre la conexión en el puerto 4444 y espera la solicitud FTP 'get' de la máquina víctima. El gusano fuerza a la máquina víctima a enviar la solicitud 'FTP get'. Por lo tanto, la máquina víctima descarga el gusano de la máquina infectada y lo ejecuta. La máquina de la víctima ahora también está infectada. Otra información Una vez que una computadora está infectada, el sistema envía un mensaje de error sobre la falla del servicio RPC y puede reiniciar la máquina. A partir del 16 de agosto de 2003, Lovesan lanzará ataques DDoS en el servidor de Windowsupdate.com. |
Enlace al original |
|
Descubra las estadísticas de las amenazas que se propagan en su región |