ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Net-Worm.Win32.Lovesan

Fecha de detección 01/17/2008
Clase Net-Worm
Plataforma Win32
Descripción

Lovesan es un gusano de Internet que explota la vulnerabilidad DCOM RPC en Microsoft Windows que se describe en MS Security Bulletin MS03-026 .

Lovesan está escrito en C usando el compilador LCC. El gusano es un archivo EXE de Windows PE de aproximadamente 6 KB (comprimido mediante UPX – 11 KB cuando se descomprime).

Lovesan descarga e intenta ejecutar un archivo llamado msblast.exe.

El texto es el siguiente:

Solo quiero decir ¡TE AMO SAN!
Billy Gates, ¿por qué haces esto posible? ¡Deja de hacer dinero y arregla tu software!

Síntomas de infección:

  • MSBLAST.Exe en la carpeta Windows system32.
  • Mensaje de error: error en el servicio RPC. Esto hace que el sistema se reinicie.

Cómo se propaga el gusano

Lovesan se registra en la clave de ejecución automática cuando el sistema se reinicia y se inicia cada vez que la computadora se reinicia en el futuro:

 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun



Windows auto update = "msblast.exe" 

Luego, el gusano escanea las direcciones IP, intenta conectarse a 20 direcciones IP aleatorias e infecta las máquinas vulnerables. Lovesan duerme durante 1.8 segundos y escanea las siguientes 20 direcciones IP.

Lovesan escanea las direcciones IP siguiendo uno de los patrones siguientes:

  1. En 3 de cada 5 casos, Lovesan selecciona direcciones IP base aleatorias (ABCD) donde D es igual a 0, mientras que A, B y C son números aleatorios entre 0 y 255.
  2. En los 2 casos restantes de 5, Lovesan escanea la subred y obtiene la dirección IP local de la máquina infectada, extrae los valores A y B de ella y establece D en 0. Luego, el gusano extrae el valor C.

    Si C es menor o igual que 20, entonces Lovesan no modifica C. Por lo tanto, si la dirección IP local es 207.46.14.1, el gusano escaneará las direcciones IP a partir de 207.46.14.0

    Si C es mayor que 20, entonces Lovesan selecciona un valor aleatorio entre C y C-19. Por lo tanto, si la dirección IP de la máquina infectada es 207.46.134.191, el gusano escaneará las direcciones IP 207.46. {115-134} .0

El gusano envía una solicitud de desbordamiento del búfer a máquinas vulnerables a través del puerto TCP 135. La máquina recién infectada inicia el shell del comando en el puerto TCP 4444.

Lovesan ejecuta el hilo que abre la conexión en el puerto 4444 y espera la solicitud FTP 'get' de la máquina víctima. El gusano fuerza a la máquina víctima a enviar la solicitud 'FTP get'. Por lo tanto, la máquina víctima descarga el gusano de la máquina infectada y lo ejecuta. La máquina de la víctima ahora también está infectada.

Otra información

Una vez que una computadora está infectada, el sistema envía un mensaje de error sobre la falla del servicio RPC y puede reiniciar la máquina.

A partir del 16 de agosto de 2003, Lovesan lanzará ataques DDoS en el servidor de Windowsupdate.com.


Enlace al original