Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Cblade.Worm. Descripción del gusano de SQL
 
VSantivirus No. 508 - Año 6 - Miércoles 28 noviembre de 2001

Nombre: W32/Cblade.Worm
Tipo: Gusano de Internet
Alias: SQL Worm, Cblade, Voyager Alpha Force, Ninja Trojan, W32.Cblade.Worm, W32/Cblade.word, Worm_CBlad.A, WORM_CBLAD.A, CBLAD.A
Tamaño: 389,181 Bytes
Fecha: 22/nov/01

Este gusano, que permanece residente en memoria, utiliza una debilidad en los servidores SQL 7 de Microsoft, que permiten al instalarse, dejar un password vacío para la cuenta del administrador ("sa").

El gusano examina Internet en búsqueda de otros servidores SQL escuchando por el puerto TCP 1433. Cuando encuentra un sistema vulnerable, envía un paquete conteniendo los comandos para ejecutar un procedimiento XP_CMDSHELL. Esto es usado para ejecutar comandos directamente en el entorno DOS dentro del servidor SQL.

Utilizando desde DOS el comando FTP, el gusano se conecta a un sitio (philamuseum.netreach.net) en 207.29.192.160 (ya ha sido dado de baja), logeandose con el nombre de usuario "ftp" y la contraseña "foo.com".

También utiliza el comando get del FTP para descargar el archivo DNSSERVICE.EXE, al que luego ejecuta.

DNSSERVICE.EXE queda residente en memoria como un proceso del tipo servicio, no visible en el administrador de tareas (en Windows 9x/ME).

Luego, el gusano crea una entrada en el registro del sistema, lo que le permite ejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TaskReg = [camino y nombre de archivo del gusano].

La principal y más peligrosa característica del gusano, es su capacidad de realizar ataques distribuidos de negación de servicio (D.D.o.S por su siglas en inglés), o sea, ataques coordinados desde varias máquinas a un mismo blanco. Para ello, hace que el servidor SQL infectado, se conecte a un servidor IRC para recibir las instrucciones del atacante.

Realiza primero una búsqueda en servidores DNS (Domain Name Service) del dominio bots.kujikiri.net. El servidor de DNS responderá con las siguientes seis direcciones IP de servidores IRC (Internet Relay Chat):

65.161.40.1 
198.31.210.184  (toyou.toyou.cc) 
64.154.61.232   (astro.dal.net) 
209.116.7.97    (station97n.dscga.com) 
205.188.253.227 (irc02.icq.com) 
205.188.253.230 (irc05.icq.com)

En forma aleatoria, el gusano selecciona uno de esos servidores de IRC y se conectará a él por el puerto 6669. Utiliza para ello nombres de usuario (nicks) seleccionados al azar.

Una vez que la conexión ha sido establecida, el servidor SQL queda a la escucha y esperando por los comandos del atacante.

Cadenas de texto encontradas en el cuerpo del gusano, sugieren que está preparado para manejar los protocolos de IRC. Otros textos muestran algunas de las órdenes que pueden ser empleadas para realizar los ataques a otras máquinas.

Utiliza además algunas técnicas para eludir la acción de un debugger que intente detectar su funcionamiento paso a paso.

La primera medida que debe tomarse para minimizar los riesgos provocados por este gusano, es cambiar la contraseña por defecto para la cuenta de administrador del servidor SQL.

Cómo limpiar un sistema infectado:

1. Ejecute un antivirus al día y apunte el camino y nombre del archivo detectado como Cblade

2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

3. Seleccione en el panel de la izquierda la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

4. Pinche en la carpeta "Run", y en el panel de la derecha busque una entrada cuyo nombre sea "Taskreg", y contenga el nombre y camino completo del gusano tal como se detectó en el punto 1.

5. Marque "Taskreg" y borre esta entrada pulsando la tecla DEL o SUPR.

6. Salga del editor del registro, y reinicie su computadora.

7. Ejecute nuevamente un antivirus actualizado, y borre todos los archivos que parezcan infectados con el gusano Cblade.

Fuentes: Symantec, Trend Micro, F-Secure, McAfee

Referencias:

SecurityFocus(TM) Identifies New DDoS Tool
http://www.securityfocus.com/

MS SQL Worm: More Information
http://www.incidents.org/diary/diary.php?id=82

VSantivirus No. 501 - 21/nov/01
Señal de alerta: un gusano que ataca servidores SQL
http://www.vsantivirus.com/21-11-01a.htm

VSantivirus No. 502 - 22/nov/01
Gusano de SQL aumenta su propagación 600% en seis horas
http://www.vsantivirus.com/22-11-01a.htm

VSantivirus No. 504 - Año 6 - Sábado 24 de noviembre de 2001
La historia reciente del gusano de SQL
http://www.vsantivirus.com/24-11-01a.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS