Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

CodeRed. Un gusano en la memoria de los servidores
 
VSantivirus No. 377 - Año 5 - Viernes 20 de julio de 2001

Nombre: CodeRed.worm
Alias: W32/Bady, CODERED.A, HBC, W32/Bady.worm
Tipo: Gusano
Tamaño: 4 Kb aprox.
Origen: China

Este gusano, que se ha estado propagando enormemente en los últimos días, explota una conocida vulnerabilidad en el archivo IDQ.DLL, de los servidores Microsoft IIS 5.0 (ver VSantivirus No. 348 - Año 5 - Jueves 21 de junio de 2001, Vulnerabilidad en las extensiones ISAPI en IIS (MS01-033)).

Esta falla permite, mediante el aprovechamiento de un desbordamiento de búfer, la ejecución de código capaz de tomar el control del servidor web, a través de las extensiones ISAPI (1).

El gusano CodeRed se propaga, escaneando servidores que corran IIS 5.0 (Internet Information Server), desde una lista de direcciones IP generada aleatoriamente. Cuando encuentra un servidor en alguna de esas direcciones, el gusano intenta ingresar al sistema a través del puerto 80, explotando la mencionada vulnerabilidad.

Cuando ingresa en una computadora vulnerable, el gusano examina la existencia de un archivo C:\NOTWORM, (creado por el propio gusano bajo ciertas condiciones, si la máquina ya ha sido infectada). Si no existe, el gusano continúa su labor, de lo contrario puede permanecer residente.

Solo infecta sistemas que se estén ejecutando en idioma inglés (Windows NT y 2000). Si se cumple esta condición, el gusano permanece latente por unas dos horas antes de dar sus siguientes pasos.

Este lapso de tiempo, permite que el gusano se pueda propagar con mayor libertad antes que el usuario o el administrador del sitio, pueda detectar su presencia. En ese periodo, el gusano crea 100 threads simultáneos (tareas independientes, cada una consumiendo su propia memoria y recursos del procesador), y corre en cada una de ellas su propio código, en un bucle que usa para analizar la presencia de otras máquinas vulnerables, a las que pueda conectarse para infectarlas. Esta acción puede afectar la estabilidad del sistema, e incluso llegar a colapsarlo, como en un ataque de negación de servicio (D.o.S) (2).

En la segunda parte de su acción, el gusano busca el archivo KERNEL32.DLL, y se engancha a algunas funciones necesarias para su funcionamiento. Utiliza también las librerías INFOCOMM.DLL, W3SVC.DLL y WS2_32.DLL. Estos archivos están presentes en un sistema como el mencionado.

Las funciones enganchadas, le permiten interceptar los requerimientos de los clientes (browsers) que visitan el sitio, mostrando en lugar de la página solicitada, una con el siguiente texto:

Welcome to http://www.worm.com !

Hacked By Chinese!

El sitio mencionado en esta página, no posee ninguna relación con los creadores del virus.

Esta acción se produce durante las siguientes diez horas (si el gusano no es quitado antes por el administrador del sitio).

Una de las características más singulares de este gusano, es que el mismo no modifica ninguna página HTML, ni copia archivo alguno con su código en la máquina infectada. Funciona siempre residente en memoria, e intercepta las funciones normales del servidor, para mostrar en lugar de la página HTML solicitada, la suya, creada a partir del código residente en la memoria.

Esto hace que pueda ser sacado fácilmente, simplemente reiniciando la computadora infectada.

Como vimos, uno de sus efectos colaterales más importantes, es la fuerte degradación del funcionamiento del servidor atacado, debido a la cantidad de threads que se ejecutan al mismo tiempo, y al ancho de banda usado en la búsqueda de nuevas máquinas para infectar. Además, en algunas ocasiones, el gusano ejecuta estos threads hasta el agotamiento de todos los recursos del sistema, provocando la caída del mismo.

Aunque a las 10 horas, el gusano termina por si mismo su ejecución, la infección puede volver a ocurrir en la misma máquina.

Si la fecha actual, es cualquier día del mes, entre el 20 y el 28, el gusano intenta un ataque de negación de servicio a la dirección www.whitehouse.gov, enviando gran cantidad de datos basura al puerto 80.

Finalmente, si la fecha es mayor al día 28, los diferentes threads creados en la primera etapa de la infección, quedan en un bucle infinito, causando la inestabilidad y posiblemente la caída de Windows.

Actualmente, el gusano está ocasionando varios problemas debido a la gran cantidad de escaneos (100 a la vez por computadora), realizados en cada uno de los servidores atacados (casi 30.000 según los últimos reportes), lo que genera una gran cantidad de tráfico.

Son vulnerables todos los sistemas corriendo el servicio Microsoft Index 2.0 (3), o Windows 2000 Indexing Service, que no han sido actualizados con los parches respectivos.

La solución más evidente para quitar el gusano, como vimos, es resetear la computadora.

La solución definitiva para que no vuelva a infectarse, es instalar los parches disponibles desde hace más de un mes en el sitio de Microsoft.


Parches disponibles:

Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Windows 2000 Professional, Server y Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800


Más información

Unchecked Buffer in Index Server ISAPI Extension
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

Código rojo para los servidores Microsoft
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=76

eEye Digital Security - Code Red Analysis
http://www.eeye.com/html/Research/Advisories/AD20010618.html

"Code Red" Worm Exploiting Buffer Overflow
http://www.cert.org/incident_notes/IN-2001-08.html

Full analysis of the .ida "Code Red" worm
http://eeye.com/


Ver también:

VSantivirus No. 348 - 21/jun/01
Vulnerabilidad en las extensiones ISAPI en IIS (MS01-033)

VSantivirus No. 301 - 5/may/01
Grave vulnerabilidad en servidores de Windows 2000


Glosario:

(1) ISAPI (Interfaz de Programación de Aplicaciones del Servidor Internet). Es una tecnología que permite extender las funcionalidades de Internet Information Service y es la propuesta de Microsoft de una interfaz alternativa más rápida que el CGI. Los programas escritos usando ISAPI habilitan a un usuario remoto para ejecutar un programa, busca información dentro de una base de datos, o intercambia información con otro software localizado en el servidor.

(2) D.o.S - Un ataque de D.o.S (Denial of Service, o negación de servicio), hace que los servidores o cualquier computadora conectada a Internet, reciban una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.

(3) Index Server 2.0 - Es un programa que examina el equipo y crea catálogos que contienen un índice de elementos del sistema de archivos e información acerca de sus propiedades. El programa se ejecuta periódicamente para actualizar los catálogos. Los índices se utilizan cada vez que un usuario realiza una búsqueda en los catálogos.


Fuente: Trend Micro, Symantec, McAfee, Computer Associates
(c) Video Soft - http://www.videosoft.net.uy

  

Copyright 1996-2001 Video Soft BBS