Noticias: Aparece el gusano "Code Blue"

DESCARGA PACK DE SEGURIDAD PARA WINDOWS El software de seguridad GRATUITO que necesitas para tu PC.	DESCARGA LOS PROGRAMAS QUE NECESITAS Descarga los programas GRATUITOS que necesitas para tu PC
Publicidad

Servicios

. Adecuación a LSSI

. Consultas jurídicas

. Protección Datos

. Contratos

. Propiedad Intelectual

. Firma Electrónica

. Defensa Jurídica

. Reclamaciones

Información

. Titulares Noticias RSS

. Titulares Noticias RSS (XML)

. Noticias

. Archivo noticias

. Denuncias

. Mapa del WEB

. Seguridad/PGP

Comunidad

. Agenda

. Boletín

. Lista correo

. Buzón sugerencias

. Publica tu artículo

. Encuesta

. Antivirus

. Utilidades

. Bibliografía

Temas

. Portada

. Audiovisual

. Ciberderechos

. Delitos

. E-commerce

. Estafas

. Firma Electrónica

. Fiscalidad

. Hacking

. Industrial

. Intelectual

. Legislación

. Laboral

. LSSI

. Protección Datos

. Seguridad

Legislación

. LSSI España

. Firma Electrónica

. Delitos I. España

. Delitos I. Argentina

. Delitos I. Chile

. Delitos I. Costa Rica

. Delitos I. Perú

. Delitos I. Venezuela

Jurisprudencia

. Laboral

Especiales

. Biotecnología

. Seguridad

Sobre ....

. Contacta

Abogados Portaley.com

Noticias

Aparece el gusano "Code Blue" [12-09-01]

Diversas organizaciones, como ISS, Kapersky Labs e incidents.org, informan de la existencia de un nuevo gusano que recuerda en cierta medida a "Code Red". No obstante, los análisis realizados por ahora parecen indicar que no tendrá una incidencia tan importante como su predecesor.

"Code Blue" no es un gusano residente en memoria como "Code Red". Esto hace que su detección sea mucho más simple. Se distribuye dentro de un archivo .DLL (biblioteca de enlace dinámico) y lo ejecuta un archivo .EXE. En lo que sí se parece a "Code Red" es en el método de propagación, una vez infectado el sistema, "Code Blue" inicia aproximadamente 100 threads que realizaran la búsqueda de otros
sistemas vulnerables donde se pueda copiar el gusano.

"Code Blue" inicia la búsqueda en las direcciones IP "cercanas" con el objetivo de reducir las peticiones a direcciones IP no direccionables. Incluye también una porción de código para evitar la infección de un sistema ya afectado.

"Code Blue" no parece tener ninguna intención destructiva o malévola.
No borra ningún archivo del sistema ni instala ninguna puerta trasera (backdoor) en el sistema infectado. Eso si, tiene un notable impacto en el rendimiento del sistema afectado.

El gusano instala un programa escrito en Visual BASIC Script (d.vbs) que borra los mapeos de los archivos ".ida", ".idq" y ".printer" para a continuación borrarse el mismo. Una posible explicación de esta acción es la de evitar la infección del sistema por parte de "Code Red" o bien prevenir cualquier otro ataque que utilice la vulnerabilidad .IDA de Microsoft IIS.

Cada día, entre las 10:00 y las 11:00 GMT, el gusano realizará un ataque de denegación de servicio (envío masivo de paquetes) contra una dirección IP específica que corresponde a los sistemas de una empresa de seguridad de la China.

"Code Blue" utiliza la vulnerabilidad denominada "Web Server Folder Traversal", para la que Microsoft publicó una actualización el pasado octubre de 2000. Esta actualización, además, también viene incluida dentro del Service Pack 2 de Windows 2000 y el Security Rollup Package (SRP) para Windows NT 4.0. Esto hace prever que la incidencia de este gusano será bastante pequeña.

"Code Blue" utiliza varias cadenas para el ataque contra los sistemas, con diferentes caracteres codificados. No obstante, el método de escaneo si que es uniforme: el gusano envía una petición HTTP (HEAD) contra el servidor e inspecciona la respuesta. Si el servidor remoto es un IIS, envía una segunda petición HTTP (GET) en la que intenta explotar la vulnerabilidad.

Esta segunda petición tiene un aspecto similar al siguiente:

GET / .. [caracteres codificados] ../winnt/system32/cmd.exe?c+dir

Recomendaciones
Si algún administrador de IIS todavía no ha instalado la
actualización necesario, debe seguir estos pasos:

* Instalar la actualización disponible para IIS 4.0 e IIS 5.0:

IIS 4.0
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862

IIS 5.0
http://www.microsoft.com/windows2000/downloads/critical/q269862

Alternativamente puede instalar el parche acumulativo que, además de
esta actualización, incluye otras igualmente importantes:

http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

Eliminación de "Code Blue" de un ordenador infectado

* Con REGEDIT, localizar la clave
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

* Localizar y borrar la entrada correspondiente a C:\SVCHOST.EXE

* Salir de REGEDIT.

* Borrar el archivo C:\SVCHOST.EXE.

* Borrar cualquier copia de D.VBS existente en el sistema.

* Reiniciar el ordenador.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=1052

Más información:

Avís de Kapersky Labs
http://www.kapersky.com/news.asp?tnews=0&nvView=1&id=228&page=0

Hispasec 20-10-00: Una grave vulnerabilidad afecta a todos los
servidores IIS
http://www.hispasec.com/unaaldia.asp?id=726

Boletín de de Microsoft: "Microsoft IIS 4.0 / 5.0 Extended UNICODE
Directory Traversal Vulnerability"
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp

Versión original de esta noticia (en catalán)
http://www.quands.com/alertes/html/code-blue.html

Xavier Caballé
xcaballe@quands.com

Noticias actuales...
Archivo de noticias...

Campaña Stop Pedofilia

Gratis Servicio de noticias

Tus Sugerencias son bienvenidas
Pincha Aquí

¡¡Lista de correo!!
Introduzca su correo:

www.delitosinformaticos.com . webmaster@delitosinformaticos.com . Delitosinformáticos