Blasters
Páginas: 7 (1719 palabras)
Publicado: 28 de noviembre de 2011
Virus Informáticos
Blaster, Slammer, Ping Pong
24/11/2011 Paola Cabrera, Rodrigo Bravo Tec.Plataformas Informáticas Prof. Jorge Gajardo
1
BLASTER
Nombre común:
Blaster
Nombre técnico:
W32/Blaster
Peligrosidad:
Baja
Alias:
W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A, Win32.Poza, WORM_MSBLAST.H
Tipo:
Gusano
Efectos:
Realiza ataques de tipo DoScontra el sitio windowsupdate.com. Reinicia el ordenador afectado.
Plataformas que infecta:
Windows 2003/XP/2000/NT
Detección actualizada:
02/01/2004
Blaster
es un gusano de red de Windows que se aprovecha de una
vulnerabilidad en el servicio DCOM para infectar a otros sistemas de forma automática. El gusano fue detectado y liberado el día 11 de agosto de 2003. La tasa deinfecciones aumentó considerablemente hasta el día 13 de agosto de 2003. Blaster aprovecha la vulnerabilidad conocida como Desbordamiento de búfer en interfaz RPC para propagarse al mayor número de equipos posibles.
2
Blaster producirá ataques de denegación de servicio (DoS) contra el sitio web windowsupdate.com durante los días 15 a 31 de cada mes, y durante todos los días de los meses deseptiembre a diciembre de cualquier año. Para ello, Blaster envía un paquete de tamaño 40 Bytes a dicho sitio web cada 20 milisegundos, a través del puerto TCP 80. Blaster se propaga atacando direcciones IP generadas aleatoriamente, intentando aprovechar la vulnerabilidad mencionada para descargar en el equipo atacado una copia de sí mismo, para lo cual incorpora su propio servidor de TFTP (Trivial FileTransfer Protocol). Si su equipo tiene como sistema operativo Windows 2003/XP/2000/NT, es recomendable descargar el parche de seguridad desde la Web de Microsoft.
Efectos
Blaster realiza las siguientes acciones:
Realiza
ataques
de denegación
de
servicio (DoS)
contra
el
sitio
web windowsupdate.com durante los días 15 a 31 de cada mes, y durante todos los días de losmeses de septiembre a diciembre de cualquier año.
Puede llegar a provocar el bloqueo y reinicio del equipo atacado, debido a errores de codificación del gusano.
Provoca un aumento del tráfico de red por los puertos TCP 135 y 4444, y UDP 69.
3
Método de Infección
Blaster crea el archivo MSBLAST.EXE en el directorio de sistema de Windows. Este archivo es una copia delgusano.
Blaster crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run Windows auto update = msblast.exe
De esta manera, consigue ejecutarse cada vez que se inicie Windows.
Realiza el siguiente proceso de infección:
El gusano crea un mutex llamado BILLY para comprobar que se encuentra activo. Verifica que la versión deWinsock del sistema sea 1.00, 1.01 ó 2.02, y que haya una conexión válida a Internet; en caso de que no haya conexión, entra en un bucle que realiza dicha comprobación cada 20 segundos.
Genera direcciones IP aleatorias de forma sucesiva, empezando por la red donde se encuentra el equipo donde se está ejecutando, y pasando después a la siguiente red de clase B (redes con máscara de subred255.255.0.0).
Intenta aprovechar en la máquina remota, identificada mediante la anterior dirección IP, la vulnerabilidad conocida como Desbordamiento de búfer en interfaz RPC.
4
Si lo consigue, lanza una sesión remota y obliga al equipo atacado a realizar una conexión desde el puerto TCP 4444 de la máquina atacada al puerto UDP 69 de la máquina atacante.
Cuando seestablece dicha conexión, el equipo atacado descarga a través de TFTP una copia del gusano. Para ello, el propio gusano incorpora un servidor TFTP.
Una vez finalizada la descarga, procede a la ejecución remota del archivo enviado, lo cual provoca que el gusano pueda también propagarse desde el equipo atacado.
5
SLAMMER
Nombre común:
Slammer
Nombre técnico:
W32/SQL Slammer...
Blaster, Slammer, Ping Pong
24/11/2011 Paola Cabrera, Rodrigo Bravo Tec.Plataformas Informáticas Prof. Jorge Gajardo
1
BLASTER
Nombre común:
Blaster
Nombre técnico:
W32/Blaster
Peligrosidad:
Baja
Alias:
W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A, Win32.Poza, WORM_MSBLAST.H
Tipo:
Gusano
Efectos:
Realiza ataques de tipo DoScontra el sitio windowsupdate.com. Reinicia el ordenador afectado.
Plataformas que infecta:
Windows 2003/XP/2000/NT
Detección actualizada:
02/01/2004
Blaster
es un gusano de red de Windows que se aprovecha de una
vulnerabilidad en el servicio DCOM para infectar a otros sistemas de forma automática. El gusano fue detectado y liberado el día 11 de agosto de 2003. La tasa deinfecciones aumentó considerablemente hasta el día 13 de agosto de 2003. Blaster aprovecha la vulnerabilidad conocida como Desbordamiento de búfer en interfaz RPC para propagarse al mayor número de equipos posibles.
2
Blaster producirá ataques de denegación de servicio (DoS) contra el sitio web windowsupdate.com durante los días 15 a 31 de cada mes, y durante todos los días de los meses deseptiembre a diciembre de cualquier año. Para ello, Blaster envía un paquete de tamaño 40 Bytes a dicho sitio web cada 20 milisegundos, a través del puerto TCP 80. Blaster se propaga atacando direcciones IP generadas aleatoriamente, intentando aprovechar la vulnerabilidad mencionada para descargar en el equipo atacado una copia de sí mismo, para lo cual incorpora su propio servidor de TFTP (Trivial FileTransfer Protocol). Si su equipo tiene como sistema operativo Windows 2003/XP/2000/NT, es recomendable descargar el parche de seguridad desde la Web de Microsoft.
Efectos
Blaster realiza las siguientes acciones:
Realiza
ataques
de denegación
de
servicio (DoS)
contra
el
sitio
web windowsupdate.com durante los días 15 a 31 de cada mes, y durante todos los días de losmeses de septiembre a diciembre de cualquier año.
Puede llegar a provocar el bloqueo y reinicio del equipo atacado, debido a errores de codificación del gusano.
Provoca un aumento del tráfico de red por los puertos TCP 135 y 4444, y UDP 69.
3
Método de Infección
Blaster crea el archivo MSBLAST.EXE en el directorio de sistema de Windows. Este archivo es una copia delgusano.
Blaster crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run Windows auto update = msblast.exe
De esta manera, consigue ejecutarse cada vez que se inicie Windows.
Realiza el siguiente proceso de infección:
El gusano crea un mutex llamado BILLY para comprobar que se encuentra activo. Verifica que la versión deWinsock del sistema sea 1.00, 1.01 ó 2.02, y que haya una conexión válida a Internet; en caso de que no haya conexión, entra en un bucle que realiza dicha comprobación cada 20 segundos.
Genera direcciones IP aleatorias de forma sucesiva, empezando por la red donde se encuentra el equipo donde se está ejecutando, y pasando después a la siguiente red de clase B (redes con máscara de subred255.255.0.0).
Intenta aprovechar en la máquina remota, identificada mediante la anterior dirección IP, la vulnerabilidad conocida como Desbordamiento de búfer en interfaz RPC.
4
Si lo consigue, lanza una sesión remota y obliga al equipo atacado a realizar una conexión desde el puerto TCP 4444 de la máquina atacada al puerto UDP 69 de la máquina atacante.
Cuando seestablece dicha conexión, el equipo atacado descarga a través de TFTP una copia del gusano. Para ello, el propio gusano incorpora un servidor TFTP.
Una vez finalizada la descarga, procede a la ejecución remota del archivo enviado, lo cual provoca que el gusano pueda también propagarse desde el equipo atacado.
5
SLAMMER
Nombre común:
Slammer
Nombre técnico:
W32/SQL Slammer...
Leer documento completo
Regístrate para leer el documento completo.