SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
NUEVO VIRUS GUSANO QUE AFECTA A WINDOWS NT Y 2000 CON IIS
Llega en un fichero HPPTEXT.DLL .enviados a IP aleatorias
Nombre de virus: W32/CodeBlue.wormAlias conocidos: IIS-Worm.BlueCode , W32.BlueCode,worm
Riesgo de Infección: Bajo (Bajo, Alto, Muy Alto)
Activación: Cada día de 10 a 11 AM envía un ataque de DoS a una web China
Propagación: Envía fichero a direcciones IP aleatorias que tengan IIS
Detección: DATS 4159
Motor necesario: 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)
Se trata de un nuevo gusano que utiliza la vulnerabilidad del IIS de Microsoft conocida como "Web Server Folder Traversal", la cual se corrige con los parches de Microsoft contenidos en el Service Pack 2 para Windows 2000 y el SRP para el Windows NT 4.0 (Security Rollup Package).
Si no se tienen instalados los indicados parches, puede recibirse un ataque de otro ordenador infectado con dicho virus, el cual lanza 100 intentos de envío del fichero HTTPEXT.DLL, a direcciones IP de Internet, copiándolo si encuentra que tiene instalado el IIS. En tal caso, ejecuta vía URL dicho DLL, lo cual genera el fichero C:\SVCHOST.EXE, que es llamado desde una clave que genera en el registro de sistema, y su ejecución crea el fichero C:\D.VBS, que es un Script de Visual Basic que anula el mapeado de servicios .IDA, .IDQ y .PRINTERS, los cuales deberán restaurarse tras eliminar el virus.
Para eliminar el virus puede utilizarse nuestra herramienta ELICODEB.EXE, que restaurará la clave modificada en el registro de sistema a su valor normal, y borrará los ficheros creados por el virus. Tras ello recomendamos instalar los parches de Microsoft al respecto y remapear los servicios anulados por el VBS.
Cabe notar que otro fichero con igual nombre SVCHOST.EXE ya existe en el directorio de sistema SYSTEM32, y que este no debe borrarse. Solo el de raiz.
Por último decir que a diferencia del CODERED, este ni es residente ni abre puerta trasera (backdoor). Sólo ralentiza la CPU ,se propaga y envía ataque de denegación de servicios (DoS) a una web de la China cada día de 10 a 11 AM..
Para los parches de Microsoft, ir a "Web Server Folder Traversal" Vulnerability
SATINFO, VIRUSCAN SPAIN SERVICE 18-9-2001
