Nuevo variante del CODE RED que abre puertas traseras en W2000 con IIS

Nombre de virus: W32/CodeRed.c /worm

Alias conocidos:  CodeRed v3, Trojan VirtualRoot

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)

Activación: Abre puertas traseras, que se mantienen aún borrando troyano

Propagación: Se transmite por TCP/IP a través del port 80

Detección: DATS 4152

Motor necesario: 4.1.00

Infección actual: Media (Inicial, Media, Elevada)

Tras la primera versión del CODERED, durante los primeros días de este mes se ha propagado de la misma forma que el primero, mediante ataque a tavés de TCP/IP, una nueva variante que además de la propagación a 600 o 300 direcciones, según que el sistema operativo estuviere en chino o en otro lenguaje, respectivamente, crea un troyano que modifica registro de sistema con claves que abren varias puertas traseras.

Para ello crea un nuevo EXPLORER.EXE infectado en el directorio raiz, el cual llama posteriormente al EXPLORER normal, por lo que no se nota su acción, y copia el fichero CMD.EXE en 4 subdirectorios (2 de C: y 2 de D), con el nombre de ROOT.EXE, todos los cuales se deben borrar.

Todo ello, como el primero, viene dado por el fallo de seguridad de Microsoft con el IIS y Windows 2000 server, no así con NT server. Para evitarlo,  ofrece su parche que recomendamos usar. Para ello visiten la web de Microsoft y corrijan dichas vulnerabilidades:      “Relative Shell Path” Vulnerability

Para determinar el riesgo de ataque de dicho worm en los servidores WEB, McAfee ofrece su herramienta:                 CyberCop Worm Scan

Nota: Ni las estaciones de trabajo ni los servidores de fichero son objetivo de dicho virus, Solo Servidores WEB con Windows 2000 con IIS instalado.

Además de la limpieza automática desde DATS  4152 y engine  4.1.00, hemos creado la utilidad ELICODER.EXE que elimina ficheros y restaura claves, la cual está disponible en la utilidades de nuestra web, www.satinfo.es

  SATINFO, VIRUSCAN SPAIN SERVICE                             30 de Agosto 2001

Anterior