|
CodeRed.C SATURA SERVIDORES WEB, ES TROYANO BACKDOOR E INFECTA
PC's DOMESTICAS
|
|
©
Jorge Machado Lima-Perú
|
|
CodeRed.C,
variante de CodeRed infecta estaciones de trabajo y
hasta PC's individuales, vía acceso remoto.
Esta variante fue reportada el 4 de
Agosto del 2001 y al igual que su predecesor CodeRed, haciendo uso de la memoria
dinámica, genera
un desbordamiento (overflow) del buffer, contenido en
el archivo IDQ.DLL del MS
Internet Information Server
para propagarse en otros servidores web.
Sin embargo, CodeRed.C tiene
además un payload
que genera un código binario ejecutable en memoria, que un troyano o "backdoor" de acceso remoto, el
cual
crea una secuencia aleatoria de
direcciones IP, permitiendo
a un hacker
acceder desde cualquier servidor web o estación de trabajo hacia
cualquier otra estación y tomar el absoluto control de la misma, inclusive
las de usuarios individuales en oficinas y hogares, que se conecten a Internet,
vía discado directo (Dial-Up), ADSL, Cable-Net o hasta accesos
inalámbricos.
Recordemos que el CodeRed original empezó a atacar el 17 de
Julio pasado, intentado ocasionar una negación de acceso al servidor web de La Casa
Blanca, sede del gobierno de los Estados. Oportunamente los responsables de www.whitehouse.gov
cambiaron la dirección IP de su servidor, por un número que no estaba
considerado en la cadena de direcciones IP's originales del gusano.
Posteriormente procedieron a instalar los parches correspondientes.
CodeRed.C
ya no ataca al servidor web de la Casa
Blanca, ahora busca en forma aleatoria y secuencial a todas las direcciones IP
que puedan ser invocadas a través del Puerto 80
y envía su código en memoria dinámica, usando una petición HTTP.
La novísima técnica de programación de esta
especie viral y siendo ésta su segunda variante, nos hace presumir que se
trataría del mismo autor que está intentando perfeccionar su lógica de
estructura binaria, que pueden ocasionar resultados impredecibles, en forma
masiva en un futuro cercano.
Como investigadores de virus desde 1986
y desarrolladores de PER ANTIVIRUS®
hemos experimentado diversas programaciones binarias, que ejecutadas en memoria
dinámica tienen capacidad de afectar varias vulnerabilidades en algunos otros
sistemas, incluso en Firewalls. Algunos modelos de ruteadores Cisco
son vulnerables a CodeRed.C
:
http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml
Los usuarios de
servidores con
MS Internet Information Server
pueden obtener información en un boletín publicado por Microsoft, titulado
"Buffer vulnerable en la extensión del Index del Servidor
ASAPI:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
Asimismo deberán descargar e instalar
a la brevedad posible los parches creados por Microsoft desde los siguientes
URL:
Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
Windows 2000 Professional, Server y Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
Una vez descargados estos parches, se deberá
reiniciar los servidores en forma inmediata.
El 07 de Agosto del 2001, a causa del gusano
CodeRed, los servidores de la Casa Blanca, sede de la Presidencia de los Estados
Unidos migraron a Linux:
http://linuxsecurity.org/articles/government_article-3392.html
Gusano informático "Código Rojo"
nació en China, dice informe
30 de
agosto, 2001
Actualizado: 8:29 PM hora de Nueva York
(0029 GMT)
WASHINGTON (Reuters) -- El gusano
informático "Código Rojo", que el mes pasado costó unos
2.400 millones de dólares en limpieza de ordenadores conectados con
Internet, parece haber nacido en una universidad en una provincia del
sur de China, según un órgano investigador del Congreso
estadounidense.
En un testimonio ante la subcomisión
de Reforma Gubernamental de la Cámara de Representantes, el jefe de
tecnología de la Oficina General de Contabilidad, Keith Rhodes, dijo
que "se cree que el gusano comenzó en una universidad en
Guangdong, China". El testimonio no brindó mayores detalles al
respecto. |
|
 |
Código Rojo infectó más de 250.000 sistemas
en apenas nueve horas el 19 de julio, poco después de que se informó sobre su
existencia, según el Centro Nacional de Protección de Infraestructura en la
sede del FBI. Informes publicados en la prensa de India a comienzos de este mes
decían que Código Rojo había sido rastreado a la Universidad de Foshon, en la
provincia de Guangdong.
Tras los informes, Reuters se comunicó con un
técnico de laboratorio del departamento de computación en la Universidad de
Foshon, quien se declaró sorprendido por las versiones, porque dijo que no ha
habido clases desde el 6 de julio y que se reformaban las instalaciones, que
durante algún tiempo incluso carecieron de suministro eléctrico.
Copyright 2001 Reuters
Limited. Derechos Reservados.
PER ANTIVIRUS®
con registro de virus al 07 de Agosto del 2001 detecta y elimina eficientemente
al archivo binario que contiene este gusano así como todas sus variantes, debido a un sofisticado proceso de programación
que nos permitió capturar las imágenes del código binario empleado por esta
nueva técnica de programación de virus, gusanos y caballos de troya.
