|
W32/Lioten, I.worm.Lioten
Lioten es un sofisticado y peligroso gusano reportado el 17 de Diciembre del 2002, de potencial propagación masiva en cualquiera de los servicios de Internet, como mensajes de correo, redes compartidas P2P, el IRC (Internet Chat Relay) TelNet, etc., que aprovecha una vulnerabilidad en la configuración de seguridad SMB (Server Message Block) de los sistemas operativos Windows NT/2000/XP/.NET, de los servidores y estaciones de trabajo basadas en la tecnología NT.
De hecho, la muestra obtenida fue capturada por una de nuestras computadoras desprotegidas, en una incursión realizada con un hacker que hacía uso de un clásico Port Scanner (barredor de puertos) a los cuales se le programan y asignan lotes de direcciones IP en rangos aleatorios.
El archivo infectado se denomina iraq_oil.exe, está desarrollado en Visual C++, con una extensión de 18.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Una vez que el archivo ingresa a un sistema, se auto-copia a la carpeta %System32% como iraq_oil.exe, luego crea 100 hilos y captura las direcciones IP, las cuales usa para copiarse dentro de una Red Local con el nombre del archivo infectado.
Para ejecutarse la próxima vez que se inicie el sistema modifica esta llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
default = "%System32%\iraq_oil.exe"
%System32% es la variable C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.
El gusano emplea la función NetScheduleJobAdd del netpi32.dll para ser ejecutado en fechas y horas determinadas. Esta librería API (Application Program Interface) tiene las siguientes funciones:
Para activarla es necesario que sus tareas sean iniciadas en un determinado sistema y esta función sólo es aplicable a sistemas basados en tecnología NT, consecuentemente no afecta a Windows 95/98/Me.
Para este propósito hace uso del SMB (Server Message Block) que es un protocolo de peticiones y respuestas en bloque que permite compartir archivos, impresoras, dispositivos de conectividad y correo, para cuyo propósito intenta conectarse a las direcciones IP capturadas de la red local.
El SMB (Server Message Block) es un protocolo que permite una gran fluidez en las peticiones y respuestas:
El gusano usa el puerto 445 para conectarse a este servicio SMB con la instrucción \IPC$ share, emplea la función NetUserEnum para capturar los nombres de los usuarios de red a la cual ingresó y aleatoriamente usa estas claves de acceso registradas en su código:
El acceso a los sistemas es realizado a causa de otra vulnerabilidad denominada Null Session Password Atack que permite al intruso obtener:
Su payload consiste en activarse cada 2 minutos, auto-copiándose en bloques a todas las estaciones de trabajo, y servidores conectados, sin que el administrador o usuarios que comparten una Red Local (LAN) se percaten, con lo cual ocasionará una Negación de Servicio (DoS) por saturación.
Por otro lado, nada impedirá que este gusano infecte a otros sistemas que de uno u otro modo se conecten a la LAN infectada bajo cualquiera de los servicio de Internet o Extranets tales como correo, IRC, ICQ, Mensajería Instantánea, Redes compartidas Peer to Peer, FTP, etc.
El parche para la vulnerabilidad SMB (Server Message Block) puede ser descargado desde:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-070.asp
PER ANTIVIRUS® versión 7.8 actualizado al 17 de Diciembre del 2002 detecta y elimina eficientemente este gusano.
