Troj/Msblast, W32/Blaster, I-worm.Lovsan

Msblast es un destructivo gusano troyano/backdoor reportado el 12 de Agosto del 2003, que aprovecha la vulnerabilidad del DCOM RPC (Llamada Remota de Procedimientos).  Infecta los sistemas con el archivo msblast.exe de 6 KB de extensión  a través del puerto TCP 135, se conecta y envía instrucciones vía los puertos TCP 4444 y UDP 69.

Una vez ingresado a un sistema, el hacker ejecutará un serie de acciones, ocasionando una ataque de Negación de Servicio que colapsará los sistemas infectados.

La vulnerabilidad RPC (Remote Procedure Call) fue reportada por el grupo de investigadores de origen polaco denominado The Last Stage of Delirium, quienes han descubierto gran parte de las últimas fallas de Windows e Internet Explorer. 

Este troyano es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003   

Cuando msblast.exe se auto-ejecuta crea un mutex (Exclusión Mutua) denominado Billy, y en el caso que éste ya existiera en el sistema, el gusano no ejecutará ninguna acción y se auto-eliminará. Para activarse la próxima vez que se re-inicie el sistema, crea una de las siguientes llaves de registro: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"windows auto update" = "msblast.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"windows auto update" = "msblast.exe I just want to say LOVE YOU SAN!! bill"

Al activarse el sistema, el gusano calcula las direcciones IP basado en el siguiente primer algoritmo:

IP Receptor = A, B, C, D 
configura D = "0"
Si C es mayor que 20, restará un valor aleatorio menor a 20

Una vez obtenido el resultado, el gusano intentará saturar el sistema basado en las cuentas A, B, C, 0 y así sucesivamente. De este modo el Subnet local será saturado por peticiones a través del puerto 135.

También el gusano calculará las direcciones IP en base a números aleatorios:

IP Receptor = A, B, C, D 
configura D = "0"
configura A, B y C a valores aleatorios entre "0" y "255"

Luego enviará la información capturada del sistema vía el puerto TCP 135 que aprovecha la vulnerabilidad DCOM RPC, permitiendo crear un comando oculto de nombre Cmd.exe el cual se conectará al puerto TCP 4444.

El gusano también recibe instrucciones por el puerto UDP 69 y por cada petición recibida, envía el archivo Msblast.exe en código binario.

Envía además los comandos al sistema remoto, con el propósito de conectarse de nuevo al receptor infectado, descargando y ejecutando el archivo Msblast.exe.

Si el mes vigente es posterior a Agosto o si la fecha actual es posterior al día 15, esta especie viral ejecutará un envío masivo de paquetes, ocasionado una Negación de Servicio en windowsupdate.com

Dentro del código viral de este troyano/backdoor se puede leer la siguiente cadena:

El parche para la vulnerabilidad DCOM RPC puede ser descargado de:

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

Los payloads de este troyano/backdoor son los siguientes:

• Ingresa a través del puerto 135 aprovechando la vulnerabilidad RPC de Microsoft.
• Captura información de la configuración del servidor y de las estaciones de trabajo. 
• Tambien se conecta vía el puerto TCP 4444. 
• Recibe instrucciones vía el puerto UDP 69.
• Puede controlar remotamente archivos y programas de los sistemas infectados.
• Ocasiona una Negación de Servicio (Denial of Service) colapsando al sistema.

PER ANTIVIRUS® versión 8.2 con registro de virus al 12 de Agosto del 2003 detecta y elimina  eficientemente este gusano/troyano/backdoor.