[HACK] El futuro de MSBlaster (o LoveSan), un virus mal programado.

Sergio de los Santos s.delossantos at forzis.com
Fri Aug 15 15:59:14 CEST 2003 

15/08/03

El futuro de MSBlaster (o LoveSan), un virus mal programado.

Sergio de los Santos
www.forzis.com

MSBlaster pasará a los anales de la historia de Internet, como una de las 
epidemias más rápidas y devastadoras, infectando en un solo día cientos de 
miles de ordenadores de todo el mundo. Llama la atención que, por el hecho 
de aprovechar una vulnerabilidad muy sencilla de explotar, era de esperar 
la aparición de este tipo de gusano, pero una vez más la desinformación 
entre los usuarios no facilitó la prevención. Pero lo alarmante es que, 
examinando el comportamiento del gusano, lo peor puede estar por llegar.

Y es que, según los expertos, la primera versión del virus está realmente 
mal programada. Es extremadamente ineficiente, a pesar de su velocidad de 
expansión. El autor no se preocupó de programar un virus en sí, sino que 
copió y pegó el código del conocido exploit que aprovechaba la 
vulnerabilidad y le proporcionó un mecanismo artesano para propagarse, 
añadiendo una rutina que genera 20 direcciones IP al azar tomando como base 
la dirección del propio ordenador infectado. Esto demuestra una lentitud 
extrema con respecto al Code Red, que era capaz de escanear 100 o 200 
direcciones a la vez.

Tampoco se preocupa de averiguar qué tipo de sistema operativo está 
intentando infectar (Windows XP ó 2000). Teniendo en cuenta que el exploit 
necesita conocer el sistema operativo para aplicar una dirección de retorno 
de pila adecuada y funcionar correctamente, esto supone un gran problema de 
expansión para el virus, que elige aleatoriamente la variante del exploit y 
reduce al 50 por ciento su capacidad de infección. Esta es la causa de que 
los sistemas XP se reinicien cada pocos minutos. En estos ordenadores, el 
virus ha intentado aplicar el exploit pensado para Windows 2000.

También llama la atención el hecho de que el gusano necesite conectarse a 
otra máquina a través del puerto 4444 para descargar el programa con la 
carga destructiva en sí. El exploit abre ese puerto en primera instancia y 
permite desde ahí la ejecución de código arbitrario. El hecho de que la 
infección se realice en "dos tiempos" (primero el desbordamiento que 
permite la ejecución de código y luego el comando TFTP para descargar el 
gusano en sí) también refleja la inexperiencia o poca habilidad del creador 
del gusano. La mayoría de los virus destructivos son capaces de realizar 
todo en un sólo movimiento mucho más rápido y destructivo. El uso de un 
puerto poco habitual (4444) también facilita su detección y control por 
parte de los administradores que utilicen cortafuegos.

El gusano se aprovecha de una vulnerabilidad descubierta el 16 de Julio en 
el RPC (Remote Procedure Call) de prácticamente todos los sistemas Windows. 
Este es un protocolo que proporciona a Windows un mecanismo de comunicación 
entre procesos para que un programa que se está ejecutando en un equipo 
pueda ejecutar también código en un sistema remoto. La facilidad para 
explotar este problema y conseguir ejecutar código arbitrario en la víctima 
ya estaba reportando suculentos beneficios a los hackers maliciosos que 
buscaban potenciales víctimas en el IRC desde finales de julio, cuando se 
hizo público el exploit. Aprovecharse del problema "a mano" conociendo la 
IP de la víctima resulta trivial.

Por todo esto, cabe esperar la rápida aparición de variantes que mejoren el 
rendimiento del virus. Distintas casas antivirus ya han detectado variantes 
B y C del gusano, que usan nombres de archivos tales como teekids.exe y 
penis32.exe respectivamente en vez del msblaster.exe original. Los cambios 
no son significativos (principalmente nombre y sistema de compresión) con 
respecto a la primera versión, creada sin duda por un programador poco 
experimentado o con demasiada prisa.

Teniendo en cuenta el impacto que ha tenido el virus aun con sus 
debilidades y deficiencias, un virus que aprovechase esa misma 
vulnerabilidad pero programado de forma eficiente (tal y como Slammer 
mostraba, toda una oda a la eficiencia y velocidad vírica ) hubiese sido 
una verdadera catástrofe. Podríamos considerar esta primera versión como un 
aviso, que ayudará a muchos a parchear sistemas e instalar por primera vez 
un firewall, algo que hasta ahora consideraban innecesario como herramienta 
contra los virus. Existe la creencia que un virus sólo puede infectar un 
sistema si el usuario ejecuta un archivo infectado.

Aunque cabe esperar igualmente que miles de usuarios no actualicen sus 
sistemas, convirtiéndose en incautos cómplices que ayudarán a la 
propagación de otras versiones mucho más destructivas. ¿Está lo peor por 
llegar?

Más información y referencias:

Next-Gen Windows Worms Will Be Smarter:
http://www.pcworld.com/news/article/0,aid,111992,00.asp

Asia Grapples with Variants of Blaster Worm:
http://www.boston.com/business/technology/articles/2003/08/14/asia_grapples_with_variants_of_blaster_worm

Self-Propagating Worm Spreads:
http://www.pcworld.com/news/article/0,aid,111965,00.asp

Lovsan, Blaster o MSBlast. Una pesadilla anunciada:
http://www.vsantivirus.com/ev12-08-03.htm



 

More information about the hacking mailing list