Virus DOWNADUP
La compañía de programas informáticos Microsoft ha puesto precio a la cabeza del hacker que desarrolló el virus Downadup: 250.000 dólares. Esa es la cantidad que la compañía estadounidense pagará a quienes aporten información relevante sobre los creadores del Downadup, un virus de tipo gusano que aprovecha un fallo de seguridad del sistema operativo Windows para extenerse a gran velocidad por la Red y causar grandes daños los equipos. (unos 195.000 euros).
Este virus ha llegado a infectar hasta 3.5 millones de equipos y servidores basados en Windows.
Aunque Microsoft ha desarrollado un parche para reparar el fallo que ha dado lugar a la difusión del virus, la infección de un solo ordenador conectado a una Red puede dar lugar a la infección de todos los equipos conectados a él, pudiendo reinfectar máquinas ya revisadas.
La recompensa, en cuyo pago colaboran varias empresas del sector, se abonará a aquellas personas que aporten datos que lleven de forma determinante a la detención de los responsables de la creación del virus. El precedente más conocido es el de Sven Jaschan, programador del virus Sasser en 2004, con sólo 17 años, que fue detenido detenido en Alemania tras ser denunciado por sus vecinos.
Como funciona W32/Downadup
Downadup es un gusano residente en memoria, reportado el 24 de Noviembre del 2008 que se propaga explotando la vulnerabilidad del Servicio de Servidor RPC, que permite la ejecución de códigos arbitrarios en forma remota.
Infecta a Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de 62,976 bytes y comprimido con rutinas propias.
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250
- http://www.securityfocus.com/archive/1/archive/1/497816/100/0/threaded
Una vez ingresado al sistema se copia a la siguiente ruta:
%System%\[nombre_aleatorio].dll
Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters]
“ServiceDll” = “[Ruta_al_gusano]“
System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. Al siguiente inicio del equipo, el gusano borra cualquier punto de Restauración creado por el usuario y genera el siguiente servicio:
Nombre: netsvcs
Ruta de imagen: %SystemRoot%\system32\svchost.exe -k netsvcs
Luego revisa redes externas buscando explotar la vulnerabilidad del Servicio de Servidor RPC (MS08-067) y se conecta a los siguientes URLs para obtener la dirección IP del sistema infectado:
http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org
A continuación se conecta a la siguiente dirección web y descarga un malware, el cual ejecuta:
http://trafficconverter.biz/4vir/antispyware/[Removido]
El gusano crea un servidor HTTP en el puerto TCP 80 u 8080 y envia esa dirección a sistemas remotos. Si logra explotar la vulnerabilidad RPC, la computadora remota se conectará a ese URL y descargará una copia del gusano. De tal modo que cada sistema vulnerado podrá propagar el gusano por sí mismo.
Seguidamente el gusano se conecta a un ruteador UPnP (plug & play), abre el puerto TCP 80 (HTTP) y ubica la red registrada como puerta de entrada a Internet (Gateway), permitiendo que intrusos puedan ingresar al equipo infectado desde redes externas. El gusano intenta descargar un archivo de datos desde el siguiente URL:
http://www.maxmind.com/download/geoip/database/Geo[Censurado]
Para obtener la fecha del día vigente, el gusano se conecta a las siguientes direcciones web:
- http://www.w3.org
- http://www.ask.com
- http://www.msn.com
- http://www.yahoo.com
- http://www.google.com
- http://www.baidu.com
La información es usada para generar una lista de dominios, a los cuales se conecta el gusano para descargar archivos adicionales.
Para mayor información y descarga del parche correspondiente visita:
Además del parche de Microsoft herramienta de desinfección, que puedes bajar de ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip, una herramiente de desinfección. F-Secure ha publicado una lista actualizada de los dominios empleados por las variantes del gusano, disponible en http://www.f-secure.com/weblog/archives/downadup_domain_blocklist.txt. Las listas negras son de especial utilidad en este tipo de eventos maliciosos masivos, ya que permiten dotar a los productos perimetrales de filtrado de referencias a bloquear, medida esencial si se pretende contener el daño o minimizar los riesgos de sufrir una contaminación.