Virus CodeRed.worm
| ||||
CodeRed.worm (Code Red) Comparado al malware moderno Code Red parece no ser tan peligroso, sin embargo en el 2001 sorprendió a expertos de seguridad en línea al utilizar una falla en el Servidor de Información de Microsoft, logrando bajar y cambiar algunos sitios web. El más memorable quizá fue el sitio de la Casa Blanca: whitehouse.gov y obligó también a otros sitios gubernamentales a bajar sus páginas momentáneamente.
Características
Virus CodeRed.worm, Alias: W32/Bady, CODERED.A, HBC, W32/Bady.worm es un Gusano de tamaño aproximadamente 4 Kb. Una de las características más singulares de este gusano, es que el mismo no modifica ninguna página HTML, ni copia archivo alguno con su código en la máquina infectada. Funciona siempre residente en memoria, e intercepta las funciones normales del servidor, para mostrar en lugar de la página HTML solicitada, la suya, creada a partir del código residente en la memoria. Esto hace que pueda ser sacado fácilmente, simplemente reiniciando la computadora infectada.
Infección
Este gusano, se propaga, explota una conocida vulnerabilidad en el archivo IDQ.DLL, de los servidores Microsoft IIS 5.0. Esta falla permite, mediante el aprovechamiento de un desbordamiento de búfer, la ejecución de código capaz de tomar el control del servidor web, a través de las extensiones ISAPI. El gusano CodeRed se propaga, escaneando servidores que corran IIS 5.0 (Internet Information Server), desde una lista de direcciones IP generada aleatoriamente. Cuando encuentra un servidor en alguna de esas direcciones, el gusano intenta ingresar al sistema a través del puerto 80, explotando la mencionada vulnerabilidad. Cuando ingresa en una computadora vulnerable, el gusano examina la existencia de un archivo C:\NOTWORM, (creado por el propio gusano bajo ciertas condiciones, si la máquina ya ha sido infectada). Si no existe, el gusano continúa su labor, de lo contrario puede permanecer residente. Solo infecta sistemas que se estén ejecutando en idioma inglés (Windows NT y 2000). Si se cumple esta condición, el gusano permanece latente por unas dos horas antes de dar sus siguientes pasos. Este lapso de tiempo, permite que el gusano se pueda propagar con mayor libertad antes que el usuario o el administrador del sitio, pueda detectar su presencia. En ese periodo, el gusano crea 100 threads simultáneos (tareas independientes, cada una consumiendo su propia memoria y recursos del procesador), y corre en cada una de ellas su propio código, en un bucle que usa para analizar la presencia de otras máquinas vulnerables, a las que pueda conectarse para infectarlas. Esta acción puede afectar la estabilidad del sistema, e incluso llegar a colapsarlo, como en un ataque de negación de servicio (D.o.S). En la segunda parte de su acción, el gusano busca el archivo KERNEL32.DLL, y se engancha a algunas funciones necesarias para su funcionamiento. Utiliza también las librerías INFOCOMM.DLL, W3SVC.DLL y WS2_32.DLL. Estos archivos están presentes en un sistema como el mencionado. Las funciones enganchadas, le permiten interceptar los requerimientos de los clientes (browsers) que visitan el sitio, mostrando en lugar de la página solicitada, una con el siguiente texto:
Welcome to http://www.worm.com ! Hacked By Chinese!
El sitio mencionado en esta página, no posee ninguna relación con los creadores del virus. Esta acción se produce durante las siguientes diez horas (si el gusano no es quitado antes por el administrador del sitio).
Efectos
Uno de sus efectos colaterales más importantes, es la fuerte degradación del funcionamiento del servidor atacado, debido a la cantidad de threads que se ejecutan al mismo tiempo, y al ancho de banda usado en la búsqueda de nuevas máquinas para infectar. Además, en algunas ocasiones, el gusano ejecuta estos threads hasta el agotamiento de todos los recursos del sistema, provocando la caída del mismo. Aunque a las 10 horas, el gusano termina por si mismo su ejecución, la infección puede volver a ocurrir en la misma máquina. Si la fecha actual, es cualquier día del mes, entre el 20 y el 28, el gusano intenta un ataque de negación de servicio a la dirección www.whitehouse.gov, enviando gran cantidad de datos basura al puerto 80. Finalmente, si la fecha es mayor al día 28, los diferentes threads creados en la primera etapa de la infección, quedan en un bucle infinito, causando la inestabilidad y posiblemente la caída de Windows.
Actualidad
Actualmente, el gusano está ocasionando varios problemas debido a la gran cantidad de escaneos (100 a la vez por computadora), realizados en cada uno de los servidores atacados (casi 30.000 según los últimos reportes), lo que genera una gran cantidad de tráfico. Son vulnerables todos los sistemas corriendo el servicio Microsoft Index 2.0, o Windows 2000 Indexing Service, que no han sido actualizados con los parches respectivos. La solución más evidente para quitar el gusano, como vimos, es resetear la computadora. La solución definitiva para que no vuelva a infectarse, es instalar los parches disponibles desde hace más de un mes en el sitio de Microsoft.
Parches disponibles
Windows NT 4.0:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
Windows 2000 Professional, Server y Advanced Server: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
