Gusano “Zotob” aprovecha vulnerabilidad en Plug-and-Play de Windows

La aparición de un agente de estas características era previsible, ya que hace unos días fueron publicados los detalles para explotar esta vulnerabilidad.

Actualización como prioridad

El gusano es capaz de infectar automáticamente los sistemas Windows 2000 que no hayan instalado la actualización MS05-0039, disponible desde el pasado martes.

Desde Hispasec aconsejamos a todos los usuarios mantengan sus sistemas puntualmente actualizados, y de forma especialmente urgente este mes en el caso de Windows. Tal y como adelantamos a las 18:30 del domingo a los suscriptores del servicio de alertas de virus de Hispasec por SMS ( http://www.hispasec.com/unaaldia/2400), el gusano se encuentraactivo, y aprovecha la vulnerabilidad en Plug-and-Play de Windows que puede ser explotada de forma remota por un usuario anónimo en sistemas Windows 2000.

La aparición de un gusano de estas características era previsible, ya que hace unos días fueron publicados los detalles para explotar esta vulnerabilidad junto a otras pruebas de concepto sobre ataques relativos a los parches de Windows del mes de agosto. Más detalles sobre las pruebas de concepto publicadas y la respuesta AV en http://blog.hispasec.com/laboratorio/22

Las casas antivirus de momento no dan protagonismo a “Zotob” en sus alertas y rankings, no en vano la propagación es muy discreta. El hecho de que infecte a través del puerto TCP/445 dificulta su propagación por Internet, ya que lo usual es que el puerto esté filtrado por los firewalls perimetrales.

Sin embargo, desde Hispasec queremos advertir sobre la posibilidad de que este gusano o uno similar llegue a redes corporativas, donde sin duda podría causar más estragos. No hace falta recordar los casos de infecciones en redes corporativas al conectar portátiles, o por estaciones de trabajo remotas, infectados por Blaster o Sasser.

Es por ello vital que los sistemas se mantengan puntualmente actualizados con los últimos parches disponibles. En esta ocasión es crítico en el caso de Windows, ya que se han publicado los códigos que permiten aprovechar varias de las últimas vulnerabilidades corregidas durante el mes de agosto.

“Zotob” es sólo una muestra de lo que puede hacerse al automatizar este tipo de ataques. No es la única, en las últimas horas están apareciendo nuevos especímenes que aprovechan la misma vulnerabilidad, como el caso de variantes de Sdbot o del propio Zotob, y tampoco debemos olvidar la posibilidad de ser víctimas de un ataque específico contra nuestro sistema.

Los usuarios domésticos pueden comprobar e instalar las últimas actualizaciones disponibles desde la dirección http://windowsupdate.microsoft.com

En el caso de los usuarios corporativos entendemos que el despliegue se hará de forma centralizada, por lo que instamos a los administradores a que aceleren el proceso.

Descripción de “Zotob”

Como hemos comentado, el gusano busca sistemas vulnerables que no hayan instalado el parche MS05-039. Para ello lanza 16 hilos para barrer aleatoriamente la clase B de la IP del sistema infectado en busca de sistemas con el puerto TCP/445 abierto.

Cuando encuentra un sistema vulnerable, aprovecha la vulnerabilidad en Plug-and-Play para abrir un shell en el puerto TCP/8888 del equipo de la víctima, a través del cual llama a FTP.EXE para realizar la descarga del gusano (archivo haha.exe) desde un servidor FTP hospedado en el puerto TCP/33333 del sistema previamente infectado desde el que partía el ataque.

Una vez se ejecuta el gusano en el nuevo sistema, crea el archivo botzor.exe en la carpeta de sistema de Windows y las entradas en el registro de Windows para asegurarse su ejecución en cada inicio de sistema: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun “WINDOWS SYSTEM” = “botzor.exe” HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

“WINDOWS SYSTEM” = “botzor.exe”

También modifica el archivo hosts del sistema para que los dominios Web de los antivirus apunten a la dirección 127.0.0.1 (localhost), como estrategia para impedir que los sistemas infectados puedan actualizar el antivirus o utilizar herramientas para su localización y desinfección.

Por último, “Zotob” intenta conectarse a un servidor IRC desde donde el gusano puede recibir órdenes de sus creadores, como descargar e instalar nuevas versiones del gusano.