FANDOM


Blaster, también conocido como Lovesan, es un gusano de internet. Creó estragos a fines del verano de 2003 con ataques generalizados de Denegación de Servicio Distribuido (DDoS), con un total de cientos de millones de daños.

También es notable por dos cadenas de texto ocultas, una que dice "¡Solo quiero decir LOVE YOU SAN!" (del cual recibe uno de sus alias) y un mensaje para el propietario de Microsoft Bill Gates que dice "Billy Gates, ¿por qué haces esto posible? ¡Deja de ganar dinero y arregla tu software!" Apareció en menos de un mes antes de una de las principales variantes del gusano Sobig.

Comportamiento

El sistema recibirá un código que explota una vulnerabilidad DCOM RPC (descrita en el Boletín de seguridad de Microsoft MS03-026) del gusano Blaster en una computadora ya infectada que ingresa a través del puerto TCP 135. Hay un 80% de posibilidades de que el gusano envíe código de explotación específico a Windows XP un 20% que será específico para Windows 2000. Si el código de explotación no coincide con el sistema, el subsistema RPC fallará. En Windows XP y Server 2003, esto provoca un reinicio del sistema. En Windows 2000 y NT 4.0, esto hace que el sistema no responda.

Después de que el código de explotación se envía con éxito a la máquina de destino, el objetivo abre un shell de comando remoto que escucha en el puerto TCP 4444. El gusano en la computadora infectante inicia un servidor del Protocolo de transferencia de archivos triviales (TFTP) que escucha en el puerto UDP 69. Envía un comando a la máquina de destino a través del puerto 4444 para descargar el gusano y ejecutarlo, luego desconecta inmediatamente ese puerto.

En la computadora de destino, el shell de comandos se cierra y emite un comando TFTP "get", que descarga el gusano de la carpeta del sistema de la máquina infectante a través del puerto 69 y lo ejecuta. Después de descargar el gusano, el gusano en la computadora infectante cerrará el servidor TFTP.

Cuando se ejecuta, Blaster agrega el valor "windows auto update = msblast.exe" a la clave de registro de la máquina local que hace que el gusano se ejecute cuando se inicia Windows (el valor del registro también puede ser msblast.exe. ¡Solo quiero decir LOVE YOU SAN! ! bill) En otras versiones de Blaster agregaría valor mslaugh.exe en lugar de msblast.exe. Intenta crear un mutex llamado BILLY y abortará si encuentra uno que ya se está ejecutando, evitando la infección de una computadora más de una vez. Comprueba la versión de Winsock , solo funciona en las versiones 1.0, 1.01 y 2.02. Si Blaster encuentra una conexión de red activa, comenzará a buscar nuevas máquinas para infectar. El gusano duerme durante intervalos de 20 segundos y se despierta para buscar nuevas máquinas para infectar.

Blaster utiliza dos métodos de búsqueda de direcciones IP para infectar nuevas máquinas. El primer método ocurrirá el 40% del tiempo, utilizando la dirección IP de la máquina infectada como su dirección base. Los dos primeros números de la dirección se dejan igual mientras que el cuarto valor se establece en cero y el gusano verifica el tercero. Si el tercer número en la dirección IP es mayor que 20, existe una probabilidad del 40% de que el gusano reste un número aleatorio que sea menor que 20 y cambie su dirección base a ese número. Por ejemplo, si la computadora infectada tiene una dirección IP de 201.27.173.80, el gusano puede decidir convertirla en 201.27.154.0 si decide disminuir el tercer número en 19. El gusano comenzará a incrementar el último número para escanear toda la subred. El segundo método ocurrirá el 60% del tiempo,

El gusano inicia una inundación SYN el 15 de agosto contra el puerto 80 de windowsupdate.com, creando un ataque DDoS distribuido contra el sitio después del 16 de agosto. También puede realizar uno del 15 al último día de cada mes de enero a agosto y cualquier día de septiembre a diciembre.

Aunque Blaster no puede extenderse a Windows o Windows Server 2003 de 64 bits, las computadoras sin parches que ejecutan estos sistemas operativos pueden hacer que el Servicio de Llamada a Procedimiento Remoto se bloquee como resultado de los intentos del gusano de explotarlas, haciendo que el sistema se reinicie después de 1 minuto y algunos efectos secundarios. Sin embargo, si el gusano se coloca y ejecuta manualmente en una computadora que ejecuta estos sistemas operativos, puede ejecutarse y propagarse.

El contenido de la comunidad está disponible bajo CC-BY-SA a menos que se indique lo contrario.