Blaster explota la última gran vulnerabilidad de Windows
El Centro de Alerta Temprana sobre Virus y Seguridad Informática (CAT) ha situado a este gusano con la peligrosidad “cuatro” de una escala de cinco puntos posibles.
Tras varias semanas de expectación, en la pasada madrugada se detectó la aparición de un virus informático denominado Blaster que explota la última gran vulnerabilidad del sistema operativo Windows y que se está propagando a un ritmo importante, por lo que las compañías informáticas de todo el mundo se han apresurado a advertir a los usuarios sobre sus peligros.
Al contrario que la gran mayoría de gusanos, Blaster no infecta los ordenadores a través del correo electrónico, sino que circula por Internet buscando puertas de entrada (puertos) que le permitan adentrarse en las máquinas de los usuarios para que su creador puede hacerse con su control y dirigir ataques remotos.
El gusano, que también responde a los alias de Lovsan, Poza y MSBlast, ya ha afectado a miles de ordenadores de todo el mundo equipados con sistemas operativos Windows 2003, XP, 2000 y NT, mientras que Mac, Unix y Linux no se ven afectados.
La única solución pasa por descargarse el parche de Microsoft desde la dirección www.microsoft.com technet/treeview/?url=/technet/security/bulletin/MS03-026.asp ó, en el caso de ya haber sido infectado, limpiar los ordenadores con algunas de las herramientas que las compañías han ofrecido.
De cualquier modo, el gusano está constantemente escaneando direcciones IP y cuando encuentra un sistema vulnerable, que aún no ha sido infectado, le envía datos al puerto 135 con el fin de provocar lo que se conoce como desbordamiento de búffer en RPC DCOM, un fallo en las llamadas a procedimiento remoto que, en definitiva, supone que la máquina no pueda responder ante tanta demanda de información.
Una vez que Blaster se introduce en el ordenador, descarga una copia de sí mismo en el equipo (msblast.exe), al tiempo que el objetivo final del gusano es producir ataques de denegación de servicio (DoS) contra el sitio Web de Microsoft, windowsupdate.com, a partir del 16 de agosto. Para ello, Blaster enviará un paquete de tamaño 40 bytes a dicho sitio Web cada 20 milisegundos, a través del puerto TCP 80.
Asimismo, el código del gusano contiene dos mensajes significativos. Por un lado, lo que parece un guiño, aparentemente amoroso, por parte de su creador (“I just want to say LOVE YOU SAN!”) y, por otro, una crítica al fundador de Microsoft: “billy gates. why do you make this possible¿ Stop making money and fix your software” (Por qué haces que esto sea posible? Deja de hacer dinero y arregla tu software).