Diverses organitzacions, com ara ISS, Kaspersky Labs i incidents.org, informen de l'existència d'un nou cuc que recorda en certa mesura a “Code Red”. Ara bé, les anàlisis que s'han efectuat fins ara semblen indicar que no tindrà pas una incidència tant important al seu predecessor. “Code Blue” no és un cuc resident a la memòria com “Code Red”. Això fa que la seva detecció sigui molt més senzilla. És distribuït dins d'un fitxer .DLL (biblioteca d'enllaç dinàmic) i executat per un fitxer .EXE. En el que sí s'assembla a “Code Red” és en el mètode de propagació. Un cop que s'ha infectat un sistema, “Code Blue” iniciarà aproximadament 100 processos que faran una cerca d'altres sistemes vulnerables on es pugui copiar el cuc. “Code Blue” inicia la cerca a les adreces IP “properes” amb l'objecte de reduir les peticions a xarxes IP no encaminables. Inclou també una porció de codi per tal d'evitar la reinfecció de un sistema ja infectat. “Code Blue” no sembla pas tenir cap intenció destructiva o malèvola. No esborra cap fitxer del sistema ni instal·la cap porta secreta (backdoor) al sistema infectat. Ara bé, té un notable impacte al rendiment del sistema afectat. El cuc instal·la un programa escrit en Visual BASIC Script (d.vbs) que esborra els mapatges dels fitxers “.ida”, “.idq” i “.printer” i després s'auto-esborra. Una possible explicació d'aquesta acció és la d'evitar la infecció del sistema per part de “Code Red” o bé per prevenir qualsevol altra atac que faci servir la vulnerabilitat .IDA del Microsoft IIS. Cada dia, entre les 10:00 i les 11:00 (hora GMT), el cuc realitzarà un atac de denegació de servei (enviament massiu de paquets) contra una adreça IP específica, que correspon als sistemes d'una empresa de seguretat informàtica de la Xina. “Code Blue” utilitza la vulnerabilitat anomenada “Web Server Folder Traversal”, per la qual Microsoft va publicar una actualització l'octubre de 2000. Aquesta actualització, a més, també està inclosa al Service Pack 2 de Windows 2000 i al Security Rollup Package (SRP) per a Windows NT 4.0. Això fa preveure que la incidència d'aquest cuc serà bastant reduïda. “Code Blue” fa servir diverses cadenes per a l'atac contra els sistemes, amb diferents caràcters codificats, però el mètode d'escaneig si que és uniforme: el cuc envia una petició HTTP (HEAD) contra el servidor i inspecciona la resposta. Si el servidor remot és un IIS, envia una segona petició HTTP (GET) on intenta explotar la vulnerabilitat. Aquesta segona petició té un aspecte similar al següent: GET /.. [caràcters codificats] ../winnt/system32/cmd.exe?/c+dir Recomanacions Si encara hi ha un administrador d'un servidor IIS que no ha instal·lat aquesta actualització, cal seguir aquests passos: Eliminació de “Code Blue” d'un ordinador infectat - Amb REGEDIT, localitzar la clau
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
- Localitzar i esborrar l'entrada corresponent a C:\SVCHOST.EXE
- Sortir de REGEDIT.
- Esborrar el fitxer C:\SVCHOST.EXE
- Esborrar qualsevol còpia de D.VBS existent al sistema.
- Reiniciar l'ordinador.
Més informació Avís de Kaspersky Labs
http://www.kaspersky.com/news.asp?tnews=0&nvView=1&id=
228&page=0 Hispasec 20-10-00: Una grave vulnerabilidad afecta a todos los servidores IIS
http://www.hispasec.com/unaaldia.asp?id=726 Butlletí de Microsoft: “Microsoft IIS 4.0 / 5.0 Extended UNICODE Directory Traversal Vulnerability”
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
| 
