Worms Blaster teekids

CERT® Advisory CA-2003-20 Worm W32/Blaster
Data original de lançamento: 11 de agosto de 2003 Última Revisão: 14 de agosto de 2003 Origem: CERT/CC
Um histórico completo das revisões pode ser encontrado ao final deste documento.
Sistemas Afetados
Microsoft Windows NT 4.0
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

Resumo
O CERT/CC está recebendo relatos de uma atividade amplamente disseminada, relacionada a um novo código malicioso conhecido como W32/Blaster. Este worm parece explorar vulnerabilidades conhecidas na Interface RPC (Remote Procedure Call) da Microsoft.

I. Descrição
O worm W32/Blaster explora uma vulnerabilidade na interface DCOM RPC da Microsoft como descrito em VU#568148 e CA-2003-16. Após ter sido executado com sucesso, o worm tenta trazer uma cópia do arquivo msblast.exe da máquina previamente comprometida. Assim que este arquivo é trazido, o sistema que foi comprometido executa-o e inicia uma varruda procurando por outros sistemas vulneráveis para comprometê-los da mesma maneira. Durante o processo de propagação, uma sessão TCP na porta 135 é utilizada para executar o ataque. Entretanto, acessos às portas 139/TCP e 455/TCP também podem prover vetores de ataque e devem ser consideradas quando houver aplicação de estratégias para a redução de riscos. A Microsoft publicou informações sobre esta vulnerabilidade no "Microsoft Security Bulletin MS03-026".
Testes em laboratório confirmaram que o worm inclui a funcionalidade de lançar um ataque de negação de serviço do tipo TCP SYN flood contra o site windowsupdate.com. Nós estamos investigando as condições sob as quais este ataque pode se manifestar. A ocorrência de tráfego incomum ou inesperado para windowsupdate.com pode indicar uma infecção em sua rede, deste modo, você pode ter interesse em monitorar o tráfego de rede.
Os sites que não utilizam o windowsupdate.com para gerenciar correções podem desejar bloquear o tráfego de saída para windowsupdate.com. Na prática, isto pode ser difícil de ser realizado, pois o windowsupdate.com pode não resolver para o mesmo endereço todas as vezes. Para bloquear corretamente o tráfego para o windowsupdate.com é necessário um entendimento detalhado da arquitetura de roteamento de sua rede, das necessidades de gerenciamento dos sistemas e do ambiente de resolução de nomes. Você não deve bloquear o tráfego para windowsupdate.com sem um profundo entendimento de suas necessidades operacionais.
Nós estamos em contato com a Microsoft a respeito da possibilidade deste ataque de negação de serviço.

II. Impacto
Um atacante remoto pode explorar estas vulnerabilidades para executar código arbitrário com os privilégios de "Local/System" ou causar uma condição de negação de serviço.

III. Solução
(NOTA: Instruções detalhadas para recuperação de sistemas Windows XP de uma contaminação pelo worm W32/Blaster podem ser encontradas no documento "W32/Blaster Recovery Tips")
Aplicar correções
Todos os usuários são encorajados a aplicar as correções descritas no "Microsoft Security Bulletin MS03-026", tão rápido quanto possível, para diminuir o risco da vulnerabilidade descrita na VU#568148. Estas correções também estão disponíveis através do serviço "Windows Update" da Microsoft.
Os sistemas que executam o Windows 2000 ainda podem estar vulneráveis a pelo menos um ataque de negação de serviço através da vulnerabilidade descrita em VU#326746, se seu serviço DCOM RPC estiver disponível através da rede. Deste modo, os sites são encorajados a utilizar as dicas de filtragem de pacotes abaixo em adição à aplicação das correções fornecidas no documento MS03-026.
Foram recebidas informações de que algumas máquinas afetadas não são capazes de permanecer conectadas à rede pelo tempo necessário para fazer o "download" das correções da Microsoft. Para as máquinas nesta situação, o CERT/CC recomenda o seguinte:

1. Desconecte fisicamente o sistema da rede.

2. Verifique o sistema à procura de sinais de comprometimento.
· Na maioria dos casos, a infecção será indicada pela presença da chave do registry"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update" com o valor de msblast.exe. Outros valores possíveis incluem teekids.exe e penis32.exe. Se esta chave estiver presente, remova-a utilizando um editor de registry.

3. Se a máquina estiver infectada, finalize a cópia do msblast.exe, teekids.exe ou penis32.exe que estiver em execução utilizando o Task Manager.

4. Procure pelos arquivos msblast.exe, teekids.exe e penis32.exe, e delete-os.

5. Execute um dos seguintes passos para proteger o sistema de um comprometimento antes da instalação da correção da Microsoft:

Obs: Procedimentos Realizados por min e com segurança

· Desabilite o DCOM como descrito no boletim MS03-026 e no artigo 825750 do "Microsoft Knowledge Base".
· Habilite o ICF (Internet Connection Filter) da Microsoft ou outro programa de filtragem de pacotes para bloquear conexões de entrada para a porta 135/TCP. Informações sobre o ICF estão disponíveis no artigo 283673 do "Microsoft Knowledge Base".

6. Reconecte o sistema à rede e aplique as correções mencionadas no boletim MS03-026.
A Trend Micro, Inc. publicou uma lista com passos para cumprir estes objetivos. A Symantec também publicou uma lista com objetivos semelhantes.