2/15/2017 BlasterInformacinsobreelvirusBlasterPandaSecurity

PARTICULARES MICROEMPRESAS EMPRESAS SOPORTE MI CUENTA

Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Blaster
Peligrosidad Dao Propagacin

De un vistazo Detalles tcnicos Solucin

Efectos
Blaster realiza las siguientes acciones:
Realiza ataques de denegacin de servicio (DoS) contra el sitio web
windowsupdate.com durante los das 15 a 31 de cada mes, y durante todos los das de
los meses de septiembre a diciembre de cualquier ao.
Puede llegar a provocar el bloqueo y reinicio del ordenador atacado, debido a errores de
codicacin del gusano.
Provoca un aumento del trco de red por los puertos TCP 135 y 4444, y UDP 69.
Metodo de Infeccin
Blaster crea el archivo MSBLAST.EXE en el directorio de sistema de Windows. Este archivo es
una copia del gusano.
Blaster crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
windowsautoupdate=msblast.exe
De esta manera, consigue ejecutarse cada vez que se inicie Windows.
Blaster realiza el siguiente proceso de infeccin:
El gusano crea un mutex llamado BILLY para comprobar que se encuentra activo. Blaster
verica que la versin de Winsock del sistema sea 1.00, 1.01 2.02, y que haya una
conexin vlida a Internet; en caso de que no haya conexin, entra en un bucle que
realiza dicha comprobacin cada 20 segundos.
Blaster genera direcciones IP aleatorias de forma sucesiva, empezando por la red donde
se encuentra el ordenador donde se est ejecutando, y pasando despus a la siguiente
red de clase B (redes con mscara de subred 255.255.0.0).
Blaster intenta aprovechar en la mquina remota, identicada mediante la anterior
direccin IP, la vulnerabilidad conocida como Desbordamiento de bffer en interfaz RPC.
Si lo consigue, Blaster lanza una sesin remota y obliga al ordenador atacado a realizar
una conexin desde el puerto TCP 4444 de la mquina atacada al puerto UDP 69 de la
mquina atacante.
Cuando se establece dicha conexin, el ordenador atacado descarga a travs de TFTP
una copia del gusano. Para ello, el propio gusano incorpora un servidor TFTP.
Una vez nalizada la descarga, procede a la ejecucin remota del archivo enviado, lo cual
provoca que el gusano pueda tambin propagarse desde el equipo atacado.
Mtodo de Propagacin
http://www.pandasecurity.com/mexico/homeusers/securityinfo/40369/information/Blaster 1/2
2/15/2017 BlasterInformacinsobreelvirusBlasterPandaSecurity
Blaster se propaga atacando direcciones IP generadas aleatoriamente. Estas direcciones IP
pertenecen tanto a la red en la que se encuentra el ordenador atacado, como a redes de
clase BPARTICULARES
(cuya mscara de subred es 255.255.0.0). EMPRESAS
MICROEMPRESAS SOPORTE MI CUENTA
Blaster intenta aprovechar en dichas direcciones IP la vulnerabilidad conocida como
Desbordamiento de bffer en interfaz RPC. En caso de conseguirlo, descarga en el ordenador
atacado una copia de s mismo, para lo cual incorpora su propio servidor TFTP.
Otros Detalles
Blaster est escrito en lenguaje Ensamblador. Este gusano tiene un tamao de 6176 Bytes
cuando est comprimido mediante UPX, y de 11296 Bytes una vez descomprimido.
El cdigo de Blaster contiene las siguientes cadenas de texto, aunque no son mostradas en
ningn momento:
IjustwanttosayLOVEYOUSAN!!
billygateswhydoyoumakethispossible?Stopmakingmoneyandfix
yoursoftware!!

PRODUCTOS DESCARGAS PARTNERS ACERCA DE PANDA

Para Particulares Particulares Distribuidores Concenos
Para Empresas Empresas Aliados Tecnologa Panda Security
Poltica de Devolucin Reseas
Empleos y Prcticas
Panda en el Mundo
Apoyo a la innovacin
BLOG SOPORTE
Panda Security 2017 | Poltica de privacidad | Aviso legal | Panda Worldwide

http://www.pandasecurity.com/mexico/homeusers/securityinfo/40369/information/Blaster 2/2