Desde el 4 de agosto, una nueva version del gusano Red Code, ahora en su tercera version (no II como dice la prensa), recorre la red. Las versiones periodisticas son mas alarmantes que con la version anterior. Y efectivamente este gusano es mas agresivo, pero a pesar de los reportes de dañosde algunos medios, este gusano tampoco esta diseñado para causar daños, aunque si deja expuesta la seguridad de los servidores de internet. Los daños que se reportan son las ganancias que las empresas dicen que estan dejando de ganar debido a la saturacion de la red, y al costo del personal para revisar sus sistemas

El remedio es sencillo, igual que con el gusano anterior, solo hay que aplicar el parche de seguridad de Microsoft, y recordar que solo afecta a servidores de paginas con IIS 4 o 5, por lo que el usuario normal no debe preocuparse, aunque si vera disminuida la velocidad de navegacion en los servidores infectados.

Curiosamente, algo que no reportan los medios es que mientras el gusano anterior tenia como proposito inutilizar la pagina de la casa blanca y difundir un mensaje "pro chino", esta nueva version (escrita por otra persona) esta orientada a atacar de manera mas agresiva los servidores chinos. Debido a la rigida censura del gobierno chino sobre internet, sera dificil saber si tiene éxito o no.

Hay que recordar que la mayor parte de los sitios de internet estan alojados en servidores que utilizan Apache en lugar de IIS, por lo que son inmunes a este gusano.

Javier Delgado

1. i. Red Code Gusano version 3

nombre: redcode v3
alias: redcode.c, baddy, coderedII, coderedIII, W32.Bady.C
tipo : gusano
infeccion: sistemas windows 2000, con IIS version 4 o 5,
sin parche de seguridad
daño: compromete la seguridad del servidor y deja
expuesto su contenido.

Resumen:

Este gusano se conoce como una variante del redcode V2, debido a que utiliza la misma tecnica para atacar a los servidores, sin embargo fue escrito por otra persona con mejores conocimientos de programacion, pues según los expertos, el codigo es mas pequeño y eficiente, y corrige varios defectos del gusano anterior. Esta escrito en lenguaje ensamblador. Ademas trata de generar una puesta trasera y de insertar un caballo de troya en los directorios raiz de las particiones C: y D: A diferencia de el gusano anterior, que en los sistemas de computo en ingles insertaba un mensaje pro chino en las paginas de internet, el nuevo gusano se activa de manera distinta si el servidor esta en chino, o chino simplificado, volviendose mas agresivo. Para evitar el gusano hay que aplicar los ultimos parches de seguridad de Microsoft, pues utiliza un defecto del IIS para poder introducirse al servidor.

El gusano escanea de manera activa la red, buscando servidores de Internet, y tratando de introducirse a través de un defecto, en el Internet Information Server, este defecto permite que el gusano tome control de la maquina e inserte su código. Una ves que logra infectar una maquina genera 300 subprogramas que se dedican a tratar de localizar y atacar otros servidores, esta actividad dura 24 horas después de lo cual resetea la maquina. Si el gusano detecta que el lenguaje del servidor es el chino, entonces genera 600 subprogramas y se mantiene durante 48 horas. Por otra parte crea una puerta trasera copiando el programa cmd.exe (que es parte del sistema operativo) a dos directorios del IIS, esto permite que desde Internet se pueda tener acceso directo a las funciones del sistema. También intenta instalar un caballo de Troya llamado explorer.exe en los directorios raíz de las particiones C: y D: que facilita el acceso al sistema. Finalmente tiene una orden para que después de octubre , en lugar de infectar una maquina, simplemente la resetee, lo que asegura que el gusano dejara de progarse para esa fecha .

Eliminación:

El gusano se elimina de memoria con solo apagar y encender el servidor. Además hay que remover el archivo cmd.exe de los directorios del IIS y el archivo explorer.exe de los directorios raíz (mide 8192 bytes). El archivo cmd.exe es un archivo del sistema y no hay que removerlo del directorio de Windows, igual que el explorer.exe Despues hay que asegurarse de instalar el parche del sistema de Microsoft mencionado en el boletin 46, o el servidor puede ser infectado de nuevo.