GETOVERX FORUM Community Support   ›   Malware Docs   ›   Gusanos (Worms)   ›   WORM – Blaster

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
WORM – Blaster
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 03:46 PM (This post was last modified: 12-07-2025, 03:32 PM by mrwebfeeder.)
Nombre: MSBlast / Blaster

Categoría: Gusano (worm) de red

Fecha de descubrimiento: 2003

Vulnerabilidad relacionada (RPC DCOM):
- Explota la vulnerabilidad en el servicio RPC DCOM de Windows descrita en:
Code:
CVE-2003-0352 (MS03-026)

Comportamiento (lo que hace y cómo se propaga):
- Escanea direcciones IP aleatorias y/o dentro del mismo segmento de red buscando equipos vulnerables en el puerto TCP 135 (RPC).
- Envía un exploit al servicio RPC DCOM para ejecutar código remoto en el sistema objetivo sin autenticación.
- Al comprometer el equipo, copia el gusano (típicamente como msblast.exe u otro nombre similar) y lo ejecuta.
- Intenta usar TFTP en el puerto TCP/UDP 69 para transferir el binario a máquinas vulnerables.
- Abre un backdoor en el puerto TCP 4444 para recibir comandos o completar la infección.
- Provoca inestabilidad en el servicio RPC, lo que genera el mensaje de error “El servicio de procedimiento remoto (RPC) se ha cerrado de manera inesperada” y el reinicio del sistema Windows.
- Produce saturación de la red por el tráfico de escaneo constante hacia otros equipos.

Persistencia:
- Copia el binario del gusano en el sistema (por ejemplo en %WINDIR%\system32\msblast.exe u otra ruta).
- Crea entradas de registro para ejecutarse en cada inicio de sesión, por ejemplo:
Code:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msblast.exe
- Se mantiene activo en memoria realizando escaneos continuos a otras direcciones IP, incluso si el usuario no realiza ninguna acción.

Hash real de referencia (SHA-256):
- Ejemplo de hash de una muestra pública:
Code:
4f3a813c90f9d3da9c6f88f1df525308c0e69b9b0f1e8de2c6c6c55570d43304

Mitigación con GetOverX Shield:
  • Antivirus:
    - Ejecutar un escaneo completo en todos los equipos Windows de la red, prestando especial atención a:
    - Archivos ubicados en %WINDIR%\system32.
    - Binarios con nombres sospechosos relacionados con “msblast”.
    - Cuarentenar o eliminar cualquier detección del gusano y de variantes relacionadas.
    - Revisar equipos con síntomas de reinicios constantes y errores del servicio RPC, ya que pueden indicar infección o daños residuales.

  • Firewall:
    - Bloquear en los endpoints y/o a nivel perimetral:
    - TCP 135 desde redes no confiables o entre segmentos que no necesiten RPC.
    - TCP 4444 para impedir el uso del backdoor.
    - Tráfico TFTP no autorizado (puerto 69).
    - Limitar el acceso RPC únicamente a servidores y estaciones que realmente lo requieran, con segmentación de red adecuada.
    - Registrar intentos de conexión repetitivos a puertos 135 y 4444 desde un mismo host, ya que puede tratarse de escaneo típico de gusano.

  • HIPS / EDR:
    - Crear reglas de comportamiento para:
    - Alertar cuando un proceso desconocido intente abrir muchos sockets hacia diferentes IPs en puertos 135/4444 en corto tiempo (patrón de gusano).
    - Detectar la creación o modificación de claves Run/RunOnce con rutas a ejecutables sospechosos en system32.
    - Supervisar reinicios inesperados asociados a fallos del servicio RPC como eventos de posible compromiso.
    - Configurar acciones automáticas para:
    - Bloquear y matar procesos que exhiban comportamiento de gusano.
    - Generar alertas de alta prioridad y registrar toda la actividad en los logs unificados.

  • Sandbox:
    - Analizar en Sandbox cualquier binario sospechoso que:
    - Abra conexiones salientes masivas hacia IPs aleatorias.
    - Intente conectarse o escuchar en los puertos 135, 4444 o 69.
    - Confirmar, en entorno aislado, si el archivo replica el comportamiento de MSBlast/Blaster antes de aplicar políticas globales de bloqueo.

  • Secure Erase / Limpieza avanzada:
    - Tras identificar los binarios del gusano, aplicar borrado seguro para:
    - msblast.exe y otros nombres equivalentes detectados.
    - Copias archivadas en directorios temporales o de descargas.
    - Asegurarse de eliminar también scripts o herramientas usadas para desplegarlo en entornos antiguos o segmentados.

  • Medidas posteriores al incidente:
    - Asegurarse de que todos los sistemas tengan instalado el parche de seguridad correspondiente al boletín MS03-026 (CVE-2003-0352) o versiones de Windows ya corregidas.
    - Revisar la configuración de actualizaciones automáticas para que futuras vulnerabilidades similares se mitiguen rápidamente.
    - Segmentar la red y limitar el tráfico entre estaciones de trabajo para reducir la posibilidad de propagación lateral.
    - Revisar la estrategia de copias de seguridad y restauración, garantizando que las imágenes base estén libres de la infección.

Notas opcionales:
- MSBlast / Blaster fue uno de los gusanos más famosos de principios de los 2000, responsable de interrupciones masivas en redes corporativas y domésticas debido a reinicios continuos de Windows y congestión de tráfico RPC.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)