Ese proceso es fundamental para salir a internet. Puede que tengas un virus, que hace que se ralentize. Lee esto:
Nombre del virus: W32/CodeBlue.worm
Fecha de descubrimiento: 07 de Septiembre de 2001
Alias: W32.CodeBlue, W32/CodeBlue.worm, IIS-Worm.BlueCode, CodeBlue, TROJ_BLUECODE.A, BLUECODE, VBS_BLUECODE.A, TROJ_BLUECODE.B, W32.BlueCode.Worm.
Origen: Desconocido
Tipo: Gusano
Subtipo: Gusano de internet
Peligrosidad: Baja
Tamaño: 89595 bytes (el conjunto de sus tres archivos.)
Características del virus: Gusano que utiliza y saca provecho del conocido IIS Web Directory Traversal. Infecta los sistemas Windows NT/2000 que son ejecutados por el servidor IIS .
Gusano que usa como blanco sitios Web con el MS Internet Information Servers (IIS), instalado. Se propaga desde los sitios infectados, a otros sitios que reúnan las características antes mencionadas, enviando y luego ejecutando esos archivos, a través de una conocida vulnerabilidad descubierta en octubre del 2000, denominada "Web server folder traversal vulnerability".
Los archivos que se envían, siempre tienen el mismo nombre: SVCHOST.EXE y HTTPEXT.DLL. Están presentes en las carpetas SYSTEM32. SVCHOST.EXE es una aplicación Win 32. A continuación crea sus copias en la unidad C:
C:\SVCHOST.EXE y C:\HTTPEXT.DLL
Modifica también el registro de Windows para que SVCHOST pueda autoejecutarse en el reinicio de Windows.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Domain Manager = C:\svchost.exe
El archivo EXE, creará 100 threads (hilos) que abrirán 100 puertos diferentes para establecer conexiones UDP.
Luego crea y llama al siguiente script en Visual Basic: C:\D.VBS
Si la aplicación INETINFO.EXE está activa, la finaliza. Luego, el script busca los servicios Indexing Service, Indexing Query y el mapeado de impresoras en red, y los quita. En concreto, este script deshabilita los servicios .ida, .idc y .printer services. De esta manera el gusano impide que posibles brechas en la seguridad continúen siendo usadas, o puedan ser usadas en el futuro. Una vez activos, los 100 threads escanearán direcciones IP tomadas al azar.
En un 50% de los casos, la computadora atacada estará en la misma red, y las direcciones IP tendrán estas características: "aa.bb.??.??", donde "aa.bb" es parte de la dirección IP de la máquina infectada, y "??" es un número al azar.
El otro 50% serán direcciones totalmente elegidas al azar.
El ataque se produce a través del exploit de una vieja vulnerabilidad: Web Directory Traversal Vulnerability
En cada uno de los 100 hilos creados, el gusano chequeará la hora del sistema, y entre las 10 y las 11 de la mañana de cualquier día, intentará realizar un ataque coordinado de negación de servicio a la dirección IP 211.99.196.135 (www.nsfocus.com) Esta dirección pertenece a una empresa de seguridad china. En el resto del horario, intentará propagarse a si mismo buscando servidores vulnerables.
El gusano no libera los recursos utilizados, haciendo que el sistema pueda llegar a colapsar, produciendo la caída del servidor.
Comentarios adicionales: Este virus, tiene fallos, uno de ellos es no liberar la memoria de los servidores, debido a esto, elimina las puertas abiertas, pero bloquea los servidores..
Indicaciones de infección: Existencia de los archivos SVCHOST.EXE y HTTPEXT.DLL.
Metodo de infeccion: Se propaga desde los sitios infectados, a otros sitios que reúnan las características necesarias.
