Aparecido el 17 de diciembre de 2002, W32/Lioten (también conocido como Iraq_oil), no se difunde a través de correo electrónico como viene siendo lo general en la última generación de virus. En su lugar, escanea en Internet equipos Windows 2000, XP y NT que tengan carpetas compartidas con otros usuarios y que no tengan instalados firewalls de protección.

Una vez localizado un sistema apropiado, el gusano averigua la contraseña de Windows, realiza el acceso al equipo y se copia como un archivo EXE de nombre, por lo general IRAQ_OIL, desarrollado en Visual C++, con una extensión de cerca de 17 KB y comprimido con la utilidad UPX (Ultimate Packer for eXecutables).

Una vez que el archivo ingresa a un sistema, se auto-copia a la carpeta del sistema operativo como iraq_oil.exe, luego crea 100 hilos ejecutables (procesos de sistema que tienen una duración infinita hasta que terminen su ciclo) y captura las direcciones IP, las cuales usa para copiarse dentro de una Red Local con el nombre del archivo infectado.

El gusano emplea la función NetScheduleJobAdd del netpi32.dll para poder ejecutarse en fechas y horas determinadas. Esta librería API (Application Program Interface) tiene las siguientes funciones: NetScheduleJobAdd, NetUserEnum, NetRemoteTOD y NetApiBufferFree.

Para activarla es necesario que sus tareas sean iniciadas en una determinado sistema y esta función solo es aplicable a sistemas basados en tecnología NT, consecuentemente no afecta a Windows 95/98/Me.

Para este propósito hace uso del SMB (Server Message Block) que es un protocolo de peticiones y respuestas en bloque que permite compartir archivos, impresoras, dispositivos de conectividad y correo, para cuyo propósito intenta conectarse a las direcciones IP capturadas de la red local.

El gusano usa el puerto 445 (los firewalls por lo general previenen el acceso a este puerto) para conectarse a este servicio SMB con la instrucción \IPC$ share, emplea la función NetUserEnum para capturar los nombres de los usuarios de red a la cual ingresó y aleatoriamente usa estas claves de acceso registradas en su código:

· server

· !@#$%^&*

· !@#$%^&

· !@#$%^

· !@#$%

· asdfgh

· asdf

· !@#$

· 1

· 654321

· 123456

· 1234

· 123

· 111

· root

· admin

El acceso a los sistemas es realizado a causa de otra vulnerabilidad denominada Null Session Password Atack que permite al intruso obtener listas de equipos, de unidades y archivos compartidos y, identifdades tando de los servidores como de sus usuarios.

Su payload consiste en activarse cada 2 minutos, auto-copiándose en bloques a todas las estaciones de trabajo y servidores conectados sin que el administrador o usuarios que comparten una Red Local (LAN) se percaten con lo cual ocasionará una Negación de Servicio (DoS) por saturación.

Por otro lado, nada impedirá que este gusano infecte otros sistemas que de uno u otro modo se conecten a la LAN infectada bajo cualquiera de los servicio de Internet o Extranets tales como correo, IRC, ICQ, Mensajería Instantánea, Redes compartidas Peer to Peer, FTP, etc.

El parche para la vulnerabilidad SMB (Server Message Block) puede ser descargado desde la dirección web: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-070.asp