Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

El gusano Worm.Win32.Opasoft provoca un escaneo masivo de ips

La expansión del gusano Worm.Win32.Opasoft por internet, provoca que las máquinas infectadas por este gusano hagan escaneos del puerto UDP 137 a subredes enteras de ip's.Esto ha producido un espectacular aumento de los logs de los firewalls, referentes a los escaneos por el puerto UDP 137. El origen de estos escaneos es tanto de ip's españolas como extranjeras (en el caso de España).

Las principales características de este gusano son:

- Apareció en septiembre de este año, y por lo visto esta bastante extendido.

- Para infectar y copiarse en las máquinas usa el protocolo Netbios. El puerto UDP 137 para averiguar si la posible máquina víctima tiene recursos compartidos, y si tiene recursos compartidos (con permiso de escritura), entonces usa el puerto TCP 139 para copiarse en el directorio WINDOWS de la víctima , con el nombre de scrsvr.exe. (Este gusano solo afecta a windows 9x)

- Por defecto se intenta copiar en la unidad C compartida de la víctima.

- Si hay un password para la unidad C compartida, el gusano hace un ataque de FUERZA BRUTA para adivinar el password. Pero el ataque solo lo realiza con un carácter !, debido a una vulnerabilidad en los passwords de los recursos compartidos de windows 9x. Si solo el primer carácter del password es correcto, windows permite la conexión al recurso compartido ...

- Cuando se ha copiado en la maquina, modifica el fichero WIN.INI para asi ejecutarse cada vez que se inicia el sistema.

- Una vez infectado el ordenador, el worm realiza un escaneo de toda la subred de la própia maquina , con el objectivo de copiarse y extenderse en otras maquinas con recursos compartidos. También escanea una subred por encima y otra por debajo. Por último hace un escaneo aleatorio de ip's.

Este gusano es ya una epidemia, debido principalmente a las personas en todo el mundo que comparten la unidad C (incluso sin contraseña y con control total !) sin ninguna medida de seguridad para protegerse de las intrusiones externas.

Dos posibles soluciones serían:

- En vez de usar el protocolo Netbios (que viaja sobre TCP/IP, por tanto es enrutable), usar el Netbeui.

- Seguir usando el Netbios, pero filtrando todo el tráfico procedente de internet por los puertos TCP y UDP 137, 138 y 139.

Saludos

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    A BUENAS HORAS NOS ENTERAMOS

    Sin animo d desacreditar la noticia llevamos algun tiempo hablando d ello n el foro d seguridad:

    http://www.bandaancha.st/foros.php?temid=44080 - (Casualmente mio)
    http://www.bandaancha.st/foros.php?temid=46102 - (Aqui fue carlospm)
    http://www.bandaancha.st/foros.php?temid=63312 - (Aqui le toco a xec)
    http://www.bandaancha.st/foros.php?temid=66768 - (El mas reciente, mismo autor q la noticia)

    Los q no esten registrados no podran ver los posts debido a q el foro d seguridad esta restringido...

    Desde mi punto d vista el autor d la noticia deberia ser Taronger ya q fue quien identificó el worm hace 2 meses, d no haber sido por el no habria noticia... por q no se han citado las fuentes? como se llamaba a llevarse el merito d otros?

    • Cerrado

      [vacío]

      A ver Lofter, es bien cierto que YO no he sido el que he descubierto este gusano, faltaria más ! :-P.

      Hace como un par de meses me extraño mucho que casi el 100 % de los escaneos que me avisaba el ZA fueran al UDP 137. Hace poco lei TODOS los posteos del tema:

      http://www.bandaancha.st/foros.php?temid=63312
      http://www.bandaancha.st/foros.php?temid=46102
      http://www.bandaancha.st/foros.php?temid=44080
      http://www.bandaancha.st/foros.php?temid=18740

      Indague un poco sobre el tema, y entonces decidi poner el post en el foro de seguridad sobre MI experiencia sobre el tema:

      http://www.bandaancha.st/foros.php?temid=66768

      En este post como ya sabes, explico todo bastante detallado (allí si que menciono TODAS mis fuentes).

      Como el post me salio bastante decente, decidi hacer una conversión, para enviarlo como noticia (el fallo fue no indicar mis fuentes)

      Pos eso entonando un mea culpa,

      Me despido

    • Cerrado

      [vacío]

      Siempre los foros deben estar más avanzados que las noticias... Los foros es el "geto" en sí, de la noticia alli se crea, luego sale a la luz en noticia.

      Tu tranqui que la gente que esta interesada en un tema en concreto, mira el foro determinado.

      El que no, pues mira de vez en cuando el weblog... ;)

1