Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios
Regístrate Identifícate

Cerrado

El gusano Worm.Win32.Opasoft provoca un escaneo masivo de ips

La expansión del gusano Worm.Win32.Opasoft por internet, provoca que las máquinas infectadas por este gusano hagan escaneos del puerto UDP 137 a subredes enteras de ip's.Esto ha producido un espectacular aumento de los logs de los firewalls, referentes a los escaneos por el puerto UDP 137. El origen de estos escaneos es tanto de ip's españolas como extranjeras (en el caso de España).

Las principales características de este gusano son:

- Apareció en septiembre de este año, y por lo visto esta bastante extendido.

- Para infectar y copiarse en las máquinas usa el protocolo Netbios. El puerto UDP 137 para averiguar si la posible máquina víctima tiene recursos compartidos, y si tiene recursos compartidos (con permiso de escritura), entonces usa el puerto TCP 139 para copiarse en el directorio WINDOWS de la víctima , con el nombre de scrsvr.exe. (Este gusano solo afecta a windows 9x)

- Por defecto se intenta copiar en la unidad C compartida de la víctima.

- Si hay un password para la unidad C compartida, el gusano hace un ataque de FUERZA BRUTA para adivinar el password. Pero el ataque solo lo realiza con un carácter !, debido a una vulnerabilidad en los passwords de los recursos compartidos de windows 9x. Si solo el primer carácter del password es correcto, windows permite la conexión al recurso compartido ...

- Cuando se ha copiado en la maquina, modifica el fichero WIN.INI para asi ejecutarse cada vez que se inicia el sistema.

- Una vez infectado el ordenador, el worm realiza un escaneo de toda la subred de la própia maquina , con el objectivo de copiarse y extenderse en otras maquinas con recursos compartidos. También escanea una subred por encima y otra por debajo. Por último hace un escaneo aleatorio de ip's.

Este gusano es ya una epidemia, debido principalmente a las personas en todo el mundo que comparten la unidad C (incluso sin contraseña y con control total !) sin ninguna medida de seguridad para protegerse de las intrusiones externas.

Dos posibles soluciones serían:

- En vez de usar el protocolo Netbios (que viaja sobre TCP/IP, por tanto es enrutable), usar el Netbeui.

- Seguir usando el Netbios, pero filtrando todo el tráfico procedente de internet por los puertos TCP y UDP 137, 138 y 139.

Saludos