BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Escaneo masivo del puerto UDP 137 debido a un GUSANO !!

anthrax

Hola a todos, este es mi primer posteo en BA (espero que me salga bien :-P ).

Hace poco mas de un mes me puse en casa ADSL con YA.COM. Como tengo algunos conocimientos
de redes me puse el router 3Com OCR812 en monopuesto, para así poder instalar un firewall
(en mi caso me decanté por el ZA). Cual fue mi sorpresa al ver que recibia muchos escaneos
a mi puerto UDP 137 de muchas IP's de direferentes ISP's (tanto españolas como estranjeras).
Como era mi primera vez que instalaba y configuraba un firewall, no sabía muy bien si esto
es bastante "habitual", o sea, si era lo que se llama escaneos "aleatorios" de gente que no
tiene nada mejor que hacer :-o . Bueno el caso es que me extrañaba que casi el 100 % de los
escaneos fueran al puerto UDP 137.

Pasado un tiempo, me olvide del tema y lo deje aparcado. Pero hace pocos dias (mas bien ayer)
lei varios posteos de gente que le pasaba lo mismo que a mi, y en algunos de ellos comentaban
la posiblidad que fuera por culpa de un GUSANO. Los posts son los siguientes :

Ataques masivos al puerto del netBios
Ataques al puerto 137.
Semi reflexion semi filosofica
Anoche, algun pesadito me chequeaba el puerto 137 cada 10'

Mmm,... no solo me pasa a mi. Entonces decidí investigar un poco más el tema. Lo primero que
hice fue documentarme sobre el susudicho GUSANO, en este enlace se encuentra bastante
información del mismo:

(link roto)

Hos hare un resumen rapidito del GUSANO :

- Apareció alla por septiembre de este año, y por lo visto esta bastante extendido (no jodas..)

- Para infectar y copiarse en las maquinas usa Netbios. El puerto UDP 137 para ver si la maquina
víctima tiene recursos compartidos (de ahi esos escaneos masivos), y si tiene recursos compartidos
entonces usa el TCP 139 para copiarse en la maquina victima en el directorio WINDOWS, con el nombre
de scrsvr.exe. (por lo tanto se ven afectados solo los windows 9X)

- Por defecto se intenta copiar en \\IP_victima\C (Sii, hay bastante gente que comparte la unidad C,
así alegremente... )

- Si hay un password para la C, el GUSANO hace un ataque de FUERZA BRUTA para adivinar
el password. Pero el ataque solo lo hace con un carácter!, porque debido a una vulnerabilidad en estos
passwords, si solo el primer carácter del password es correcto, windows permite la conexión al recurso
compartido ... jur! :-s

- Una vez que se ha copiado, modifica el WIN.INI para asi ejecutarse en cada vez que se inicia el PC.

- Para copiarse en otras maquinas de forma remota empieza a escanear la subred de la misma maquina que
acaba de infectar y se copia en las maquinas que pueda. Tambien escanea una subred por encima y otra
por debajo. Por último hace un escaneo aleatorio de ip's. (buff)

mmmm,... menudo bixo. Voy a hacer comprobaciones empíricas sobre el terreno... xP

- Me dedique a guardar una relación con las ip's (españolas y alguna giri que me escaneaban), y fijate por donde
habia un gran número de ip's de mi propia subred que me escaneban como lamers desesperados !!

MMMM.... esto REALMENTE huele a gusano....

- Despues me intente colar en alguna de estas ip's (tanto extranjeras como nacionales) y esto fue lo
que encontre buscando MUY poquito la verdad (viendo lo que hay ... pase de buscar más, la verdad) :

- Pude entrar en 3 pc's españoles (apenas busque) por el recurso C (que estaba SIN password y con control TOTAL!!)
- En un par de extranjeros estaban exactactamente en la misma situación !!!

.....................................

ASÍ NO ME EXTRAÑA QUE EL GUSANO SE HALLA PUESTO MORADO !!

---> Bueno pos eso cerrad bien los puertos Netbios, si teneis que compartir algo y teneis conexión a internet.

Saludos

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
Polanko2k

muy buena informacion, si señor, y muy buena recopilacion, deberias publicarla en bandaancha, felicidades, un saludo!

🗨️ 1
anthrax

Merci, se hace lo que se puede :-)