Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
294 lecturas y 2 respuestas
  • Cerrado

    Escaneo masivo del puerto UDP 137 debido a un GUSANO !!

    Hola a todos, este es mi primer posteo en BA (espero que me salga bien :-P ).

    Hace poco mas de un mes me puse en casa ADSL con YA.COM. Como tengo algunos conocimientos
    de redes me puse el router 3Com OCR812 en monopuesto, para así poder instalar un firewall
    (en mi caso me decanté por el ZA). Cual fue mi sorpresa al ver que recibia muchos escaneos
    a mi puerto UDP 137 de muchas IP's de direferentes ISP's (tanto españolas como estranjeras).
    Como era mi primera vez que instalaba y configuraba un firewall, no sabía muy bien si esto
    es bastante "habitual", o sea, si era lo que se llama escaneos "aleatorios" de gente que no
    tiene nada mejor que hacer :-o . Bueno el caso es que me extrañaba que casi el 100 % de los
    escaneos fueran al puerto UDP 137.

    Pasado un tiempo, me olvide del tema y lo deje aparcado. Pero hace pocos dias (mas bien ayer)
    lei varios posteos de gente que le pasaba lo mismo que a mi, y en algunos de ellos comentaban
    la posiblidad que fuera por culpa de un GUSANO. Los posts son los siguientes :

    www.bandaancha.st/foros.php?temid=63312
    www.bandaancha.st/foros.php?temid=46102
    www.bandaancha.st/foros.php?temid=44080
    www.bandaancha.st/foros.php?temid=18740

    Mmm,... no solo me pasa a mi. Entonces decidí investigar un poco más el tema. Lo primero que
    hice fue documentarme sobre el susudicho GUSANO, en este enlace se encuentra bastante
    información del mismo:

    www.viruslist.com/eng/viruslist.html?id=52256

    Hos hare un resumen rapidito del GUSANO :

    - Apareció alla por septiembre de este año, y por lo visto esta bastante extendido (no jodas..)

    - Para infectar y copiarse en las maquinas usa Netbios. El puerto UDP 137 para ver si la maquina
    víctima tiene recursos compartidos (de ahi esos escaneos masivos), y si tiene recursos compartidos
    entonces usa el TCP 139 para copiarse en la maquina victima en el directorio WINDOWS, con el nombre
    de scrsvr.exe. (por lo tanto se ven afectados solo los windows 9X)

    - Por defecto se intenta copiar en \\IP_victima\C (Sii, hay bastante gente que comparte la unidad C,
    así alegremente... )

    - Si hay un password para la C, el GUSANO hace un ataque de FUERZA BRUTA para adivinar
    el password. Pero el ataque solo lo hace con un carácter!, porque debido a una vulnerabilidad en estos
    passwords, si solo el primer carácter del password es correcto, windows permite la conexión al recurso
    compartido ... jur! :-s

    - Una vez que se ha copiado, modifica el WIN.INI para asi ejecutarse en cada vez que se inicia el PC.

    - Para copiarse en otras maquinas de forma remota empieza a escanear la subred de la misma maquina que
    acaba de infectar y se copia en las maquinas que pueda. Tambien escanea una subred por encima y otra
    por debajo. Por último hace un escaneo aleatorio de ip's. (buff)

    mmmm,... menudo bixo. Voy a hacer comprobaciones empíricas sobre el terreno... xP

    - Me dedique a guardar una relación con las ip's (españolas y alguna giri que me escaneaban), y fijate por donde
    habia un gran número de ip's de mi propia subred que me escaneban como lamers desesperados !!

    MMMM.... esto REALMENTE huele a gusano....

    - Despues me intente colar en alguna de estas ip's (tanto extranjeras como nacionales) y esto fue lo
    que encontre buscando MUY poquito la verdad (viendo lo que hay ... pase de buscar más, la verdad) :

    - Pude entrar en 3 pc's españoles (apenas busque) por el recurso C (que estaba SIN password y con control TOTAL!!)
    - En un par de extranjeros estaban exactactamente en la misma situación !!!

    .....................................

    ASÍ NO ME EXTRAÑA QUE EL GUSANO SE HALLA PUESTO MORADO !!

    ---> Bueno pos eso cerrad bien los puertos Netbios, si teneis que compartir algo y teneis conexión a internet.

    Saludos

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.