La verdad sobre misteriosos ataques a Windows 2000


La semana pasada, algunas noticias indicaban una extraña serie de ataques a servidores ejecutando Windows 2000. El alerta, no especificaba las causas, puestos que en un primer momento estas no habían sido identificadas.





Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

La poca información proporcionada por Microsoft, solo
indicaba que los ataques aparentaban ser el trabajo de
“hackers maliciosos”, mas que algún tipo de gusano, como
había ocurrido en otras oportunidades. La empresa solo
reconocía que ciertos archivos del propio Windows podrían
estar comprometidos.

Un archivo llamado GG.BAT, era el que intentaba conectarse a
otras computadoras utilizando cuentas robadas del
administrador, copiándose luego en estas.

Un segundo archivo llamado SECED.BAT, se encargaba de cambiar
la configuración de la seguridad del equipo atacado, dejando
el camino libre para el acceso al mismo por parte del
atacante.

Finalmente, un tercer archivo, GATES.TXT, solo contenía una
lista de direcciones IP, usadas aparentemente para la
conexión.

Pero el misterio, que tuvo desconcertado a numerosos expertos
durante varios días, finalmente parece estar resuelto, según
acaba de informar Microsoft.

La primera conclusión sobre el tema, es que no se explotó una
falla o vulnerabilidad en el sistema operativo, sino el
descuido de algunos operadores.

El análisis, demostró que la actividad reportada desde hace
varias semanas en un gran número de computadoras, se
encuentra asociada a un programa malicioso identificado como
Backdoor.IRC.Flood.

En principio, el atacante se aprovecha de aquellos servidores
donde sus administradores no han tomado las precauciones
necesarias y en muchos casos elementales.

Backdoor.IRC.Flood simplemente instala en los servidores
atacados, un cliente de IRC (Internet Relay Chat) que permite
el acceso remoto e ilimitado a las computadoras afectadas.

En este caso, copia y ejecuta los archivos antes mencionados,
obteniendo un control no esperado, pero fácilmente evitable,
siempre que se tomen unas mínimas precauciones, según afirma
Microsoft.

Una de las claves del ataque, consiste en aprovecharse en
algunas contraseñas en blanco o estipuladas por defecto en la
instalación del software. Un administrador responsable,
debería saber que jamás tendría que dejar así las cosas
cuando se instala un sistema operativo que requiere un manejo
estricto de la seguridad.

Los archivos implicados en estos ataques son los siguientes:

Gg.bat: Intenta conectarse a otros servidores como
"administrator", "admin", o "root". Este archivo busca el
software Flashfxp y el programa Ws_ftp en el servidor, y
sobrescribe varios archivos (incluido Ocxdll.exe). Utiliza el
programa Psexec para ejecutar diferentes comandos en el
servidor remoto.

Seced.bat: Este archivo cambia los niveles de seguridad en
el servidor atacado.

Gates.txt: Contiene una lista de direcciones IP.

También copia los siguientes archivos:

Nt32.ini
Ocxdll.exe

En otros casos, se llegan a instalar programas perfectamente
legítimos, que ayudan al atacante a comprometer la seguridad
del sistema, como por ejemplo:

Psexec
Ws_ftp
Flashfxp

Además, una serie de archivos que están asociados con estos
ataques, son instalados normalmente por el sistema, aunque
algunos han sido suplantados por versiones troyanizadas,
instaladas como parte del ataque. Por ejemplo:

MDM.exe
Taskmngr.exe

Las recomendaciones de Microsoft son cambiar las contraseñas,
eliminando todas aquellas que son puestas por defecto o
quedan en blanco, así como deshabilitar cuentas GUEST
(invitados), utilizar cortafuegos para proteger internamente
las computadoras en la red del servidor, mantener al día las
actualizaciones del software empleado, y finalmente mantener
actualizado el software antivirus. Un troyano como
Backdoor.IRC.Flood es identificado prácticamente por todos
desde hace ya un tiempo, por lo que muchos de los ataques
reportados deberían haberse evitado muy sencillamente.


* Más información:

Referencias sobre este tipo de ataque:
http://support.microsoft.com/default.aspx?scid=kb;en-
us;Q328691

IRCFlood. Ataques coordinados a través del IRC
http://www.vsantivirus.com/ircflood.htm


Fuente: (c) VSAntivirus - http://www.vsantivirus.com


Otras noticias de interés:

Boletines de seguridad de Microsoft en junio
Este martes pasado Microsoft publicó diez boletines de seguridad (del MS09-018 al MS09-027) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad cr...
La seguridad corporativa necesita cambios
Las transformaciones tecnológicas, como la movilidad o la virtualización, abren huecos en la seguridad de las organizaciones que pueden ser aprovechados por los cibercriminales, según un informe de Cisco....
Adobe parchea fallos 0-DAY en Acrobat y Reader
Adobe está lanzando una actualización de seguridad que repara una vulnerabilidad Día Cero descubierta a primeros de diciembre y que ya fue parcheada en algunas versiones de los programas....
OpenDNS bloquea a un gusano especialmente dañino
Este sistema de DNS es una alternativa a nuestras configuraciones convencionales, y de hecho sirve por ejemplo para monitorizar y bloquear el paso y actividad de gusanos como Conficker, uno de los más peligrosos de los últimos tiempos....
En caso de pérdida de datos, mejor no revelar la cantidad de afectados
En las brechas de datos, mantener el número de archivos perdidos en secreto puede proteger el valor de las empresas en el mercado. A Heartland le llevó más de un año recuperarse después de hacerse público un acontecimiento de esta naturaleza....
Boletín Microsoft de abril trae ocho actualizaciones
Microsoft a publicado su boletín de seguridad de abril. En este se informa de ocho parches destinados a corregir vulnerabilidades y problemas de seguridad....
Nuevos parches para Excel y Word
Microsoft publica un conjunto de parches acumulativos para Excel y Word que ofrecen la protección de todos los parches publicados hasta la fecha y además cubren cuatro nuevas vulnerabilidades que permitirían a un atacante la ejecución de macros e...
Torvalds trabajará jornada completa con Linux
El creador de Linux, Linus Torvalds, renunció a su trabajo en Transmeta para dedicarse por entero a Linux. ...
Indexarse o morir
Llevo un rato dándole vueltas a la cabeza. En el feed de Slashdot me encontré hoy esta noticia. Siguiendo el enlace, acabé en The Onion, leyendo este artículo. Siguiendo el estilo sarcástico del sitio, el art&ia...
Acceso arbitrario en PhpMYAdmin 2.5.5-pl1 y anteriores
PhpMyAdmin es una herramienta escrita en PHP, desarrollada para la administración de MySQL desde la WWW. Esta es una vulnerabilidad en la corriente versión estable de PhpMyAdmin que permite a un atacante recuperar archivos de un servidor con priv...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataques
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • misteriosos
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • verdad
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra