La verdad sobre misteriosos ataques a Windows 2000


La semana pasada, algunas noticias indicaban una extraña serie de ataques a servidores ejecutando Windows 2000. El alerta, no especificaba las causas, puestos que en un primer momento estas no habían sido identificadas.





Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

La poca información proporcionada por Microsoft, solo
indicaba que los ataques aparentaban ser el trabajo de
“hackers maliciosos”, mas que algún tipo de gusano, como
había ocurrido en otras oportunidades. La empresa solo
reconocía que ciertos archivos del propio Windows podrían
estar comprometidos.

Un archivo llamado GG.BAT, era el que intentaba conectarse a
otras computadoras utilizando cuentas robadas del
administrador, copiándose luego en estas.

Un segundo archivo llamado SECED.BAT, se encargaba de cambiar
la configuración de la seguridad del equipo atacado, dejando
el camino libre para el acceso al mismo por parte del
atacante.

Finalmente, un tercer archivo, GATES.TXT, solo contenía una
lista de direcciones IP, usadas aparentemente para la
conexión.

Pero el misterio, que tuvo desconcertado a numerosos expertos
durante varios días, finalmente parece estar resuelto, según
acaba de informar Microsoft.

La primera conclusión sobre el tema, es que no se explotó una
falla o vulnerabilidad en el sistema operativo, sino el
descuido de algunos operadores.

El análisis, demostró que la actividad reportada desde hace
varias semanas en un gran número de computadoras, se
encuentra asociada a un programa malicioso identificado como
Backdoor.IRC.Flood.

En principio, el atacante se aprovecha de aquellos servidores
donde sus administradores no han tomado las precauciones
necesarias y en muchos casos elementales.

Backdoor.IRC.Flood simplemente instala en los servidores
atacados, un cliente de IRC (Internet Relay Chat) que permite
el acceso remoto e ilimitado a las computadoras afectadas.

En este caso, copia y ejecuta los archivos antes mencionados,
obteniendo un control no esperado, pero fácilmente evitable,
siempre que se tomen unas mínimas precauciones, según afirma
Microsoft.

Una de las claves del ataque, consiste en aprovecharse en
algunas contraseñas en blanco o estipuladas por defecto en la
instalación del software. Un administrador responsable,
debería saber que jamás tendría que dejar así las cosas
cuando se instala un sistema operativo que requiere un manejo
estricto de la seguridad.

Los archivos implicados en estos ataques son los siguientes:

Gg.bat: Intenta conectarse a otros servidores como
"administrator", "admin", o "root". Este archivo busca el
software Flashfxp y el programa Ws_ftp en el servidor, y
sobrescribe varios archivos (incluido Ocxdll.exe). Utiliza el
programa Psexec para ejecutar diferentes comandos en el
servidor remoto.

Seced.bat: Este archivo cambia los niveles de seguridad en
el servidor atacado.

Gates.txt: Contiene una lista de direcciones IP.

También copia los siguientes archivos:

Nt32.ini
Ocxdll.exe

En otros casos, se llegan a instalar programas perfectamente
legítimos, que ayudan al atacante a comprometer la seguridad
del sistema, como por ejemplo:

Psexec
Ws_ftp
Flashfxp

Además, una serie de archivos que están asociados con estos
ataques, son instalados normalmente por el sistema, aunque
algunos han sido suplantados por versiones troyanizadas,
instaladas como parte del ataque. Por ejemplo:

MDM.exe
Taskmngr.exe

Las recomendaciones de Microsoft son cambiar las contraseñas,
eliminando todas aquellas que son puestas por defecto o
quedan en blanco, así como deshabilitar cuentas GUEST
(invitados), utilizar cortafuegos para proteger internamente
las computadoras en la red del servidor, mantener al día las
actualizaciones del software empleado, y finalmente mantener
actualizado el software antivirus. Un troyano como
Backdoor.IRC.Flood es identificado prácticamente por todos
desde hace ya un tiempo, por lo que muchos de los ataques
reportados deberían haberse evitado muy sencillamente.


* Más información:

Referencias sobre este tipo de ataque:
http://support.microsoft.com/default.aspx?scid=kb;en-
us;Q328691

IRCFlood. Ataques coordinados a través del IRC
http://www.vsantivirus.com/ircflood.htm


Fuente: (c) VSAntivirus - http://www.vsantivirus.com


Otras noticias de interés:

Parche para los componentes web de Microsoft Office
Microsoft distribuye parches de seguridad críticos que afectan a los productos BackOffice Server 2000, BizTalk Server 2000/2002, Commerce Server 2000/2002, Internet Security And Acceleration Server 2000, Money 2002/2003, Office 2000/XP, Project 2002...
inSSIDer: Programa open source para escanear redes Wi-Fi
Viajando por la blogosfera, conseguí un sitio bastante interesante que hace referencia a inSSIDer, una poderosa herramienta para scanear redes WIFI....
Los usuarios de Firefox son los más seguros de la Web
Según un estudio encargado por el Instituto Federal de Tecnología de Suiza, en colaboración con Google e IBM, los usuarios del navegador Firefox se preocupan más por actualizar su software que los usuarios de otros navegadores....
Oracle: Parche de seguridad para Java SE
Algunas de las vulnerabilidades solucionadas en esta actualización de seguridad han recibido el mayor nivel de riesgo. Oracle ha anunciado una actualización de seguridad para el próximo 7 de junio que solucionará un total de 17 vulnerabilidades e...
Opera anuncia nuevas versiones de su navegador
Opera anunció su compromiso de incorporar en su navegador soporte para idiomas escritos de derecha a izquierda....
Posible vulnerabilidad en el kernel de Windows Vista
Se ha hecho pública una vulnerabilidad no especificada en Microsoft Windows Vista, que podría provocar una denegación de servicio. ...
McAfee detecta el mayor ciberataque de la historia
La empresa de antivirus McAfee ha informado sobre un ataque masivo que ha afectado a 72 organizaciones de diversos países y se ha convertido en el mayor hasta la fecha....
Desbordamiento de búfer en Apple QuickTime Player
Recientemente se ha descubierto una vulnerabilidad de desbordamiento de búfer que afecta al reproductor Apple QuickTime Player versiones 5.x y 6.0....
Son las canaimitas un juguete?
El amigo Jesús Lara (phenobarbital) ha escrito un articulo bastante interesante sobre las Canaimitas (computadora Intel Mobile PM465) entregadas por el Gobierno de Venezuela. A continuación el artículo:...
Casi el 50% de trabajadores vendería su contraseña
Una encuesta de la compañía Ping Identity pone de manifiesto que una amplia mayoría de trabajadores no está comprometida con la seguridad en su empresa. Según la encuesta, un 48% de los empleados vendería la contraseña de su puesto de trabajad...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataques
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • misteriosos
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • verdad
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra