Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

La verdad sobre misteriosos ataques a Windows 2000
 
VSantivirus No. 794 - Año 6 - Martes 10 de setiembre de 2002

 La verdad sobre misteriosos ataques a Windows 2000
http://www.vsantivirus.com/10-09-02.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

La semana pasada, algunas noticias indicaban una extraña serie de ataques a servidores ejecutando Windows 2000. El alerta, no especificaba las causas, puesto que en un primer momento estas no habían sido identificadas.

La poca información proporcionada por Microsoft, solo indicaba que los ataques aparentaban ser el trabajo de "hackers maliciosos", mas que algún tipo de gusano, como había ocurrido en otras oportunidades. La empresa solo reconocía que ciertos archivos del propio Windows podrían estar comprometidos.

Un archivo llamado GG.BAT, era el que intentaba conectarse a otras computadoras utilizando cuentas robadas del administrador, copiándose luego en estas.

Un segundo archivo llamado SECED.BAT, se encargaba de cambiar la configuración de la seguridad del equipo atacado, dejando el camino libre para el acceso al mismo por parte del atacante.

Finalmente, un tercer archivo, GATES.TXT, solo contenía una lista de direcciones IP, usadas aparentemente para la conexión.

Pero el misterio, que tuvo desconcertado a numerosos expertos durante varios días, finalmente parece estar resuelto, según acaba de informar Microsoft.

La primera conclusión sobre el tema, es que no se explotó una falla o vulnerabilidad en el sistema operativo, sino el descuido de algunos operadores.

El análisis, demostró que la actividad reportada desde hace varias semanas en un gran número de computadoras, se encuentra asociada a un programa malicioso identificado como Backdoor.IRC.Flood.

En principio, el atacante se aprovecha de aquellos servidores donde sus administradores no han tomado las precauciones necesarias y en muchos casos elementales.

Backdoor.IRC.Flood simplemente instala en los servidores atacados, un cliente de IRC (Internet Relay Chat) que permite el acceso remoto e ilimitado a las computadoras afectadas.

En este caso, copia y ejecuta los archivos antes mencionados, obteniendo un control no esperado, pero fácilmente evitable, siempre que se tomen unas mínimas precauciones, según afirma Microsoft.

Una de las claves del ataque, consiste en aprovecharse en algunas contraseñas en blanco o estipuladas por defecto en la instalación del software. Un administrador responsable, debería saber que jamás tendría que dejar así las cosas cuando se instala un sistema operativo que requiere un manejo estricto de la seguridad.

Los archivos implicados en estos ataques son los siguientes:

Gg.bat: Intenta conectarse a otros servidores como "administrator", "admin", o "root". Este archivo busca el software Flashfxp y el programa Ws_ftp en el servidor, y sobrescribe varios archivos (incluido Ocxdll.exe). Utiliza el programa Psexec para ejecutar diferentes comandos en el servidor remoto.

Seced.bat: Este archivo cambia los niveles de seguridad en el servidor atacado.

Gates.txt: Contiene una lista de direcciones IP.

También copia los siguientes archivos:

Nt32.ini 
Ocxdll.exe 

En otros casos, se llegan a instalar programas perfectamente legítimos, que ayudan al atacante a comprometer la seguridad del sistema, como por ejemplo:

Psexec 
Ws_ftp 
Flashfxp

Además, una serie de archivos que están asociados con estos ataques, son instalados normalmente por el sistema, aunque algunos han sido suplantados por versiones troyanizadas, instaladas como parte del ataque. Por ejemplo:

MDM.exe 
Taskmngr.exe

Las recomendaciones de Microsoft son cambiar las contraseñas, eliminando todas aquellas que son puestas por defecto o quedan en blanco, así como deshabilitar cuentas GUEST (invitados), utilizar cortafuegos para proteger internamente las computadoras en la red del servidor, mantener al día las actualizaciones del software empleado, y finalmente mantener actualizado el software antivirus. Un troyano como Backdoor.IRC.Flood es identificado prácticamente por todos desde hace ya un tiempo, por lo que muchos de los ataques reportados deberían haberse evitado muy sencillamente.


Más información:

Referencias sobre este tipo de ataque:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q328691

IRCFlood. Ataques coordinados a través del IRC
http://www.vsantivirus.com/ircflood.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS