Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Preocupación por aumento de escaneos al puerto 12345
|
|
VSantivirus No. 564 - Año 6 - Miércoles 23 de enero de 2002
Preocupación por aumento de escaneos al puerto 12345
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Un extraño aumento de actividad de computadoras escaneando el puerto TCP (Transmission Control Protocol) 12345, en las últimas horas, ha generado alguna polémica además de preocupación en ambientes especializados, dedicados al monitoreo de la actividad en Internet.
Cuando aumentan considerablemente este tipo de acciones, y más cuando lo hacen centrándose en un solo puerto de entrada y salida de datos, puede significar muy pocas cosas, y casi con seguridad, se relaciona con el intento de aprovecharse de alguna nueva vulnerabilidad, o de algún software de acción masiva. O la aparición de algún nuevo troyano intentando comunicarse para realizar sus acciones.
En el caso del puerto 12345, existen algunas hipótesis. Una, podría ser el resurgimiento de un viejo troyano, Netbus, que utiliza ese puerto por defecto. Otra, el intento de aprovechamiento de viejas vulnerabilidades provocadas por un conocido producto antivirus de Trend Micro, que utilizaba ese puerto por defecto para su funcionamiento normal.
Un escaneo de puertos es algo común, y no debería sorprendernos. Pero aunque podría ser un comportamiento perfectamente legítimo realizado por administradores de redes, su naturaleza también puede ser maliciosa, como por ejemplo, la búsqueda de puertas traseras abiertas en equipos conectados a Internet (como su computadora por ejemplo), para su explotación conjunta en busca de algún provecho.
Un troyano instalado en su PC, podría permanecer atento a nuevas ordenes, y para ello abrir un determinado puerto y ponerse a la escucha (NetBus con el puerto 12345 es un ejemplo). Pero aunque este troyano aún hoy es muy poderoso, no todos los expertos están de acuerdo que se trate específicamente del mismo. Si es que se trata de un troyano.
Más recientemente, ese puerto fue empleado por el OfficeScan, un producto antivirus especializado de Trend Micro.
La principal organización que está investigando esta actividad, el SANS Institute (System Administration, Networking, and Security), afirma que no le sorprendería se tratara del troyano NetBus. El año pasado el boom lo constituyó otro troyano muy similar, el SubSeven, el cuál incluso, fue parte de varios virus y gusanos que lo instalaban.
La decisión de Trend Micro no fue muy feliz, al usar un puerto ya conocido por los troyanos. Y menos cuando, hace poco menos de un año, una falla hizo que el sistema operativo en que se instalaba el OfficeScan fuera vulnerable a los ataques de extraños, a través de una brecha en su software, y a través del puerto 12345.
Según Trend Micro eso fue resuelto. Y no solo eso, sino que el puerto por defecto fue cambiado, para actualizar la maquinaria lo antes posible.
Otros expertos, no se ponen de acuerdo en que la manera de actuar haya sido lo más eficiente posible.
Pero ahora, estos mismos expertos, al contrario de los que afirman se trate del NetBus, piensan que lo que se busca es justamente al OfficeScan para aprovecharse de sus vulnerabilidades (las cuáles permitían tomar el control de una computadora en forma remota). Según Trend Micro, estas fallas fueron solucionadas, y además, el puerto por defecto ya no es el 12345 en las nuevas versiones.
De acuerdo a otros grupos consultores, una de las formas de descubrir la razón de estos aumentos notorios de actividad, es implementar lo que se llaman "honey-pots", o sea esos "tarros de miel" que se suelen usar como trampas para atrapar osos. "Configurar una o más máquinas en Internet corriendo el OfficeScan de Trend Micro, esperar por una conexión a ese puerto, y si alguna es hecha, examinar que clase de comandos o información es transmitida o buscada. Eso nos daría la pauta si los misteriosos escaneos, son para explotar maliciosamente el producto antivirus, o son en busca del NetBus", explicaron los consultores.
Sea cuál sea la razón, se espera que el misterio sea revelado a la brevedad en un informe del SANS Institute, el cuál está solicitando a todas las empresas productoras de software o hardware que pudieran manipular de alguna manera el puerto 12345 se pongan en contacto con ellos, para ir descartando opciones, a la dirección
intrusions@incindents.org
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Artículos relacionados:
VSantivirus No. 177 - 1/ene/01
¿Está seguro que su computadora no es un ZOMBIE?
http://www.vsantivirus.com/01-01-01.htm
VSantivirus No. 331 - 4/jun/01
Los nuevos guerreros. ¿Una guerra perdida?
http://www.vsantivirus.com/ataque-zombie1.htm
VSantivirus No. 336 - 9/jun/01
DoS.Storm.Worm. Ataques zombies contra Microsoft
http://www.vsantivirus.com/storm.htm
VSantivirus No. 151 - 6/dic/00
NAPTHA, todos los sistemas, menos Win2K son vulnerables
http://www.vsantivirus.com/naptha.htm
VSantivirus No. 222 - 15/feb/01
Trojan.MircAbuser. Convierte a nuestro PC en un zombie
http://www.vsantivirus.com/mircabuser.htm
VSantivirus No. 352 - Año 5 - Lunes 25 de junio de 2001
IRC.Mimic. Tenga o no el mIRC, convierte su PC en Zombie
http://www.vsantivirus.com/mimic.htm
VSantivirus No. 421 - Año 5 - Domingo 2 de setiembre de 2001
IRC/FinalBot. Troyano que convierte su PC en Zombie
http://www.vsantivirus.com/finalbot.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|