|
VSantivirus No. 502 - Año 6 - Jueves 22 de noviembre de 2001
Gusano de SQL aumenta su propagación 600% en seis horas
Por Jose Luis Lopez
videosoft@videosoft.net.uy
SecurityFocus, advierte en su sitio sobre lo que parece ser una nueva herramienta híbrida que combina un agente generador de D.D.o.S (ataques de negación de servicio distribuidos), con técnicas de propagación automatizadas, parecidas a las ya vistas en gusanos como CodeRed o Nimda por ejemplo.
En nuestro boletín anterior (ver "Señal de alerta: un gusano
que ataca servidores SQL" http://www.vsantivirus.com/21-11-01a.htm),
dábamos cuenta del gusano que se aprovechaba de la mala implementación de la seguridad en servidores SQL que no tienen o usan la contraseña por defecto en la cuenta del administrador del sistema.
Si bien los informes de dicho gusano, quitaban peligrosidad al mismo, según SecurityFocus, éste (o una variante), habría evolucionado hasta el grado de haber aumentado la incidencia de agentes reportados, hasta en un 600% en las últimas horas de ayer miércoles.
Esta herramienta, llamada ahora "Voyager Alpha Force", sería una versión modificada y mejorada de otra similar, conocida como "Kaiten". La misma es controlada manualmente por algún atacante a través de conexiones remotas a servidores IRC, en canales protegidos por contraseñas.
Una misma persona puede controlar un gran número de agentes (bots), usando ciertos comandos específicos, para iniciar un ataque controlado a determinado sitio, o continuar con la secuencia de propagación.
Aunque no hay indicios que pueda ser parte de un ataque terrorista, es evidente que para las agencias de gobierno norteamericanas, implica una clara preocupación.
La herramienta se propaga a través de servidores SQL, cuya cuenta de administrador conserva la contraseña por defecto, una muy mala costumbre que por desgracia está muy extendida.
Las recomendaciones de SecurityFocus en su sitio son:
- Si se está ejecutando un servidor Microsoft SQL, verificar que la cuenta del administrador del sistema (sa), no posea una contraseña en blanco.
- Utilizar un cortafuegos para bloquear el puerto 1433, usado para propagar la herramienta a otros sistemas vulnerables.
Referencias:
SecurityFocus(TM) Identifies New DDoS Tool
http://www.securityfocus.com/
VSantivirus No. 501 - 21/nov/01
Señal de alerta: un gusano que ataca servidores SQL
http://www.vsantivirus.com/21-11-01a.htm
Glosario
D.D.o.S (Distributed Denial of Service) - Ataques de negación de servicio distribuidos. En lugar de una sola computadora, se utilizan cientos o hasta miles de ellas, todas actuando al mismo tiempo contra una misma víctima, un servidor o cualquier computadora conectada a Internet, la que recibe una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.
BOT - Copia de un usuario (originalmente en un canal de IRC), generado casi siempre por un programa, y preparado para responder ciertos comandos que se les envía en forma remota, de modo de lograr múltiples acciones coordinadas en forma simultánea, y sin nuestra intervención directa.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|