|
VSantivirus No. 1647 Año 9, domingo 9 de enero de 2005
Troj/Winser.A. Explota la vulnerabilidad en WINS
http://www.vsantivirus.com/troj-winser-a.htm
Nombre: Troj/Winser.A
Tipo: Caballo de Troya
Alias: Winser, Backdoor.Hazdoor.A, BackDoor.IRC.Hax, Backdoor.Trojan, Backdoor.Win32.Hzdoor.a, Bck/Winxor.A, Exploit.MS04-011, Exploit.Win32.MS04-011, Exploit.Win32.MS04-045.a, Hacktool, IRC/BackDoor.Hax.A, NewHeur_PE, TR/IRC.SetMngr, Troj/Hzdoor-A, Troj/Winser-A, TROJ_HZDOOR.A, W32/Reethax, Win32.Reethax.A, Win32/IRCFlood.45056.Trojan, Win32/Winser.A
Fecha: 6/ene/05
Plataforma: Windows 32-bit
Tamaño: 45,056 bytes
Puertos: TCP 42, 36010 y 37264, UDP 42
Este troyano es utilizado para explotar la vulnerabilidad en el Servicio de nombres Internet de Windows (WINS) producida por un desbordamiento de búfer. Dicha vulnerabilidad ha sido reportada y solucionada por Microsoft en su parche MS04-045 de diciembre de 2004 (ver
http://www.vsantivirus.com/vulms04-045.htm).
El troyano utiliza los equipos vulnerables para ganar un acceso remoto por medio de un shell (consola de comandos), en servidores bajo Windows NT, 2000 y 2003 que estén ejecutando el servicio WINS.
Suele ser liberado por el troyano Hzdoor.A (ver "Troj/Hzdoor.A. Troyano que usa exploit de WINS",
http://www.vsantivirus.com/troj-hzdoor-a.htm). En ese caso suele copiarse con el siguiente nombre:
ccSetMngr.exe
También podría ser utilizado en forma individual, si es enviado o descargado de sitios maliciosos o redes P2P, generalmente simulando ser parte de una utilidad legítima.
El troyano envía paquetes a numerosas direcciones IP a través del puerto TCP y UDP 42, utilizados por WINS.
El Servicio de Nombres de Internet de Windows (WINS por las siglas en inglés de Windows Internet Naming Service), es un protocolo basado en NetBIOS, utilizado para asignar direcciones IP a los nombres descriptivos de las computadoras de una red.
En una red Windows, a cada máquina se le asigna un nombre único, utilizado entre otras cosas para compartir recursos. Generalmente se hace uso de un servidor WINS para resolver los nombres de las máquinas que se encuentren en dos redes IP distintas, o para disminuir la cantidad de solicitudes entre máquinas de una misma red IP. Este servidor permite que las máquinas se registren cuando se encienden o conectan a la red, y mantiene actualizada la tabla de correspondencia NOMBRE = DIRECCION IP.
La vulnerabilidad explotada por el troyano, provoca un desbordamiento de búfer que permite la ejecución de código.
Si el ataque tiene éxito, el troyano se ejecuta y envía una "llamada a casa" a una dirección IP específica a través del puerto TCP/37264, para avisar de su presencia. Esto permite que un equipo remoto infectado por el troyano Hzdoor.A pueda usar el shell de comandos creado para copiarse y descargarse el mismo, o para que un usuario remoto obtenga el control del equipo infectado, ejecutando una serie de comandos en forma remota, que comprometen seriamente la seguridad del sistema.
La vulnerabilidad explotada, y por lo tanto el propio troyano, se ejecutan solamente en equipos con los siguientes sistemas operativos:
- Microsoft Windows NT Server 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition SP6
- Microsoft Windows 2000 Server Service Pack 3
- Microsoft Windows 2000 Server Service Pack 4
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
Nota: Tenga en cuenta que de todos modos, el troyano puede ejecutarse en equipos con cualquier sistema operativo de Windows, incluidos 95, 98, Me y XP, además de NT, 2000 y 2003.
Información de limpieza
Ver la información para la limpieza de equipos infectados con este troyano en el siguiente enlace:
Troj/Hzdoor.A. Troyano que usa exploit de WINS
http://www.vsantivirus.com/troj-hzdoor-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|