otia claro!!
Peligro a traves del puerto 445Symantec ha anunciado la presencia de un nuevo gusano que se vale del puerto TCP/445 para propagarse en este caso tratamos
W32/Delolder.Aunque la mayoría de los usuarios conoce los riesgos del puerto 139, usado por Windows para compartir archivos y carpetas, muchos ignoran que el puerto 445 en W2K, XP y Server 2003, permite prácticamente lo mismo que el anterior. En este caso, es usado por el SMB (Server Message Block).
Nombre: W32/Deloder
Tipo: Gusano de Internet
Alias: W32.HLLW.Deloder, WORM_DELODER.A, W32/Deloder-A, Deloder, W32/Deloder.worm, W32/Troj/Backdoor/Deloder, Worm.Win32.Deloder, Backdoor.Dvldr, Win32.Deloder Trojan, BKDR_DELODER.A, BackDoor.ARG
Fecha: 8/mar/03
Plataforma: Windows 2000 y XP (pero puede propagarse desde Win9x, Me)
El gusano Delolder (de origen Chino), hace uso de una herramienta legítima, PSEXEC.EXE (de SysInternals), para modificar y ejecutar en forma remota los archivos involucrados con el gusano. También apela a un sistema de despliegue remoto (VNC), también legítimo, para sus acciones de troyano de acceso remoto.
El archivo con el que se transmite es DVLDR32.EXE, el cuál está programado en Microsoft Visual C++ y comprimido con la utilidad ASPack.
Cuando DVLDR32.EXE se ejecuta, el gusano extrae el archivo PSEXEC.EXE en el mismo directorio. Como dijimos, PSEXEC es una herramienta de red totalmente legal pero contiene datos binarios embebidos en su código, que son grabados en la carpeta "\\RemoteSystem\ADMIN$\System32" como PSEXESVC.EXE, el cuál es luego ejecutado, funcionando como servidor de PSEXEC.EXE, responsable de iniciar los procedimientos remotos y redireccionamientos de entrada y de salida de y hacia la máquina cliente.
PSEXEC.EXE inicia a PSEXESVC.EXE pasándole argumentos en la línea de comandos (login, etc.). Sin estos argumentos, el proceso se comporta con los privilegios normales de cualquier usuario que ejecuta esta herramienta.
El gusano crea luego la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
messnger = [camino donde se ejecuta el troyano]\Dvldr32.exe
Para evitar múltiples instancias de si mismo en memoria, el troyano crea un único mutex llamado "testXserv", que utiliza como semáforo para indicar que ya se está ejecutando.
El gusano utiliza el puerto TCP/445 (conocido por Microsoft como "DS port") para conectarse a máquinas remotas en la misma red. Realiza un escaneo en un rango de direcciones IP determinadas, buscando computadoras con este puerto abierto. Si los encuentra, intenta loguearse en estas máquinas como administrador, utilizando una de las siguientes contraseñas:
"" (solo Enter)
"0"
"000000"
"00000000"
"007"
"1"
"110"
"111"
"111111"
"11111111"
"12"
"121212"
"123"
"123123"
"1234"
"12345"
"123456"
"1234567"
"12345678"
"123456789"
"1234qwer"
"123abc"
"123asd"
"123qwe"
"2002"
"2003"
"2600"
"54321"
"654321"
"88888888"
"a"
"aaa"
"abc"
"abc123"
"abcd"
"admin"
"Admin"
"admin123"
"administrator"
"alpha"
"asdf"
"computer"
"database"
"enable"
"foobar"
"god"
"godblessyou"
"home"
"ihavenopass"
"Internet"
"login"
"Login"
"love"
"mypass"
"mypass123"
"mypc"
"mypc123"
"oracle"
"owner"
"pass"
"pass"
"passwd"
"password"
"Password"
"pat"
"patrick"
"pc"
"pw"
"pw123"
"pwd"
"qwer"
"root"
"secret"
"server"
"sex"
"super"
"sybase"
"temp"
"temp123"
"test"
"test123"
"win"
"xp"
"xxx"
"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
"yxcv"
"zxcv"
Si el acceso se produce satisfactoriamente, el troyano hace uso de la herramienta
PSEXEC.EXE para crear una copia con el nombre de DVLDR32.EXE y los atributos de solo lectura habilitados (+R) en la máquina accedida.
También libera un archivo con el nombre de INST.EXE en las siguientes ubicaciones:
\%s\C$\WINNT\All Users\Start Menu\Programs\Startup\
\%s\C\WINDOWS\Start Menu\Programs\Startup\
\%s\C$\Documents and Settings\All Users\Start Menu\Programs\Startup\
Donde "$s" corresponde al nombre de red asignada a esa computadora.
Estas carpetas, excepto una con un camino equivocado (\%s\C\), usualmente corresponden a las carpetas de inicio, de modo que el troyano se ejecutará cada vez que una de esas computadoras se reinicie.
INST.EXE es el componente troyano, que a su vez libera otros archivos en el sistema, los que componen un servidor "VNC":
cygwin1.dll
explorer.exe
omnithread_rt.dll
VNCHooks.dll
INST.EXE (684,652 bytes), crea además los siguientes archivos:
C:\Windows\Fonts\rundll32.exe (el troyano propiamente dicho)
C:\Windows\Fonts\explorer.exe
C:\Windows\Fonts\omnithread_rt.dll
C:\Windows\Fonts\VNCHooks.dll
C:\Windows\System\cygwin1.dll
"C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
El archivo EXPLORER.EXE, es originalmente WINVNC.EXE, el nombre original del servidor VNC, una herramienta legítima de administración. Los archivos .DLL (menos cygwin1.dll) son parte normal de ese servidor.
VNC (Virtual Network Computing), es un sistema legítimo (y gratuito) creado por la Universidad de Cambridge, que permite visualizar en forma remota el entorno de otra computadora conectada en red (a través de Internet, etc.), conectando entre si una gran variedad de arquitecturas diferentes.
El componente "backdoor", utiliza esta aplicación para acceder y controlar en forma remota el sistema. Para impedir ser identificado, el troyano oculta el icono de la herramienta de la bandeja del sistema, cuando ésta se ejecuta.
A través del uso malicioso de esta herramienta, un intruso puede tomar el control de los sistemas infectados.
El archivo CYGWIN1.DLL, es un emulador UNIX (Cygwin Posix Emulation DLL), que provee de funciones de interface API de UNIX al troyano. Este archivo no contiene ningún código maligno, y es una herramienta legítima, usada maliciosamente por el troyano.
La configuración de la utilidad VNC se almacena en las siguientes claves (y subclaves):
HKEY_LOCAL_MACHINE\Software\ORL
HKEY_CURRENT_USER\Software\ORL
El troyano agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema:
HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\Run
TaskMan = C:\Windows\Fonts\rundll32.exe
HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\Run
Explorer = C:\Windows\Fonts\explorer.exe
El gusano también libera otro componente backdoor para conectarse clandestinamente a servidores de IRC (de una lista de 13), RUNDLL32.EXE.
Este componente notifica al atacante que el sistema está pronto para permitir el acceso remoto, además de enviar la contraseña necesaria para conectarse al componente VNC. Para ello, selecciona un nickname de una lista e intenta conectarse a alguno de los siguientes servidores de IRC a través del puerto 6667:
cocket.bounceme.net
cocket.dyn.nicolas.cx
cocket.dynup.net
cocket.getmyip.com
cocket.gotdns.com
cocket.ma.cx
cocket.minidns.net
cocket.mooo.com
cocket.nailed.org
cocket.orgdns.org
cocket.phathookups.com
cocket.pokemonfan.org
cocket.staticcling.org
El nickname es seleccionado de esta lista:
boyzz
coked
fuck
garc
girli
kiwi
micha
mike
monic
moon
nikis
penis
poer
radi
rahim
rock
rosi
schen
serve
south
step
titi
trick
turu
uglyc
wolf
Los siguientes archivos están relacionados con el troyano:
* cygwin1.dll (944,968 bytes, es un archivo inocente)
* dvldr32.exe (745,984 bytes es el gusano)
* explorer.exe (212,992 bytes una aplicación VNC)
* inst.exe (684,562 bytes es el dropper del Backdoor)
* omnithread_rt.dll (57,344 bytes una aplicación VNC)
* psexec.exe (36,352 bytes, es una aplicación legítima para lanzar procesos en forma remota)
* rundll32.exe (29,336 bytes, un Backdoor de IRC)
* VNCHooks.dll (32,768 bytes una aplicación VNC)
Sus principales características maliciosas son:
* Captura información de la configuración del servidor y de las estaciones de trabajo.
* Control de Acceso Remoto de los archivos y programas de los sistemas infectados.
* Puede ejecutar archivos o comandos en forma remota.
* Infecta y deshabilita los recursos "ocultos" compartidos de las redes.
Cuando se ejecuta, el troyano deshabilita los siguientes recursos compartidos que normalmente se hayan "ocultos":
admin$
ipc$
c$
d$
e$
f$
El gusano no funciona en sistemas Windows 95, 98 y Me, pero sin embargo, si puede propagarse por ellos.
Un síntoma de la presencia del gusano es un aumento del tráfico por el puerto TCP/445.
La gráfica (de
www.dshield.org), muestra el aumento de requerimientos para el puerto 445 (en amarillo) al 10 de marzo de 2003.
Aunque la mayoría de las máquinas corporativas protegen este puerto con cortafuegos y políticas de conexiones permitidas que lo bloquearían, existen algunos escenarios que pueden convertirse en un gran riesgo.
1. Máquinas conectadas a accesos directos a Internet (módem, etc.) fuera del ambiente corporativo, tanto en domicilios privados como durante viajes de negocio, que luego vuelven a la red corporativa.
2. Máquinas que utilizan conexiones VPN dentro de la red corporativa, pero que no están debidamente protegidas al conectarse a una conexión directa a Internet.
Creo que me he welto a pasar.Siempre posteo cosas mu largas pero es xa informaros mejor... :oops: :oops: