Virus Gaelicum (Tenga) y agujero NetBIOS sobre TCP/IP

12/10/2005 - 15:43 por Kernel | Informe spam
Pues por culpa de la mierda de NetBIOS sobre TCP/IP de Windows XP me ha
entrado este virus.
En las propiedad avanzadas del protocolo TCP/IP por defecto está
"predeterminado" esto de NetBIOS sobre TCP/IP. Predeterminado es lo que
diga el servidor DHCP en el caso de IPs dinámicas, o sino dice nada
activado y punto.
Esto de estar activado es por compatibilidad con PCs antiguos con
Windows 98 y similiares.
Yo tengo un PC con Windows 98 desde el que podia acceder. El problema es
que no solo puedes entrar tu desde los PCs de tu red local sino ¡desde
todo Internet! A saber si no me habrán robado datos. Me imagino que me
podian modificar archivos o incluso robarme datos sin darme cuenta.
Esta vulnerabilidad ya la conocia, pero despues de reinstalar Windows se
me olividó desactivar el dichoso NetBIOS.
Este virus utiliza esta misma vulnerabilidad por el puerto 139 del
TCP/IP. Como se podia acceder a mi equipo a través de este puerto, el
virus lo que hacia es generar IPs aleatorias en el PC infectado y
comprobar si se podia acceder por este puerto. Me toco a mí, saldria mi
IP y comprobo que era vulnerable y me infectó todos los *.exe que tenía
compartidos.
Esto se supone que esta solucionado con una actualización de seguridad
(lo del virus, porque el NetBIOS desde que instalas Windows está
activado), el problema es que reistalé Windows hace poco y estoy casi
seguro de que entró el corto espacio de tiempo que pasó desde que
terminó la instalación hasta que terminó de bajar e instalar todas las
actualizaciones.
Los dos PCs de la red (uno con XP y otro con 98), hasta ahora se veían
(al igual que desde todo Internet), pero al desactivarlo no se ven, asi
que instalaré el NetBEUI para no usar la mierda del NetBIOS sobre
TCP/IP. Espero que el NetBEUI no tenga ningun agujero de seguridad.
Así que os recomiendo a todos los que tengais Windows XP desactivar el
NetBIOS sobre TCP/IP. Es un agujero de seguridad inmenso y peligroso que
no se como Microsoft lo permite. Debería estar desactivado por defecto y
permitir a cada usuario que lo active si quiere bajo su propia
responsabilidad.
Está en las propiedades del TCP/IP en Opciones avanzadas y luego en la
pestaña WINS. Marcar "Desabilitar NetBIOS sobre TCP/IP". Con esto en
pricipio el ordeandor no es visible a través de NetBIOS (puerto 139).

Información sobre el virus:

http://alerta-antivirus.red.es/viru...tml?codQ84
http://www.enciclopediavirus.com/vi....php?id#90
http://www.vsantivirus.com/tenga-a.htm

Utilidad para eliminar el virus (el AVG por si solo lo detecta pero no
lo limpia. Otros antivirus no sé lo que harán):

http://free.grisoft.com/doc/removal...i=Vcleaner
Yo lo use desde el modo seguro y me limpio todos los archivos.


Un saludo
 

Leer las respuestas

#1 JM Tella Llop [MVP Windows]
12/10/2005 - 16:28 | Informe spam
hacia tiempo que no leia tantas chorradas juntas... con perdon

te podria rebatir parrafo por parrafo pero no se si merece la pena
perder el tiempo.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Kernel" wrote in message
news:
Pues por culpa de la mierda de NetBIOS sobre TCP/IP de Windows XP me ha
entrado este virus.
En las propiedad avanzadas del protocolo TCP/IP por defecto está
"predeterminado" esto de NetBIOS sobre TCP/IP. Predeterminado es lo que
diga el servidor DHCP en el caso de IPs dinámicas, o sino dice nada
activado y punto.
Esto de estar activado es por compatibilidad con PCs antiguos con Windows
98 y similiares.
Yo tengo un PC con Windows 98 desde el que podia acceder. El problema es
que no solo puedes entrar tu desde los PCs de tu red local sino ¡desde
todo Internet! A saber si no me habrán robado datos. Me imagino que me
podian modificar archivos o incluso robarme datos sin darme cuenta.
Esta vulnerabilidad ya la conocia, pero despues de reinstalar Windows se
me olividó desactivar el dichoso NetBIOS.
Este virus utiliza esta misma vulnerabilidad por el puerto 139 del TCP/IP.
Como se podia acceder a mi equipo a través de este puerto, el virus lo que
hacia es generar IPs aleatorias en el PC infectado y comprobar si se podia
acceder por este puerto. Me toco a mí, saldria mi IP y comprobo que era
vulnerable y me infectó todos los *.exe que tenía compartidos.
Esto se supone que esta solucionado con una actualización de seguridad (lo
del virus, porque el NetBIOS desde que instalas Windows está activado), el
problema es que reistalé Windows hace poco y estoy casi seguro de que
entró el corto espacio de tiempo que pasó desde que terminó la instalación
hasta que terminó de bajar e instalar todas las actualizaciones.
Los dos PCs de la red (uno con XP y otro con 98), hasta ahora se veían (al
igual que desde todo Internet), pero al desactivarlo no se ven, asi que
instalaré el NetBEUI para no usar la mierda del NetBIOS sobre TCP/IP.
Espero que el NetBEUI no tenga ningun agujero de seguridad.
Así que os recomiendo a todos los que tengais Windows XP desactivar el
NetBIOS sobre TCP/IP. Es un agujero de seguridad inmenso y peligroso que
no se como Microsoft lo permite. Debería estar desactivado por defecto y
permitir a cada usuario que lo active si quiere bajo su propia
responsabilidad.
Está en las propiedades del TCP/IP en Opciones avanzadas y luego en la
pestaña WINS. Marcar "Desabilitar NetBIOS sobre TCP/IP". Con esto en
pricipio el ordeandor no es visible a través de NetBIOS (puerto 139).

Información sobre el virus:

http://alerta-antivirus.red.es/viru...tml?codQ84
http://www.enciclopediavirus.com/vi....php?id#90
http://www.vsantivirus.com/tenga-a.htm

Utilidad para eliminar el virus (el AVG por si solo lo detecta pero no lo
limpia. Otros antivirus no sé lo que harán):

http://free.grisoft.com/doc/removal...i=Vcleaner
Yo lo use desde el modo seguro y me limpio todos los archivos.


Un saludo

Preguntas similares