Virus Gaelicum (Tenga) y agujero NetBIOS sobre TCP/IP

aps y la respuesta de antes es por todas las mezclas de conceptos
erroneos que hiciste..

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"JM Tella Llop [MVP Windows]" wrote in message
news:

A ver... estamos en un foro de seguridad ¿no?

1) ¿seguridad en tu red?: fisica, salida a internet, etc.
2) ¿parches aplicados? ¿o WU no vale para nada?

la vulnerabilidad de NetBIOS para acceder a los recursos compartidos

yap en XP actualizado?.. paginas.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Kernel" wrote in message
news:434d2dcb$

Y lo del virus es totalmente verídico, te puedo asegurar que me infectó un
montón de archivos. Si miras los enlaces que añadí ahi puedes ver datos
del virus. El virus no me llego por correo ni por P2P ni fue por ejecutar
un exe, no fue por ningun descuido, fue automatico, aparecio ahi de
repente, empece a investivar y llegué a la conclusión que puse en mi
primer post. Más datos del virus:

Win32/Gaelicum.A
Win32/Gaelicum.A
alias: Win32.Tenga, W32.Licum, W32/Gael
It`s parasitic infector and internet worm.
Virus spreads itself exploiting Buffer Overrun In RPC Interface
vulnerability described in Microsoft Security Bulletin MS03-026.
When the worm is launched, it infects .EXE files on all accessible
drives.
Virus also tries to download trojan horse from the internet.

Te puedo asegurar que me entró ese dichoso virus sin hacer nada y lo
puedo probar. Tambien hay documentos de hacking sobre como aprovechar la
vulnerabilidad de NetBIOS para acceder a los recursos compartidos de
equipos con esta vulnerabilidad y si quieres te posteo este documento que
es mas viejo que yo se y posiblemente ya lo hayas visto. No son chorradas
ni paranoias mias. Es posible que me haya equivocado en algo, pero eso de
rebatir párrafo por párrafo mentira, que yo no me invento cosas, chaval.

Un saludo

Kernel escribió:

¿Chorradas?
Es posible que me haya equivocado en algo, pero a mi no me parecen
chorradas, es mas, me parece un tema de seguridad muy serio. Si me he
equivocado en algo o no estás de acuerdo, te agradecería que lo
explicaras, ya que estoy interesado en el tema y me gustaría aprender.
Así que si piensas que son chorradas te agradecería que lo me explicaras
o que lo argumentaras, así aprendemos todos, que para eso están las
news.
Pero, por favor, no te limites a decir que son chorradas sin mas, porque
eso es como no decir nada. La verdad que no me esperaba está respuesta
de un MVP y en especial de tí, no es por hacer la pelota, pero la verdad
que he leido algun articulo tuyo bastante bueno (en el especial ese del
Partition Magic y el rendimiento de los discos duros, desde entonces
evito usarlo :-) ). Así que por favor, sé un poco más explicito.

Un saludo

JM Tella Llop [MVP Windows] escribió:

hacia tiempo que no leia tantas chorradas juntas... con perdon

te podria rebatir parrafo por parrafo pero no se si merece la pena
perder el tiempo.

¿Cómo has instalado Windows XP...? ¿...con el SP2 integrado, o sin SP2?
¿Utilizas un firewall?
¿NetBEUI en Windows XP? NetBEUI es un protocolo incompatible en Windows
XP
¿Actualizaciones críticas instaladas?

Deduzco que no entiendes mucho sobre seguridad en la red.

Por ejemplo, esta actualización para Windows XP y XP-SP1 corregía un
problema de seguridad. Está incluída en el SP2:

MS03-034: Un error en NetBIOS podría permitir la revelación de
información
http://support.microsoft.com/defaul...;es;824105



Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE
(quita la Z)

"Existe al menos un rincón del universo que con
toda seguridad puedes mejorar, y eres tú mismo".

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no
rights.
________________________________________________________________________________
"Kernel" escribió en el mensaje
news:
Pues por culpa de la mierda de NetBIOS sobre TCP/IP de Windows XP me ha
entrado este virus.
En las propiedad avanzadas del protocolo TCP/IP por defecto está
"predeterminado" esto de NetBIOS sobre TCP/IP. Predeterminado es lo que
diga el servidor DHCP en el caso de IPs dinámicas, o sino dice nada
activado y punto.
Esto de estar activado es por compatibilidad con PCs antiguos con
Windows 98 y similiares.
Yo tengo un PC con Windows 98 desde el que podia acceder. El problema es
que no solo puedes entrar tu desde los PCs de tu red local sino ¡desde
todo Internet! A saber si no me habrán robado datos. Me imagino que me
podian modificar archivos o incluso robarme datos sin darme cuenta.
Esta vulnerabilidad ya la conocia, pero despues de reinstalar Windows se
me olividó desactivar el dichoso NetBIOS.
Este virus utiliza esta misma vulnerabilidad por el puerto 139 del
TCP/IP. Como se podia acceder a mi equipo a través de este puerto, el
virus lo que hacia es generar IPs aleatorias en el PC infectado y
comprobar si se podia acceder por este puerto. Me toco a mí, saldria mi
IP y comprobo que era vulnerable y me infectó todos los *.exe que tenía
compartidos.
Esto se supone que esta solucionado con una actualización de seguridad
(lo del virus, porque el NetBIOS desde que instalas Windows está
activado), el problema es que reistalé Windows hace poco y estoy casi
seguro de que entró el corto espacio de tiempo que pasó desde que
terminó la instalación hasta que terminó de bajar e instalar todas las
actualizaciones.
Los dos PCs de la red (uno con XP y otro con 98), hasta ahora se veían
(al igual que desde todo Internet), pero al desactivarlo no se ven, asi
que instalaré el NetBEUI para no usar la mierda del NetBIOS sobre
TCP/IP. Espero que el NetBEUI no tenga ningun agujero de seguridad.
Así que os recomiendo a todos los que tengais Windows XP desactivar el
NetBIOS sobre TCP/IP. Es un agujero de seguridad inmenso y peligroso que
no se como Microsoft lo permite. Debería estar desactivado por defecto y
permitir a cada usuario que lo active si quiere bajo su propia
responsabilidad.
Está en las propiedades del TCP/IP en Opciones avanzadas y luego en la
pestaña WINS. Marcar "Desabilitar NetBIOS sobre TCP/IP". Con esto en
pricipio el ordeandor no es visible a través de NetBIOS (puerto 139).

Información sobre el virus:

http://alerta-antivirus.red.es/viru...tml?codQ84
http://www.enciclopediavirus.com/vi....php?id#90
http://www.vsantivirus.com/tenga-a.htm

Utilidad para eliminar el virus (el AVG por si solo lo detecta pero no
lo limpia. Otros antivirus no sé lo que harán):

http://free.grisoft.com/doc/removal...i=Vcleaner
Yo lo use desde el modo seguro y me limpio todos los archivos.


Un saludo

A ver, la instalación la hice con Windows XP con SP2 integrado, e
inmediatamente despues de instalarlo baje las actualizaciones, que son
un porron y por tanto lleva un tiempo bajarlas e instalarlas. Yo creo
que en ese periodo se produjo la infección.
La red: tengo 2 PCs, el de Windows XP que reinstale y se me infectó y
otro con Windows 98 (no puedo meterle nada mas nuevo debido a que es
bastante antiguo).
Ambos PCs estan conectados a un hub que a su vez está conectado al
cablemodem. Los dos tienen IP dinámica que cogen por el servidor DHCP
de mi proveedor de Internet. Es decir, estan directamente conectados a
Internet. Es ciero que lo ideal seria tener un router, pero no lo tengo
y no lo creo imprescindible para una red tan sencilla.

Las actualizaciones estan instaladas, pero como dije deduzco que la
infección se produjo antes de que se instalaran, mientras estaban
bajando.

Ahora ya lo tengo debidamente protegido y desinfectado, simplemente
comentaba esto para que la gente lo sepa y para ver opiniones, lo que
pasa que lo unico que me encuentro aquí es gente que me trata como si
fuera gilipollas, y vale que no seré un experto es seguridad, y que
hay mucha gente aquí que sabe mucho mas que yo (precisamente por eso
recurrí aquí), y que me quedan muchas cosas por aprender. A si que a
ver si tenemos un poco de respeto.

Espero no haber ofendido a nadie en ningun momento, ya que no era mi
intención y perdonar mi ignorancia pero no todos nacemos sabidos. A lo
mejor mi primer post resulto un poco bruso, lo estuve releyendo y es
posible que dé esa impresión, por eso pido disculpas.

La verdad que hasta el momento nadie me aclarado nada.

Un saludo

Enrique [MVP Windows] ha escrito:

¿Cómo has instalado Windows XP...? ¿...con el SP2 integrado, o sin SP2?
¿Utilizas un firewall?
¿NetBEUI en Windows XP? NetBEUI es un protocolo incompatible en Windows
XP
¿Actualizaciones críticas instaladas?

Deduzco que no entiendes mucho sobre seguridad en la red.

Por ejemplo, esta actualización para Windows XP y XP-SP1 corregía un
problema de seguridad. Está incluída en el SP2:

MS03-034: Un error en NetBIOS podría permitir la revelación de
información
http://support.microsoft.com/defaul...;es;824105



Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE
(quita la Z)

"Existe al menos un rincón del universo que con
toda seguridad puedes mejorar, y eres tú mismo".

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no
rights.
________________________________________________________________________________
"Kernel" escribió en el mensaje
news:
Pues por culpa de la mierda de NetBIOS sobre TCP/IP de Windows XP me ha
entrado este virus.
En las propiedad avanzadas del protocolo TCP/IP por defecto está
"predeterminado" esto de NetBIOS sobre TCP/IP. Predeterminado es lo que
diga el servidor DHCP en el caso de IPs dinámicas, o sino dice nada
activado y punto.
Esto de estar activado es por compatibilidad con PCs antiguos con
Windows 98 y similiares.
Yo tengo un PC con Windows 98 desde el que podia acceder. El problema es
que no solo puedes entrar tu desde los PCs de tu red local sino ¡desde
todo Internet! A saber si no me habrán robado datos. Me imagino que me
podian modificar archivos o incluso robarme datos sin darme cuenta.
Esta vulnerabilidad ya la conocia, pero despues de reinstalar Windows se
me olividó desactivar el dichoso NetBIOS.
Este virus utiliza esta misma vulnerabilidad por el puerto 139 del
TCP/IP. Como se podia acceder a mi equipo a través de este puerto, el
virus lo que hacia es generar IPs aleatorias en el PC infectado y
comprobar si se podia acceder por este puerto. Me toco a mí, saldria mi
IP y comprobo que era vulnerable y me infectó todos los *.exe que tenía
compartidos.
Esto se supone que esta solucionado con una actualización de seguridad
(lo del virus, porque el NetBIOS desde que instalas Windows está
activado), el problema es que reistalé Windows hace poco y estoy casi
seguro de que entró el corto espacio de tiempo que pasó desde que
terminó la instalación hasta que terminó de bajar e instalar todas las
actualizaciones.
Los dos PCs de la red (uno con XP y otro con 98), hasta ahora se veían
(al igual que desde todo Internet), pero al desactivarlo no se ven, asi
que instalaré el NetBEUI para no usar la mierda del NetBIOS sobre
TCP/IP. Espero que el NetBEUI no tenga ningun agujero de seguridad.
Así que os recomiendo a todos los que tengais Windows XP desactivar el
NetBIOS sobre TCP/IP. Es un agujero de seguridad inmenso y peligroso que
no se como Microsoft lo permite. Debería estar desactivado por defecto y
permitir a cada usuario que lo active si quiere bajo su propia
responsabilidad.
Está en las propiedades del TCP/IP en Opciones avanzadas y luego en la
pestaña WINS. Marcar "Desabilitar NetBIOS sobre TCP/IP". Con esto en
pricipio el ordeandor no es visible a través de NetBIOS (puerto 139).

Información sobre el virus:

http://alerta-antivirus.red.es/viru...tml?codQ84
http://www.enciclopediavirus.com/vi....php?id#90
http://www.vsantivirus.com/tenga-a.htm

Utilidad para eliminar el virus (el AVG por si solo lo detecta pero no
lo limpia. Otros antivirus no sé lo que harán):

http://free.grisoft.com/doc/removal...i=Vcleaner
Yo lo use desde el modo seguro y me limpio todos los archivos.


Un saludo

Un conesjo, usa LINUX.Ya ves lo que es microsoft.



Un consejo, usa LINUX.Ya ves lo que es microsoft.




No Registrado - Unregistered User

View this thread: http://www.psicofxp.com/forums/showthread.php?t(9130