Pues por culpa de la mierda de NetBIOS sobre TCP/IP de Windows XP me ha
entrado este virus.
En las propiedad avanzadas del protocolo TCP/IP por defecto está
"predeterminado" esto de NetBIOS sobre TCP/IP. Predeterminado es lo que
diga el servidor DHCP en el caso de IPs dinámicas, o sino dice nada
activado y punto.
Esto de estar activado es por compatibilidad con PCs antiguos con
Windows 98 y similiares.
Yo tengo un PC con Windows 98 desde el que podia acceder. El problema es
que no solo puedes entrar tu desde los PCs de tu red local sino ¡desde
todo Internet! A saber si no me habrán robado datos. Me imagino que me
podian modificar archivos o incluso robarme datos sin darme cuenta.
Esta vulnerabilidad ya la conocia, pero despues de reinstalar Windows se
me olividó desactivar el dichoso NetBIOS.
Este virus utiliza esta misma vulnerabilidad por el puerto 139 del
TCP/IP. Como se podia acceder a mi equipo a través de este puerto, el
virus lo que hacia es generar IPs aleatorias en el PC infectado y
comprobar si se podia acceder por este puerto. Me toco a mí, saldria mi
IP y comprobo que era vulnerable y me infectó todos los *.exe que tenía
compartidos.
Esto se supone que esta solucionado con una actualización de seguridad
(lo del virus, porque el NetBIOS desde que instalas Windows está
activado), el problema es que reistalé Windows hace poco y estoy casi
seguro de que entró el corto espacio de tiempo que pasó desde que
terminó la instalación hasta que terminó de bajar e instalar todas las
actualizaciones.
Los dos PCs de la red (uno con XP y otro con 98), hasta ahora se veían
(al igual que desde todo Internet), pero al desactivarlo no se ven, asi
que instalaré el NetBEUI para no usar la mierda del NetBIOS sobre
TCP/IP. Espero que el NetBEUI no tenga ningun agujero de seguridad.
Así que os recomiendo a todos los que tengais Windows XP desactivar el
NetBIOS sobre TCP/IP. Es un agujero de seguridad inmenso y peligroso que
no se como Microsoft lo permite. Debería estar desactivado por defecto y
permitir a cada usuario que lo active si quiere bajo su propia
responsabilidad.
Está en las propiedades del TCP/IP en Opciones avanzadas y luego en la
pestaña WINS. Marcar "Desabilitar NetBIOS sobre TCP/IP". Con esto en
pricipio el ordeandor no es visible a través de NetBIOS (puerto 139).
Información sobre el virus:
http://alerta-antivirus.red.es/viru...tml?codQ84
http://www.enciclopediavirus.com/vi....php?id#90
http://www.vsantivirus.com/tenga-a.htm
Utilidad para eliminar el virus (el AVG por si solo lo detecta pero no
lo limpia. Otros antivirus no sé lo que harán):
http://free.grisoft.com/doc/removal...i=Vcleaner
Yo lo use desde el modo seguro y me limpio todos los archivos.
Un saludo
Leer las respuestas