Virus Gaelicum (Tenga) y agujero NetBIOS sobre TCP/IP

12/10/2005 - 15:43 por Kernel | Informe spam
Pues por culpa de la mierda de NetBIOS sobre TCP/IP de Windows XP me ha
entrado este virus.
En las propiedad avanzadas del protocolo TCP/IP por defecto está
"predeterminado" esto de NetBIOS sobre TCP/IP. Predeterminado es lo que
diga el servidor DHCP en el caso de IPs dinámicas, o sino dice nada
activado y punto.
Esto de estar activado es por compatibilidad con PCs antiguos con
Windows 98 y similiares.
Yo tengo un PC con Windows 98 desde el que podia acceder. El problema es
que no solo puedes entrar tu desde los PCs de tu red local sino ¡desde
todo Internet! A saber si no me habrán robado datos. Me imagino que me
podian modificar archivos o incluso robarme datos sin darme cuenta.
Esta vulnerabilidad ya la conocia, pero despues de reinstalar Windows se
me olividó desactivar el dichoso NetBIOS.
Este virus utiliza esta misma vulnerabilidad por el puerto 139 del
TCP/IP. Como se podia acceder a mi equipo a través de este puerto, el
virus lo que hacia es generar IPs aleatorias en el PC infectado y
comprobar si se podia acceder por este puerto. Me toco a mí, saldria mi
IP y comprobo que era vulnerable y me infectó todos los *.exe que tenía
compartidos.
Esto se supone que esta solucionado con una actualización de seguridad
(lo del virus, porque el NetBIOS desde que instalas Windows está
activado), el problema es que reistalé Windows hace poco y estoy casi
seguro de que entró el corto espacio de tiempo que pasó desde que
terminó la instalación hasta que terminó de bajar e instalar todas las
actualizaciones.
Los dos PCs de la red (uno con XP y otro con 98), hasta ahora se veían
(al igual que desde todo Internet), pero al desactivarlo no se ven, asi
que instalaré el NetBEUI para no usar la mierda del NetBIOS sobre
TCP/IP. Espero que el NetBEUI no tenga ningun agujero de seguridad.
Así que os recomiendo a todos los que tengais Windows XP desactivar el
NetBIOS sobre TCP/IP. Es un agujero de seguridad inmenso y peligroso que
no se como Microsoft lo permite. Debería estar desactivado por defecto y
permitir a cada usuario que lo active si quiere bajo su propia
responsabilidad.
Está en las propiedades del TCP/IP en Opciones avanzadas y luego en la
pestaña WINS. Marcar "Desabilitar NetBIOS sobre TCP/IP". Con esto en
pricipio el ordeandor no es visible a través de NetBIOS (puerto 139).

Información sobre el virus:

http://alerta-antivirus.red.es/viru...tml?codQ84
http://www.enciclopediavirus.com/vi....php?id#90
http://www.vsantivirus.com/tenga-a.htm

Utilidad para eliminar el virus (el AVG por si solo lo detecta pero no
lo limpia. Otros antivirus no sé lo que harán):

http://free.grisoft.com/doc/removal...i=Vcleaner
Yo lo use desde el modo seguro y me limpio todos los archivos.


Un saludo

Preguntas similare

Leer las respuestas

#1 JM Tella Llop [MVP Windows]
12/10/2005 - 16:28 | Informe spam
hacia tiempo que no leia tantas chorradas juntas... con perdon

te podria rebatir parrafo por parrafo pero no se si merece la pena
perder el tiempo.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Kernel" wrote in message
news:
Pues por culpa de la mierda de NetBIOS sobre TCP/IP de Windows XP me ha
entrado este virus.
En las propiedad avanzadas del protocolo TCP/IP por defecto está
"predeterminado" esto de NetBIOS sobre TCP/IP. Predeterminado es lo que
diga el servidor DHCP en el caso de IPs dinámicas, o sino dice nada
activado y punto.
Esto de estar activado es por compatibilidad con PCs antiguos con Windows
98 y similiares.
Yo tengo un PC con Windows 98 desde el que podia acceder. El problema es
que no solo puedes entrar tu desde los PCs de tu red local sino ¡desde
todo Internet! A saber si no me habrán robado datos. Me imagino que me
podian modificar archivos o incluso robarme datos sin darme cuenta.
Esta vulnerabilidad ya la conocia, pero despues de reinstalar Windows se
me olividó desactivar el dichoso NetBIOS.
Este virus utiliza esta misma vulnerabilidad por el puerto 139 del TCP/IP.
Como se podia acceder a mi equipo a través de este puerto, el virus lo que
hacia es generar IPs aleatorias en el PC infectado y comprobar si se podia
acceder por este puerto. Me toco a mí, saldria mi IP y comprobo que era
vulnerable y me infectó todos los *.exe que tenía compartidos.
Esto se supone que esta solucionado con una actualización de seguridad (lo
del virus, porque el NetBIOS desde que instalas Windows está activado), el
problema es que reistalé Windows hace poco y estoy casi seguro de que
entró el corto espacio de tiempo que pasó desde que terminó la instalación
hasta que terminó de bajar e instalar todas las actualizaciones.
Los dos PCs de la red (uno con XP y otro con 98), hasta ahora se veían (al
igual que desde todo Internet), pero al desactivarlo no se ven, asi que
instalaré el NetBEUI para no usar la mierda del NetBIOS sobre TCP/IP.
Espero que el NetBEUI no tenga ningun agujero de seguridad.
Así que os recomiendo a todos los que tengais Windows XP desactivar el
NetBIOS sobre TCP/IP. Es un agujero de seguridad inmenso y peligroso que
no se como Microsoft lo permite. Debería estar desactivado por defecto y
permitir a cada usuario que lo active si quiere bajo su propia
responsabilidad.
Está en las propiedades del TCP/IP en Opciones avanzadas y luego en la
pestaña WINS. Marcar "Desabilitar NetBIOS sobre TCP/IP". Con esto en
pricipio el ordeandor no es visible a través de NetBIOS (puerto 139).

Información sobre el virus:

http://alerta-antivirus.red.es/viru...tml?codQ84
http://www.enciclopediavirus.com/vi....php?id#90
http://www.vsantivirus.com/tenga-a.htm

Utilidad para eliminar el virus (el AVG por si solo lo detecta pero no lo
limpia. Otros antivirus no sé lo que harán):

http://free.grisoft.com/doc/removal...i=Vcleaner
Yo lo use desde el modo seguro y me limpio todos los archivos.


Un saludo
Respuesta Responder a este mensaje
#2 Kernel
12/10/2005 - 16:48 | Informe spam
¿Chorradas de que?
A ver, si estoy equivocado en algo comentalo, que yo quiero aprender. Es
posible me haya equivocado en algo pero no me parece a mi que sean
chorradas. Si me equivoco en algo o no estas de acuerdo, comentalo y asi
aprendemos todos, no te limites a decir que son chorrradas
La verdad no me esperaba esta respuesta, y menos de un MVP de Windows.
Flipao me he quedao.

Un saludo

JM Tella Llop [MVP Windows] escribió:
hacia tiempo que no leia tantas chorradas juntas... con perdon

te podria rebatir parrafo por parrafo pero no se si merece la pena
perder el tiempo.

Respuesta Responder a este mensaje
#3 Kernel
12/10/2005 - 16:55 | Informe spam
¿Chorradas?
Es posible que me haya equivocado en algo, pero a mi no me parecen
chorradas, es mas, me parece un tema de seguridad muy serio. Si me he
equivocado en algo o no estás de acuerdo, te agradecería que lo
explicaras, ya que estoy interesado en el tema y me gustaría aprender.
Así que si piensas que son chorradas te agradecería que lo me explicaras
o que lo argumentaras, así aprendemos todos, que para eso están las news.
Pero, por favor, no te limites a decir que son chorradas sin mas, porque
eso es como no decir nada. La verdad que no me esperaba está respuesta
de un MVP y en especial de tí, no es por hacer la pelota, pero la verdad
que he leido algun articulo tuyo bastante bueno (en el especial ese del
Partition Magic y el rendimiento de los discos duros, desde entonces
evito usarlo :-) ). Así que por favor, sé un poco más explicito.

Un saludo

JM Tella Llop [MVP Windows] escribió:
hacia tiempo que no leia tantas chorradas juntas... con perdon

te podria rebatir parrafo por parrafo pero no se si merece la pena
perder el tiempo.

Respuesta Responder a este mensaje
#4 Kernel
12/10/2005 - 17:37 | Informe spam
Y lo del virus es totalmente verídico, te puedo asegurar que me infectó
un montón de archivos. Si miras los enlaces que añadí ahi puedes ver
datos del virus. El virus no me llego por correo ni por P2P ni fue por
ejecutar un exe, no fue por ningun descuido, fue automatico, aparecio
ahi de repente, empece a investivar y llegué a la conclusión que puse en
mi primer post. Más datos del virus:

Win32/Gaelicum.A
Win32/Gaelicum.A
alias: Win32.Tenga, W32.Licum, W32/Gael
It`s parasitic infector and internet worm.
Virus spreads itself exploiting Buffer Overrun In RPC Interface
vulnerability described in Microsoft Security Bulletin MS03-026.
When the worm is launched, it infects .EXE files on all accessible drives.
Virus also tries to download trojan horse from the internet.

Te puedo asegurar que me entró ese dichoso virus sin hacer nada y lo
puedo probar. Tambien hay documentos de hacking sobre como aprovechar
la vulnerabilidad de NetBIOS para acceder a los recursos compartidos de
equipos con esta vulnerabilidad y si quieres te posteo este documento
que es mas viejo que yo se y posiblemente ya lo hayas visto. No son
chorradas ni paranoias mias. Es posible que me haya equivocado en algo,
pero eso de rebatir párrafo por párrafo mentira, que yo no me invento
cosas, chaval.

Un saludo

Kernel escribió:
¿Chorradas?
Es posible que me haya equivocado en algo, pero a mi no me parecen
chorradas, es mas, me parece un tema de seguridad muy serio. Si me he
equivocado en algo o no estás de acuerdo, te agradecería que lo
explicaras, ya que estoy interesado en el tema y me gustaría aprender.
Así que si piensas que son chorradas te agradecería que lo me explicaras
o que lo argumentaras, así aprendemos todos, que para eso están las news.
Pero, por favor, no te limites a decir que son chorradas sin mas, porque
eso es como no decir nada. La verdad que no me esperaba está respuesta
de un MVP y en especial de tí, no es por hacer la pelota, pero la verdad
que he leido algun articulo tuyo bastante bueno (en el especial ese del
Partition Magic y el rendimiento de los discos duros, desde entonces
evito usarlo :-) ). Así que por favor, sé un poco más explicito.

Un saludo

JM Tella Llop [MVP Windows] escribió:

hacia tiempo que no leia tantas chorradas juntas... con perdon

te podria rebatir parrafo por parrafo pero no se si merece la pena
perder el tiempo.

Respuesta Responder a este mensaje
#5 JM Tella Llop [MVP Windows]
12/10/2005 - 17:47 | Informe spam
A ver... estamos en un foro de seguridad ¿no?

1) ¿seguridad en tu red?: fisica, salida a internet, etc.
2) ¿parches aplicados? ¿o WU no vale para nada?

la vulnerabilidad de NetBIOS para acceder a los recursos compartidos





yap en XP actualizado?.. paginas.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Kernel" wrote in message
news:434d2dcb$
Y lo del virus es totalmente verídico, te puedo asegurar que me infectó un
montón de archivos. Si miras los enlaces que añadí ahi puedes ver datos del
virus. El virus no me llego por correo ni por P2P ni fue por ejecutar un
exe, no fue por ningun descuido, fue automatico, aparecio ahi de repente,
empece a investivar y llegué a la conclusión que puse en mi primer post.
Más datos del virus:

Win32/Gaelicum.A
Win32/Gaelicum.A
alias: Win32.Tenga, W32.Licum, W32/Gael
It`s parasitic infector and internet worm.
Virus spreads itself exploiting Buffer Overrun In RPC Interface
vulnerability described in Microsoft Security Bulletin MS03-026.
When the worm is launched, it infects .EXE files on all accessible drives.
Virus also tries to download trojan horse from the internet.

Te puedo asegurar que me entró ese dichoso virus sin hacer nada y lo puedo
probar. Tambien hay documentos de hacking sobre como aprovechar la
vulnerabilidad de NetBIOS para acceder a los recursos compartidos de
equipos con esta vulnerabilidad y si quieres te posteo este documento que
es mas viejo que yo se y posiblemente ya lo hayas visto. No son chorradas
ni paranoias mias. Es posible que me haya equivocado en algo, pero eso de
rebatir párrafo por párrafo mentira, que yo no me invento cosas, chaval.

Un saludo

Kernel escribió:
¿Chorradas?
Es posible que me haya equivocado en algo, pero a mi no me parecen
chorradas, es mas, me parece un tema de seguridad muy serio. Si me he
equivocado en algo o no estás de acuerdo, te agradecería que lo
explicaras, ya que estoy interesado en el tema y me gustaría aprender.
Así que si piensas que son chorradas te agradecería que lo me explicaras
o que lo argumentaras, así aprendemos todos, que para eso están las news.
Pero, por favor, no te limites a decir que son chorradas sin mas, porque
eso es como no decir nada. La verdad que no me esperaba está respuesta de
un MVP y en especial de tí, no es por hacer la pelota, pero la verdad que
he leido algun articulo tuyo bastante bueno (en el especial ese del
Partition Magic y el rendimiento de los discos duros, desde entonces
evito usarlo :-) ). Así que por favor, sé un poco más explicito.

Un saludo

JM Tella Llop [MVP Windows] escribió:

hacia tiempo que no leia tantas chorradas juntas... con perdon

te podria rebatir parrafo por parrafo pero no se si merece la pena
perder el tiempo.

Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida