Seguimos con el "Blaster" (para Jose Manuel Tella)

02/01/2004 - 18:37 por Manuel Rubio | Informe spam
Este comentario va especialmente dirigido a mi querido
amigo Jose Manuel Tella.

Dios me libre de dar consejos en este foro.Pero lo que
aqui cuento lo he hecho yo en mi equipo y no me ha pasado
nada.

Se trata de mejorar la seguridad contra las agresiones
derivadas del defectuoso funcionamiento en XP de ese
programa malicioso llamado DCOM, (con un error de
programación) el cual también utiliza el virus "Blaster"
para entrar en nuestras maquinas.

Como quiera que con DCOM se puede provocar un
desbordamiento de buffer en una máquina remota al objeto
de tomar control de ella mediante el exploit siguiente:

dcom 1 direccion_IP
telnet direccion_ip 4444

Lo mejor (para mi) es desactivar DCOM y deshabilitar
TELNET ¿no te parece?

El DCOM se desactiva con Inicio-Ejecutar y
escribiendo "Dcomcnfg.exe" y la tecla "Aceptar".Se abre
la ventana de "Servicio de Componentes" y entre las
posibilidades que ofrece hay que pinchar en la primera
opcion que esta debajo de "Raiz de consola" (que se llama
tambien "Servicios de Componentes").Se abre otra carpeta
debajo que se llama "Equipos" y debajo de esta hay una
rama que se llama "Mi PC")

Sobre "Mi PC" pulsamos con el boton derecho del raton y
se nos abre un menu en donde elegimos "Propiedades".Se
abre otra ventana llamada "Propiedades de mi PC" con
diversas pestañas.Elegimos la de "Propiedades
Predeterminadas" y se nos abre otro menu.

En la parte superior estan las opciones de DCOM.Por
defecto la opcion "Habilitar COM distribuido en este
equipo" esta habilitada,asi es que lo que yo he hecho ha
sido desmarcar esta opcion haciendo click en el cuadrito.

Pulsamos "Aceptar" y ya tenemos desactivada la interfaz
DCOM que solo sirve para utilizar la funcion de "Control
Remoto" de Windows XP (y tal vez para ver algunas paginas
WEB que utilizan Java o DirectX al conectarnos a ellas)

Sin el DCOM ya se lo ponemos mas dificil a los script-
kiddie (¿no te parece Jose Manuel?)

Y si además finalmente nos vamos a Inicio-Ejecutar-
tecleamos "Services.msc" y nos vamos al Servicio que se
llama "Telnet" y haciendo doble click y donde pone "Tipo
de Inicio" lo ponemos en "Deshabilitado" en el proximo
reinicio de Windows XP ya no tendremos ni DCOM ni TELNET
en nuestro equipo (a mi ambas cosas no me sirven para
nada) y pienso que con esto nos protegemos todos un poco
mas.

Como digo yo he hecho esto en mi equìpo y no me ha pasado
nada por lo que este consejo que doy ya esta probado.No
obstante mi amigo Jose Manuel con su sabiduria podra dar
su opinión sobre estos procedimientos.

Porque ¡es que verdaderamente da pena leer este Foro y
ver la cantidad de gente que coge el "Blaster"!...
 

Leer las respuestas

#1 JM Tella Llop [MVP Windows] ·
02/01/2004 - 18:47 | Informe spam
Promero voy a matizar algunos errores de concepto que has cometido:

* El DCOM es una tecnología (es la evolucion del OLE), y no es un servicio, por tanto no puede desactivarse. Puedes pararse alguna "features" de él. En ese caso, media maquina no te funcionará. Entiendo que quizás quieras referirte al RPC. Si es así, lo siento, pero no puede desactivarse. Si lo haces, no te funcionará ni la impresora (ni media maquina). Simplemente mira los servicios dependientes de él.

* Deshabilitar el TELNET no vale para nada... precisamente por defecto el server telnet está desactivado. Si analizas los fuentes del virus, o de cualquier exploit de este tipo, lo que hacen es que te inyectan una shell y permiten tomar su control a traves de ese puerto... o del que quieran.

Está claro una cosa: si tienes CORTAFUEGOS (el de XP por ejemplo), es IMPOSIBLE que entren en tu maquina. Por tanto esto es lo unico que hay que hacer. No es necesario comerse el coco con otras cosas.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Manuel Rubio" wrote in message news:086b01c3d157$21dfa250$
Este comentario va especialmente dirigido a mi querido
amigo Jose Manuel Tella.

Dios me libre de dar consejos en este foro.Pero lo que
aqui cuento lo he hecho yo en mi equipo y no me ha pasado
nada.

Se trata de mejorar la seguridad contra las agresiones
derivadas del defectuoso funcionamiento en XP de ese
programa malicioso llamado DCOM, (con un error de
programación) el cual también utiliza el virus "Blaster"
para entrar en nuestras maquinas.

Como quiera que con DCOM se puede provocar un
desbordamiento de buffer en una máquina remota al objeto
de tomar control de ella mediante el exploit siguiente:

dcom 1 direccion_IP
telnet direccion_ip 4444

Lo mejor (para mi) es desactivar DCOM y deshabilitar
TELNET ¿no te parece?

El DCOM se desactiva con Inicio-Ejecutar y
escribiendo "Dcomcnfg.exe" y la tecla "Aceptar".Se abre
la ventana de "Servicio de Componentes" y entre las
posibilidades que ofrece hay que pinchar en la primera
opcion que esta debajo de "Raiz de consola" (que se llama
tambien "Servicios de Componentes").Se abre otra carpeta
debajo que se llama "Equipos" y debajo de esta hay una
rama que se llama "Mi PC")

Sobre "Mi PC" pulsamos con el boton derecho del raton y
se nos abre un menu en donde elegimos "Propiedades".Se
abre otra ventana llamada "Propiedades de mi PC" con
diversas pestañas.Elegimos la de "Propiedades
Predeterminadas" y se nos abre otro menu.

En la parte superior estan las opciones de DCOM.Por
defecto la opcion "Habilitar COM distribuido en este
equipo" esta habilitada,asi es que lo que yo he hecho ha
sido desmarcar esta opcion haciendo click en el cuadrito.

Pulsamos "Aceptar" y ya tenemos desactivada la interfaz
DCOM que solo sirve para utilizar la funcion de "Control
Remoto" de Windows XP (y tal vez para ver algunas paginas
WEB que utilizan Java o DirectX al conectarnos a ellas)

Sin el DCOM ya se lo ponemos mas dificil a los script-
kiddie (¿no te parece Jose Manuel?)

Y si además finalmente nos vamos a Inicio-Ejecutar-
tecleamos "Services.msc" y nos vamos al Servicio que se
llama "Telnet" y haciendo doble click y donde pone "Tipo
de Inicio" lo ponemos en "Deshabilitado" en el proximo
reinicio de Windows XP ya no tendremos ni DCOM ni TELNET
en nuestro equipo (a mi ambas cosas no me sirven para
nada) y pienso que con esto nos protegemos todos un poco
mas.

Como digo yo he hecho esto en mi equìpo y no me ha pasado
nada por lo que este consejo que doy ya esta probado.No
obstante mi amigo Jose Manuel con su sabiduria podra dar
su opinión sobre estos procedimientos.

Porque ¡es que verdaderamente da pena leer este Foro y
ver la cantidad de gente que coge el "Blaster"!...

Preguntas similares