Gusano aprovecha vulnerabilidad en ‘Plug-and-Play’ de Windows.

El gusano Zotob puede infectar las plataformas Windows de Microsoft más rápido que los anteriores y ha sido detectado en Internet según Trend Micro.

Este gusano es capaz de infectar todos los sistemas que no hayan instalado la actualización MS05-039 y es altamente peligroso con lo cual se recomienda actualizar el sistema cuanto antes.

Aprovecha un agujero de seguridad en Windows NT, 2000 y XP pudiendo permitir a los atacantes acceder remotamente a los sistemas infectados.También puede conectarse a un servidor de chat y dar al hacker el control remoto sobre la máquina infectada, pudiendo ser usado para infectar otras máquinas y ralentizar el funcionamiento del sistema.

La aparición de un gusano de estas características era previsible según hispasec.com, ya que hace unos días fueron publicados los detalles para explotar este agujero de seguridad, junto con otros sobre ataques relativos a los parches de Windows del mes de agosto.

Los fabricantes de antivirus de momento no dan protagonismo a Zotob en sus alertas y rankings, el hecho de que infecte a través del puerto TCP/445 dificulta su propagación por Internet, ya que lo usual es que ese puerto esté filtrado por los firewalls.

Sin embargo existe la posibilidad de que este gusano llegue a redes corporativas, donde podría causar más estragos. Es por ello vital que los sistemas se mantengan actualizados con últimos parches de seguridad.

El virus deja una copia de sí mismo en la carpeta del sistema Widows, aparece como BOTZOR.EXE y modifica el archivo del servidor del sistema para impedir que el usuario tenga acceso a sitios antivirus online para dificultar su desinfección.

Con cada boletín de seguridad a los pocos días salen nuevos virus que atacan los parches liberados, demostrando que por mucho que intente Microsoft dar seguridad a sus productos no lo son ni mucho menos. Aparte de una duda que me planteo, ¿dónde estarían todas las empresas de antivirus y firewalls sin la falta de seguridad de Windows?.

Fuente: www.hispasec.com, www.20minutos.es, caudetedigital.com.

Nota: Magho! también nos envía la noticia.

Categorias: Internacional

Etiquetas:

18s Comentarios

  1. Como complemento a la noticia, decir que en sistemas Windows XP con Service Pack 2 (o posteriores) y Windows 2003, la debilidad no puede ser explotada desde Internet, aunque sí localmente. En los demás sistemas NT (2000 y XP con SP1 o sin SP) sí que puede haber ataques directos si no se bloquea el siempre peligroso (no de ahora, sino de hace tiempo) puerto 445.
  2. Qué va, sólo puedo capturar los que se propagan vía E-mail. Éste es como el Blaster: sólo conseguiré hacerme con uno si alguien que se infecte me lo envía (yo no pienso infectarme adrede). Y me temo que, entre que el puerto 445 suele estar cerrado y la mayoría de la gente ya tiene el SP2, no va a tener mucho éxito.
  3. Pues según indica Microsoft WinXP SP2 también está afectado si no lo has actualizado con el parche correspondiente.
  4. Según http://alerta-antivirus.red.es,
    Zotob.C añade otras caracteristicas a sus predecesores, entre ellas la capacidad de propagarse a través del correo electrónico. (Dedicado a mced.

    Permite el acceso no autorizado al sistema a través de IRC por el puerto TCP 8080 y puede ejecuterse en equipos con Windosws 95/98/Me/Nt4, pero no puede infectarlos. Lo que sí que puede es propagarse a otros equipos a través de los antes mencionados.

    Parece que el gusanillo este va a tener gran cantidad de variantes en busca de joder lo más posible.

  5. Lo que yo no acabo de entender es que perverso placer se puede encontrar en jorobar al projimo con los dichosos virus.

    Puedo entender que alguien este resentido con una empresa, institucion o persona, pero no puedo entender que alguien se dedique a jorobar a todo el mundo de forma indiscriminada.

  6. Se llama notoriedad. Si haces un virus que se propaga por el planeta, en tu círculo de freaks eres un dios.
  7. Permite el acceso no autorizado al sistema a través de IRC por el puerto TCP 8080

    La frase es muy vaga y definitivamente impropia de un sitio supuestamente serio como Alerta-Antivirus… ¿El TCP 8080 es local o remoto? ¿Necesita tener un cliente IRC instalado en el equipo? ¿O es que se conecta a un servidor IRC? Parece más bien ser esto último, a raíz de esta descripción que hace Symantec de su “hermano” el Zobot.A: realmente ese puerto TCP 8080 es de la máquina remota, concretamente un servidor de IRC que es usado por sus miembros para realizar transferencias actuando el virus como troyano-servidor.

    puede ejecuterse en equipos con Windosws 95/98/Me/Nt4, pero no puede infectarlos.

    Naturalmente, si uno se lleva el binario a un Win 98 y le da doble click, se ejecuta. Pero el principal método de propagación de estos viruses es el punto a punto, ir de un ordenador a otro sin intermediarios. Para eso, busca puertos 445 abiertos y vulnerables, cosa que jamás encontrará en un 98 o un Millenium puesto que no tienen ningún servicio Plug & Play que escuche por ese puerto.

  8. Pues yo creo que son las mismas empresas de seguridad las que crean los virus para poder seguir en la palestra…..
  9. Si pudieran lo harían, pero entre el “interés” mostrado por Microsoft por la seguridad de sus productos y la abundancia de pajilleros quinceañeros con un afan de protagonismo parejo a su manifiesta estupidez, hay de sobra para unos cuantos virus diarios.
  10. Según parece Zotob y sus variantes ya está causando estragos en E.E.U.U.

    Un virus informático del tipo “gusano” ha atacado los sistemas que operan con Windows 2000 de medios de información de Estados Unidos, entre ellos las cadenas de televisión CNN, ABC y el diario “The New York Times”. Los problemas en CNN y en el diario de la ciudad de Nueva York se resolvieron en 90 minutos y sus operaciones no se vieron afectadas. Los efectos del virus han llegado incluso hasta el Congreso.

    http://www.libertaddigital.com

    Para ser un bicho de “bajo indice de propagación” parece que a muchos les ha pillado por sorpresa xP

  11. Lo que es incomprensible es que un mindundi –como éste que escribe– sepa desde hace mucho tiempo que el puerto 445 ha de estar bloqueado al exterior o al menos parcheado el servicio que lo usa; y mientras, administradores como los que en esos medios trabajan, no se molesten en tomar una medida de seguridad tan básica. Soy yo el jefe del departamento de informática de esas empresas, y de la limpieza que hacía no quedaba en nómina ni el mozo del almacen.
  12. Pues no sé qué decirte porque llevo dos días intentando pasar AV online y no consigo que me funcione ninguno, aunque tengo el XP con SP2.

    Es en serio, debe ser a causa de la configuración pero ¿sabéis alguno online que sea menos remilgado y se deje pasar?. Gracias.

    Immuku.

  13. El otro online que conozco es HouseCall de PC-Cillin. Funciona con Java, así que es compatible con todos los navegadores y sistemas.