• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Nueva forma de spam a través de mensajes emergentes de Windows

Nueva forma de spam a través de mensajes emergentes de Windows

28 febrero, 2003 Por Hispasec Deja un comentario

Se popularizan algunas nuevas herramientas para el envío de spam
utilizando el servicio Messenger de Windows. Explicamos como funcionan y
que medidas de protección debemos utilizar.

El servicio Messenger (no confundir con el Microsoft Messenger o el MSN
Messenger ni con ningún programa de navegación web o lectura de correo
electrónico) es un servicio de los sistemas operativos de la familia
Windows que implementa un sencillo sistema de envío de mensajes y avisos
entre las máquinas conectadas en la red local.

Inicialmente el servicio Messenger fue incorporado en los primeros
sistemas operativos de red basados en NetBIOS (OS/2 y las primeras
versiones de Windows) y estaba pensado para permitir a los administradores
de red enviar notificaciones a los usuarios, por ejemplo cuando era
preciso detener el servidor. Otros programas que utilizan este servicio de
forma legitima son los controladores de impresión (para avisar de la
finalización de un trabajo de impresión), los sistemas de alimentación
ininterrumpida, los antivirus y otros programas que necesitan un mecanismo
simple de notificación de un evento.

Cuando el servicio está activo (y en todas las versiones de Windows lo
está en la configuración por defecto), cualquier usuario puede enviar un
mensaje emergente a otra estación de la red ejecutando, en una ventana DOS, la orden NET SEND con los parámetros adecuados. Además, los programas disponen de la API NetMessageBufferSend para automatizar el envío de estos mensajes.

Durante los últimos meses del año pasado empezaron a circular diversos programas pensados para utilizar este servicio de Windows como un nuevo
método para la difusión masiva de mensajes comerciales. Algunos de estos
programas han llegado, incluso, a ser anunciados en televisión como una
nueva herramienta de márketing en Internet. Estos programas están pensados para automatizar el envío masivo de los mensajes, sin que el spammer tenga que preocuparse de otra cosa que escribir el texto del spam.

Como nos llegan estos mensajes

Los mensajes emergentes utilizan el protocolo NetBIOS, por lo que cuando
circulan por una red TCP/IP utilizan los puertos udp/137 y tcp/139. Este
es el mecanismo habitual de transmisión para los mensajes enviados
mediante un NET SEND o la API NetMessageBufferSend.

No obstante, los programas de automatización de este tipo de spam utilizan
un método diferente de envío mediante el servicio RPC (Remote Procedure
Call, Llamada de procedimiento remoto) de NetBIOS, que está asociado al
puerto udp/135.

Los mensajes se presentan en una ventana de Windows, con el título
«Messenger Service» o «Mensajería de Windows», con el texto del mensaje y
un botón Aceptar. Al pulsar el botón, la ventana se cierra.

Medidas de protección

En primer lugar es importante indicar que el simple hecho de recibir un
mensaje de este tipo no sólo muestra que estamos expuestos a la recepción
de este tipo de publicidad. En realidad no está revelando un importante
problema de seguridad en nuestra máquina, ya que está admitiendo
conexiones NetBIOS desde Internet.

Por tanto, la primera acción a realizar consiste en verificar las medidas
de seguridad perimetrales existentes, a nivel de cortafuegos y routers.
Debemos comprobar que se está bloqueando cualquier tráfico con origen
Internet y destino la red interna que utilice cualquiera de los puertos
asociados a NetBIOS: udp/135, udp/137-139, udp 445, tcp/137- 139 y
tcp/445.

Los usuarios de cortafuegos personales deben verificar, adicionalmente,
los permisos asignados a los ejecutables utilizados en las comunicaciones
RPC (svchost.exe y services.exe) para comprobar que no se permite la
recepción de tráfico NetBIOS con origen Internet y destino hacia estos
archivos ejecutables.

No existe ninguna razón que justifique la utilización de NetBIOS como
método de acceso remoto a la red corporativa de una empresa o a los
ordenadores de un usuario particular.

Como medida de protección adicional, podemos desactivar el servicio en las
máquinas para evitar la recepción de estos mensajes emergentes, siguiendo
estas instrucciones.

* Windows 95/98/ME

A diferencia de los sistemas operativos derivados de Windows NT, la
única forma de desactivar la recepción de estos mensajes pasa por
desactivar completamente el soporte de NetBIOS.

Si no desea desactivar este soporte, la única opción que tenemos es
la instalación de un cortafuegos personal que bloquee el tráfico
NetBIOS que provenga de Internet.

Acceder al Panel de Control («Mi PC», «Panel de control») y hacer
doble clic sobre el icono «Red».

En la pestaña «Configuración» hacer clic en el botón «Compartir
archivos e impresoras…». Verificar que las dos opciones, «Permitir
que otros usuarios tengan acceso a mis archivos» y «Permitir que
otros usuarios impriman con mis impresoras» están desactivadas.
Pulsar Aceptar.

De nuevo en la pestaña «Configuración», seleccionar el protocolo
TPC/IP asociado a la tarjeta de red o al módem/router que utilizamos
para la conexión a Internet. Hacer clic en el botón «Propiedades».

En la ventana «Propiedades de TCP/IP», seleccionar la pestaña
«Enlaces» y deseleccionar la opción «Cliente para redes Microsoft».
Pulsar en «Aceptar» y «Aceptar».

A continuación será preciso reiniciar la máquina.

* Windows NT 4.0

Ir a «Inicio», «Configuración», «Panel de control». Hacer doble clic
sobre el icono «Servicios».

Buscar el servicio «Mensajería» («Messenger» en las versiones en
inglés). Si está iniciado, pulsar el botón «Detener» para detenerlo.
A continuación pulsar el botón «Inicio…» y cambiar el tipo de
inicio del servicio: «Deshabilitado». Pulsar en «Aceptar» y en
«Cerrar».

* Windows 2000

Ir a «Inicio», «Programas», «Herramientas administrativas» y
«Servicios».

Buscar el servicio «Mensajería» y seleccionarlo. Pulsar el botón
derecho del ratón y seleccionar «Propiedades». Pulsar el botón
«Detener» para detener el servicio.

A continuación, cambiar el tipo de inicio a «Deshabilitado». Pulsar
en «Aceptar» y cerrar la ventana de servicios.

* Windows XP

Ir a «Inicio», «Panel de Control». Entrar en el apartado de
«Rendimiento y mantenimiento» y hacer doble clic sobre el icono
«Servicios».

Buscar el servicio «Mensajería» y seleccionarlo. Pulsar el botón
derecho del ratón y seleccionar «Propiedades». Pulsar el botón
«Detener» para detener el servicio.

A continuación, cambiar el tipo de inicio a «Deshabilitado». Pulsar
en «Aceptar» y cerrar la ventana de servicios.

Una vez desactivado el servicio de mensajería podemos verificar que
nuestro ordenador ya no puede recibir este tipo de mensajes utilizando el
servicio de verificación existente en

http://www.mynetwatchman.com/winpopuptester.asp

Xavier Caballé
xavi@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • ¿Qué es DMARC? La necesidad de la protección del correo electrónico

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR