Durante las últimas horas del domingo, diversos servicios de vigilancia
de incidencias de seguridad en la red han notado un incremento en el
tráfico con destino al puerto tcp/445. Se trata de un nuevo gusano,
W32.HLWW.Deloder, que busca máquinas Windows 2000/XP conectadas a
Internet que permitan conexiones NetBIOS.

Se trata de un gusano que intenta conectar contra la máquina a través
del puerto tcp/445, como «Administrator» y utilizando una serie fija de
contraseñas. Si consigue introducirse en un ordenador, instala una copia
del servidor de control remoto VNC. Estos programas son instalados de
forma que no aparezca ningún icono en la barra de tareas de Windows.

Una vez conseguido el acceso a la máquina, el gusano se copia él mismo
como DVLDR32.EXE e intenta copiar el archivo INST.EXE en los siguientes
directorios:

\WINNT\All Users\Start Menu\Programs\Startup\
\WINDOWS\Start Menu\Programs\Startup\
\Documents and Settings\All Users\Start Menu\Programs\Startup\

que corresponden a las posibles carpetas de inicio en las diferentes
versiones de Windows. INST.EXE corresponde al servidor VNC.

A continuación suprime todos los recursos compartidos existentes en la
máquina y ejecuta el programa servidor de VNC (inst.exe).

Como puede observarse, el daño potencial que puede provocar este gusano
es realmente muy difícil de valorar, aunque puede llegar a ser
catastrófico al abrir una puerta secreta para el control remoto de la
máquina, con privilegios de administrador.

Recordamos, una vez más, que no existe ninguna razón que justifique
permitir el tráfico NetBIOS procedente desde Internet y con destino a
nuestras máquinas. Los sistemas de protección perimetrales deben filtrar
cualquier intento de conexión remoto. Para protegernos ante posibles
máquinas de la red local infectadas por este gusano, deberemos proceder
a la actualización del archivo de firmas de nuestro programa antivirus.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1597/comentar

Xavier Caballé
xavi@hispasec.com

Más información:

W32.HLLW.Deloder
http://www.symantec.com/avcenter/venc/data/w32.hllw.deloder.html

W32/Deloder.Worm
http://vil.nai.com/vil/content/v_100127.htm

Worm.Deloder.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_DELODER.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?Vname=BKDR_DELODER.A

W32.HLLW.Deloder
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2341

W32/Deloder-A
http://www.sophos.com/virusinfo/analyses/w32delodera.html

W32.Deloder
http://www.quands.info/alertes/html/w32deloder.html

Deloder
http://www.f-secure.com/v-descs/deloader.shtml

Compártelo: