Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / General / W32.HLLW.Deloder, un nuevo gusano que busca máquinas Windows en Internet

W32.HLLW.Deloder, un nuevo gusano que busca máquinas Windows en Internet

Por Leave a Comment

Durante las últimas horas del domingo, diversos servicios de vigilancia
de incidencias de seguridad en la red han notado un incremento en el
tráfico con destino al puerto tcp/445. Se trata de un nuevo gusano,
W32.HLWW.Deloder, que busca máquinas Windows 2000/XP conectadas a
Internet que permitan conexiones NetBIOS.

Se trata de un gusano que intenta conectar contra la máquina a través
del puerto tcp/445, como «Administrator» y utilizando una serie fija de
contraseñas. Si consigue introducirse en un ordenador, instala una copia
del servidor de control remoto VNC. Estos programas son instalados de
forma que no aparezca ningún icono en la barra de tareas de Windows.

Una vez conseguido el acceso a la máquina, el gusano se copia él mismo
como DVLDR32.EXE e intenta copiar el archivo INST.EXE en los siguientes
directorios:

\WINNT\All Users\Start Menu\Programs\Startup\
\WINDOWS\Start Menu\Programs\Startup\
\Documents and Settings\All Users\Start Menu\Programs\Startup\

que corresponden a las posibles carpetas de inicio en las diferentes
versiones de Windows. INST.EXE corresponde al servidor VNC.

A continuación suprime todos los recursos compartidos existentes en la
máquina y ejecuta el programa servidor de VNC (inst.exe).

Como puede observarse, el daño potencial que puede provocar este gusano
es realmente muy difícil de valorar, aunque puede llegar a ser
catastrófico al abrir una puerta secreta para el control remoto de la
máquina, con privilegios de administrador.

Recordamos, una vez más, que no existe ninguna razón que justifique
permitir el tráfico NetBIOS procedente desde Internet y con destino a
nuestras máquinas. Los sistemas de protección perimetrales deben filtrar
cualquier intento de conexión remoto. Para protegernos ante posibles
máquinas de la red local infectadas por este gusano, deberemos proceder
a la actualización del archivo de firmas de nuestro programa antivirus.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1597/comentar

Xavier Caballé
xavi@hispasec.com

Más información:

W32.HLLW.Deloder
http://www.symantec.com/avcenter/venc/data/w32.hllw.deloder.html

W32/Deloder.Worm
http://vil.nai.com/vil/content/v_100127.htm

Worm.Deloder.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_DELODER.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?Vname=BKDR_DELODER.A

W32.HLLW.Deloder
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2341

W32/Deloder-A
http://www.sophos.com/virusinfo/analyses/w32delodera.html

W32.Deloder
http://www.quands.info/alertes/html/w32deloder.html

Deloder
http://www.f-secure.com/v-descs/deloader.shtml

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.