Desde hace unos meses atras se ha propagado la Moda de los bots XDCC los famosos iroffers pero, debido a que muchas personas han hecho muy mal uso de ellos, he decidido postear este articulo, el cual se me hace justo postearlo por seguridad de la red, de los usuarios y del mundo en general, ya que se me hace una vil basura el meter este tipo de programas sin el consentimiento de los usuarios NOVATOS, en sus computadoras. Cualquier duda se aclara en el canal #Ayuda en el servidor /server irc.red-latina.org Link de la Noticia: http://www.cert.org.mx/main.dsc?id=nota-UNAMCERT2004-008.html --------------------------------------------------------- nota de Seguridad/UNAM-CERT UNAM-CERT Departamento de Seguridad en Cómputo DGSCA-UNAM nota de Seguridad UNAM-CERT 2004-008 Patrones de Compromiso Recientes en Sistemas Windows ---------------------------------------------------------- En las últimas semanas el UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo UNAM) ha recibido diversos reportes de equipos con sistemas Windows NT, 2000, 2003 y XP comprometidos en red UNAM y redes MX. De acuerdo a análisis preliminares estos ocurren principalmente en sistemas que presentan características de contraseñas débiles o nulas y a la falta de actualizaciones de seguridad. Fecha de Liberación: 30 de Noviembre de 2004 Ultima Revisión: 10 de Diciembre de 2004 Fuente: Sistemas Afectados Microsoft Windows XP Microsoft Windows 2000 Microsoft Windows NT Microsoft Windows 2003 Descripción Los sistemas Windows Comprometidos detectados han sido analizados y éstos han presentado patrones similares de comportamiento. En la mayoría de los casos los sistemas fueron comprometidos para instalar un IRC (Internet Relay Chat) y un FTP, este último utilizado para establecer un sitio Warez (un sitio para poder colocar y descargar música, videos y películas). La forma de explotación de sistemas Windows reportada en las últimas semanas en diversos equipos dentro de red UNAM y redes MX, es a través de la explotación de contraseñas débiles o nulas utilizando mecanismos de fuerza bruta o herramientas que realizan ataques de diccionario. Utilizando mecanismos automáticos para acceder a través de fuerza bruta, y a su vez teniendo acceso al sistema, éste puede recibir instrucciones para ser controlado de forma remota y de esta forma poder lanzar ataques (por ejemplo ataques DDOS - Negación de Servicio Distribuido) contra otras redes y sistemas mediante una serie de herramientas y gusanos automatizados. También se han tenido reportes de que se están explotando vulnerabilidades en sistemas sin actualizaciones para obtener acceso. Una vez que el sistema es comprometido, el siguiente paso es utilizar herramientas automatizadas para colocar un IRC o FTP. Una técnica muy común para realizarlo es mediante un archivo compreso mediante la utilería Winrar, a través de la característica de SFX. Un archivo SFX (SelF-eXtracting) es un archivo fusionado con un módulo ejecutable, el cual es utilizado para extraer archivos cuando es ejecutado. De esta forma ningún programa externo es necesario para extraer el contenido de un archivo SFX, y es suficiente para ejecutarlo. Un ejemplo de las instrucciones que tienen este tipo de archivos son las siguientes: ;The comment below contains SFX script commands Path=c:winnt SavePath Setup=c:winntwincache94inst.bat Silent=1 Overwrite=1 Donde: Path: Establece la ruta de destino predeterminada donde se descomprimirá el archivo ejecutable. Setup: Ejecuta el programa especificado tras una extracción correcta. Silent: Omite el diálogo de inicio. El parámetro 1, inicia la extracción completamente oculta, incluyendo la barra de progreso y los nombres de archivo. Overwrite: Selecciona el modo de sobrescritura de archivos. Utilizando esta técnica se ha creado y modificado varios rootkits para Windows. Algunos ejemplos de estos son: Kit.exe. Se descomprime en la carpeta c:kit y al terminar ejecuta algunos archivos bat, uno de esto mueve el contenido de esta carpeta a c:windowssystem32dap, además de descomprimir otros ejecutables. sksksk.exe. Se descomprime en el directorio c:winntwincache94, al terminar de descomprimirse ejecuta diversos archivos. bncundernet.exe. Se descomprime en c:winntweb, al terminar ejecuta un archivo bat el cual tiene las instrucciones necesarias para realizar la instalación. Es importante señalar que éstos archivos tienen utilerías que son validas y por lo tanto no son detectadas por las firmas antivirus. En el siguiente apartado se mencionarán algunas de las utilerías comúnmente utilizadas. II. Software Malicioso Instalado Los archivos comunes para automatizar la instalación de IRCs, FTPS, puertas traseras entre otros son los siguientes. FireDaemon Utilería que permite instalar y ejecutar virtualmente cualquier aplicación

Hay 2076 palabras más en este escrito, para seguir leyendo debe identificarse