Extrañas intrusiones

rafestrape · Mensaje por **rafestrape** » 13 Ene 2005, 14:57

Hola a todos:

He estado leyendo el foro y he aprendido algo de estas cosas, aunque nunca se aprende suficiente. Os cuento el caso a ver si alguien me puede ayudar para entender lo que pasa y evitarlo:

Después de algún tiempo con el PC he comprado e instalado otro disco duro para tener más capacidad.

Después de instalar el sp2 de Win no me funcionaban bien los p2p y decidí instalar en el nuevo disco el xp sin actualizaciones y ponerle mis antivirus, antiespías y cortafuegos por mi cuenta ya que el sp2 no me ha impedido que entraran estos, sólo que no funcionaran bien los p2p.

Bueno, la cuestión es que nada más instalar el xp, el antivirus con cortafuegos (Bitdefender) y el ad-aware con ad-wach, intalo el ADSL con modem y la luz del chivato empieza a encenderse indicando que hay tráfico de datos; corto el cable e instalo la opción de servidor de seguridad de Win.; pongo el cable otra vez y sigue igual. Al mirar el registro del servidor de seguridad veo un montón de IPs que se han conectado a mí y que están sacando y metiendo cosas, el antivirus me dice que ha entrado un Backdoor (creo que se dice así) en system32. Lo he eliminado y ahora está en system volume creo. Tendré que eliminarlo como he aprendido en este foro, desactivando restaurar sistema.

Creo que se han creado carpetas nuevas incluso, yo no he podido parar este tráfico ni bloqueando cualquier IP en el cortafuegos. No se puede bloquear una por una porque son cientos y no se repiten después de haber conectado. A mí me entran por puertos distintos y el de ellos es casi siempre el 135. Después de un rato largo cesó este tráfico.

La cuestión es si creeís que se debe a las comparticiones administrativas que he leido en

http://www.satinfo.es/web/2003/comparticions.html

no entiendo cómo se quitan con el método que explica porque no sé dónde y cómo se crea el fichero .bat y cómo podría desactivarlo si lo necesito en algún momento.

¿O esto es algo normal? Me gustaría hacer el otro disco que me queda antiguo de manera que cuando lo ponga no entre ni salga ningún dato que yo no quiera ¿es esto posible?

Por cierto, no he instalado Messenger y aún así me entran esos mensajes que te incitan, con ciertas malas artes, a visitar alguna página o hacer alguna llamada de teléfono . ¿podríais decirme cómo evitar que entren?

Muchas gracias por vuestro interés

Saludos y buena suerte a todos

rafestrape · Mensaje por **rafestrape** » 13 Ene 2005, 15:53

Ah, también desactivé las actualizaciones automáticas de Micro...

Mensaje por **flacoroo** » 13 Ene 2005, 16:01

actualiza tu antivirus y el ad-aware, pon tu computadora en modo seguro y los corres uno a la vez, claro esta desconectado fisicamente del cable de internet, debes tener actualizado tu windows y tu IE para que no tengas agujeros por donde se metan los virus, troyanos, etc....haz eso primero y nos dices como te fue...

Mensaje por **msc hotline sat** » 13 Ene 2005, 16:12

El que no instales el SP2 del XP implica que has de instalar los demás parches, especialmente el MS04-011 y MS04-012, sin los cuales eres vulnerable a las instrusiones por dichos agujeros de segurodad. Pero hay muchos mas, todos críticos, asi que lanza el windowsupdate e instala todos los criticos excluyendo el SP2 si no lo quieres.

Seguramente al no tener el MS04-012 tienes vulnerable el port NetBios 135, que dices que lo ves intrusionado, y por él entran cantidad de bichos, que puedes eliminar con el ELIRPCA.EXE, y además te dirá si te falta dicho parche:

https://foros.zonavirus.com/viewtopic.php?t=796

Sobre la intrusion de virus a través de comparticiones administrativas, efectivamemte hay muchos que desde Internet o desde otras máquinas en red utilizan este medio de propagacion, y con el fichero BAT que indicamos (se crea seleccionando el script, copiar y pegar en el bloc de notas, y salvarlo como NOSHARES.BAT que es el nombre que hemos dado en Satinfo a este fichero para descargas de nuestra web para nuestros asociados, copiar este fichero en la carpeta ...\inicio , donde se ejecutan al arrancar todos los ejecutables que hay en dicha carpeta:

C:\Documents and Settings\ALLUSE~1\MENúIN~1\Programas\Inicio

Y sobre algo para que no se infecte un disco duro esclavo en un ordenador, es tenerlo en un soporte removible y no tenerlo instalado, pues todo lo que no sea físico y se pueda hacer por software, se puede deshacer por software.

Y aun así, cuando lo insertaras, correrías el riesgo de que fuera infectado por virus residente en el ordenador, o en otros ordenadores Intranet o remotamente desde Internet. Yo uso removible para guardar copia de seguridad, y antes de insertarlo examino a fondo el master y la memoria para evitar infectarlo

Por todo ello, maximo cuidado y precaucion, que todos estamos igual, y con el software actual, todo es posible.

saludos

ms, 13-01-2005

rafestrape · Mensaje por **rafestrape** » 14 Ene 2005, 22:32

Bueno, Gracias por vuestro interés.

He pasado el Ad-aware y el Bitdefender y han encontrado algo, (tracking cookie ....@mediaplex[1].txt y dos Exploit.ADODB.Stream) y el Ad-watch que también a encontrado cosas, he denegado todas menos una para Java porque lo instalé hoy.

Luego he bajado y corrido el Elirpca, me dice que si quiero eliminar las colas de impresión, le he diccho que no ¿Debo eliminarlas?

me dice que no hha detectado gusanos y que ha restaurado las claves de registro..... y también que no está MS04-12.

No he podido correr el Bitdefender en modo seguro pero el Ad-aware sí. Todo esto con el cable desconectado.

Luego he reiniciado en modo normal y el chivato del modem se ha puesto ha funcionar sin que yo abriera el Explorer, en poco rato antes de que pudiera buscar actualizaciones el antivirus me avisa de que entran un montón de Backdoor.Rbot .ntBot, máas de 11 en distintas ocasiones, todos van a distintos ficheros que se crean en System32 y que se llaman TFTP seguidos de algún número. El PC se me ha ralentizado mucho pero he podido hacer el fichero NOSHARES como me indicaste.

Ahora con este fichero y con la opción de servidor seguro de Win.. perece que no me está entrando nada o casi nada porque el chivato se enciende algunas veces. Cuando desactivo la oción de servidor seguro de win vuelven a entrar Backdoor rápidamente.

No encuentro las actualizaciones MS04-11 y 12 las he buscado en Win Update pero sólo me ofrecen paquetes, lo voy a bajar de la mula.

¿tengo que eliminar las colas de impresión con el Elirpca?

Muchas gracias os seguiré contando.

Mensaje por **msc hotline sat** » 19 Ene 2005, 10:00

No hace falta eliminar la cola de impresion si no tienes problemas con la impresora. Ello se hace para los virus que envian gusanos a todos los recursos compartidos, incluida la comparticion PRINTER$ , con lo cual envia improcedentemente ficheros a la impresora, además de a todas las unidades para propagacion del virus, y se bloquea esta, oudiendo liberarla aceptando eliminar la cola de impresion.

Lo que está claro de todo esto ews que te faltan los parches de microdoft, y que sin ello recibiras intentos de intrusion por todas partes, incluidos el TCP 445 y el NetBIos 135. Instalalos, y mejor todos los criticos, con el windowsupdate.

saludos

ms, 19-01-2005