Informe v2

ADVANCED SOLUTIONS 2H MEXICO, S. DE R.L. DE C.V.
CAMINO DE LOS TOROS #61 – 2

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
BOLETÍN INFORMATIVO
DOWNADUP/CONFICKER/KIDO
SÍNTOMAS, DETECCIÓN Y PREVENCIÓN
martes, 10 de febrero de 2009
informes@2hmexico.com.mx Página 1 10/02/2009

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
ANTECEDENTES
El día 8 de agosto de 2006, Microsoft publica en su boletín de seguridad con clave MS06-040 1,
una vulnerabilidad que tiene como objetivo al servicio “Server” (no confundir con Windows
Server) y su incapacidad de validar mensajes enviados a través de RPC, el atacante podía
provocar un buffer overflow y ejecutar código arbitrario con privilegios de sistema.
Posteriormente Microsoft publica un parche de seguridad para los sistemas afectados pero aún
así se vieron repercusiones con los sistemas comprometidos. El más conocido fue el caso del
Mocbot, una mezcla entre worm y bot que había sido visto originalmente atacando sistemas
vulnerables a lo descrito en el boletín MS06-039 2 publicado el 9 de agosto de 2005.
Bajo este antecedente se esperaba que el servicio “Server” hubiese sido mejorado o cerrado
finalmente a ataques similares, lamentablemente Microsoft publica en su boletín de seguridad
MS08-67 3 del día 23 de octubre de 2008, los detalles de una vulnerabilidad de nivel Crítico en el
servicio “Server” informando sobre la posibilidad de ejecutar código arbitrario de forma remota
en el equipo vulnerable después de provocar un buffer overflow.
La vulnerabilidad se origina a través del Puerto 135/TCP que es mejor conocido como RPC
(Remote Procedure Call) una vez más apuntando al servicio “Server” propiciando, en caso de
un ataque exitoso, la ejecución de código con privilegios de Sistema en el equipo vulnerado,
además se mencionó que previamente el “atacante” debía estar autenticado en el equipo
vulnerado para los casos en que el sistema operativo se tratase de Windows Vista, Windows
Server 2008 y Windows 7 (actualmente en beta), esto por las funciones DEP (Data Execution
Prevention) y ASLR (Address space layout randomization) incorporadas en dichos sistemas
operativos, pero en el caso de que el sistema operativo fuese Windows XP o cualquier versión
previa, el ataque podía llevarse a cabo sin la necesidad de un autenticación previa.
Se incorpora una lista completa de los sistemas operativos afectados en el “Anexo A”.
Síntomas de posible infección
Es probable que en principio uno no distinga cuando un equipo ya ha sido infectado pero se ha
observado que en muchos casos los principales síntomas son algunos de los siguientes:
• Alertas o avisos sobre cuentas de usuario bloqueadas por exceso de intentos de inicio de sesión
incorrectos; esto debido a que algunas variantes intentan iniciar sesión como un usuario, ya sea en
1
http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx
2
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
3
http//www.microsoft.com/technet/security/bulletin/ms08-067.mspx

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
el equipo o en el Servidor de Dominio y debido a que utiliza técnicas de fuerza bruta, es posible
que una o más cuentas se bloqueen después de varios intentos infructuosos
• Servicios como Actualizaciones Automáticas, “Background Intelligent Transfer Service (BITS)”,
Windows Defender o el Servicio de Reporte de Errores (en inglés Error Reporting Services) se
muestran desabilitados
• Se detienen también los siguientes servicios, los nombres son los de sus ejecutables:
o wuauserv
o BITS
o wscsvc
o WinDefend
o ERSvc
o WerSvc
• Servidores de Dominio responden después de mucho tiempo de espera a las peticiones de
servicios de dominio o autenticación
• La red se ve con una gran carga de trabajo en forma constante durante casi todo el día
• Se pierde la posibilidad de conectarse a varios sitios web en Internet relacionados con noticias o
tecnologías de seguridad de la información, esto colgándose de APIs para consultas de nombre de
dominio (DNS). Se incorpora una lista sobre las palabras clave que el worm intenta bloquear a nivel
host en el “Anexo B”
o DNS_Query_A
o DNS_Query_UTF8
o DNS_Query_W
o Query_Main
o sendto
• Se pierde la posibilidad de instalar aplicaciones o realizar tareas de mantenimiento que tengan que
ver con el servicio de Microsoft Installer; esto aplica principalmente para archivos de extensión
.msi, también es muy utilizado por las aplicaciones de protección, tales como antivirus y firewalls
para realizar sus tareas de actualización de firmas
• Mensajes de error en intervalos de tiempo aleatorio relacionados a los archivos services.exe ó
svchost.exe
• En caso de tener una solución de Firewall capaz de capturar tráfico de red en OSI Layer-2 y en caso
de que dicha solución cuente con las firmas necesarias para la detección de dicho ataque, se
pueden observar múltiples alertas sobre tráfico hacia segmentos de red inexistente sobre los
puertos 135/TCP o 445/TCP, esto debido a los métodos de propagación por broadcasting del worm
en la red
• Aparece la siguiente clave en el registro de Windows:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpNumConnections"=dword:00fffffe

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
MÉTODOS DE INFECCIÓN
Para su propagación, este worm modifica la clave de registro previamente mencionada
“TcpNumConnections” con la finalidad de dispersarse con mayor rapidez entre la red o redes a
las que tiene acceso.
Pero no solamente realiza esta modificación, para acelerar aún más su dispersión modifica el
número máximo de conexiones posibles en memoria conocidas como “half-open”, esto a través
del controlador de TCP de Windows aumentando el valor a 268435456 (0x10000000) el archivo
relacionado es %system%\drivers\tcpip.sys
Mediante la función NetServerEnum se enlistan todos los equipos del dominio o del grupo de
trabajo con los que se ha tenido contacto o visibles en el entorno de red para después intentar
autenticarse en ellos con las posibles combinaciones de acceso:
• La cuenta del usuario del equipo actualmente infectado; si dicha cuenta no tiene privilegios de
Administrador en el equipo en el que se trata de alojar entonces no tendrá éxito
• Obteniendo una lista de nombres de usuario del equipo al que quiere infectar a través de la API
NetUserEnum para posteriormente intentar una combinación con los nombres de usuario
obtenidos y los passwords enlistados en el “Anexo C”
Si tuvo éxito con alguna de las combinaciones lo siguiente será intentar crear una copia de si
mismo en el recurso compartido de sistema ADMIN$ de la forma:
\\[Nombre_Equipo]\ADMIN$\System32\[nombre_aleatorio].[extension_aleatoria]
También intentará crear una tarea pre-programada para ejecución diaria del siguiente comando:
rundll32.exe [nombre_aleatorio].[extensión_aleatoria], [entrypoint_aleatorio]
Para su replicación externa, el worm intenta conectarse a los sitios:
• checkip.dyndns.org
• getmyip.co.uk
• www.getmyip.org
• www.whatismyipaddress.com
Esto lo hace para conocer el IP Público de la máquina en la que se encuentra alojado y abre un
puerto aleatorio recibiendo conexiones en ese IP Público, con este procedimiento logra enviar
conexiones hacia otros IP Públicos intentando vulnerar a otros equipos mediante el puerto de
RPC y cuando lo logra, hace que éstos descarguen una copia del gusano conectándose al IP
Público del que se originó el ataque, por el protocolo HTTP al puerto aleatorio que escogió

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
previamente, la copia del gusano se descarga con extensión BMP, GIF, JPEG ó PNG para
lograr evadir los filtros de contenido, por último inyecta el API NetpwPathCanonicalize para
detener el proceso de explotación de la vulnerabilidad y evitar errores visibles.
Se sabe también que para determinar la fecha exacta, se conecta a los dominios:
• ask.com
• baidu.com
• google.com
• w3.org
• yahoo.com
La fecha la utiliza para generar una lista adicional de los dominios de donde puede descargar
archives adicionales, como por ejemplo: http://%Dominioprecalculado%/search?q=%d
%Dominioprecalculado% se origina dependiendo de la fecha obtenida y los archivos
descargados tienen un nombre aleatorio y la extensión .tmp
Otro de los cambios que realiza en los sistemas infectados es la desactivación del Centro de
Seguridad (Security Center), Windows Defender, además de registrarse como una aplicación
válida para Windows Firewall y esto lo hace mediante la siguiente modificación al registro:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Glo
ballyOpenPorts\List, [NumeroPuerto]:TCP = [NumeroPuerto]:TCP:*Enabled:[aleatorio]"
Para ocultar su presencia, elimina los puntos de Restaurar Sistema (System Restore Points en
los sistemas operativos en inglés) realizados por el usuario y añade las siguientes
modificaciones al registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO
WALLCheckedValue = dword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
netsvcs = %Datos_Previos% %aleatorio%
Se crea también un archive temporal con extensión .TMP en alguno de los directorios de
sistema o en algún directorio temporal, este archivo temporal se registra como un controlador
de servicio para el kernel, lo que termina por asegurar la permanencia del gusano en el sistema
y lo hace mediante esta modificación al registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[aleatorio]
Type = dword:00000001
Start = dword:00000003
ErrorControl = dword:00000000
ImagePath = "\...\%RutaWorm%\[aleatorio].tmp"
DisplayName = [Aleatorio]

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
Una vez que se registran esta llave y sus valores se elimina el archivo temporal que se creó
para registrarse a nivel kernel, que sería: %RutaWorm%\[aleatorio].tmp
El gusano también realiza los siguientes cambios:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
DisplayName = %NombreServicio%
ErrorControl = dword:00000000
ImagePath = "%SystemRoot%\system32\svchost.exe -k netsvcs"
ObjectName = "LocalSystem"
Description = %un_texto_descriptivo%
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[aleatorio]\Parameters
ServiceDll = %RutaWorm%
Para %NombreServicio% se combinan dos palabras de la siguiente lista en forma aleatoria:
Boot Manager Support
Center Microsoft System
Config Monitor Task
Driver Network Time
Helper Security Universal
Image Server Update
Installer Shell Windows
Otros archivos que se ven involucrados en la propagación y ejecución se encuentran en la

siguiente forma:
• %System%\[Aleatorio].dll
• %Program Files%\Internet Explorer\[ Aleatorio].dll
• %Program Files%\Movie Maker\[ Aleatorio].dll
• %All Users Application Data%\[ Aleatorio].dll
• %Temp%\[ Aleatorio].dll
• %System%\[ Aleatorio].tmp
• %Temp%\[ Aleatorio].tmp
Los directorios son variables dependiendo del idioma del sistema operativo, aquí se muestran
para el idioma inglés.
Si comparamos los datos de fecha de creación de cada uno de esos archivos contra los datos
del archivo %System%\kernel32.dll veremos que tienen la misma fecha.

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
Para su propagación a través de dispositivos de almacenamiento se crean entradas en el

registro para su ejecución automática cada vez que se inicia el sistema, pero también crea los
siguientes archivos en las unidades de almacenamiento del sistema y recursos compartidos:
%LetradeUnidad%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-
%d\[...].[3caracteresaleatorios]
%LetradeUnidad%\autorun.inf
Existe una variante que añade varias llaves al registro, una de ellas con la siguiente cadena de
texto:
• Servicedll = %Systemroot%\system32\[3 caaracteres aleatorios].dll
Otras con la siguiente estructura:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
netsvcs = %Valores_anteriores_reales% %nombre_aleatorio.dll%
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%Nombre_aleatorio_Dll%
DisplayName = "[cadena de texto]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\% Nombre_aleatorio_Dll %
ErrorControl dword:00000000
ImagePath = "%SystemRoot%\system32\svchost.exe -k netsvcs"
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Nls
(Default) = dword:%Digitos_Aleatorios%
Y descarga el archivo http://trafficconverter.biz/4vir/antispyware/loadadv.exe

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
MÉTODOS DE PROPAGACIÓN AVANZADOS
Funciones incorporadas Peer-to-Peer (P2P)

A parte de los métodos de propagación anteriormente mencionados, el virus utiliza funciones
básicas de las redes Peer-to-Peer para compartir e intercambiar archivos entre máquinas
infectadas utilizando el protocolo HTTP en puertos aleatorios, pero el proceso de conexión e
intercambio se realiza mediante el puerto 135/TCP del servicio RPC, pero para optimizar tiempo
y evitar errores, verifica que la máquina ya ha sido infectada realizando comprobaciones del
código de las aplicaciones que se están ejecutando en el equipo, si la máquina ya fue infectada
por la misma versión del virus que está realizando la comprobación, entonces el equipo remoto
le “regresa” la conexión pero esta vez por un puerto aleatorio y por el protocolo HTTP para
recibir los nuevos archivos o piezas de código actualizadas, una analogía de Windows Update
pero sin un servidor central, si el código no necesita ser actualizado entonces simplemente se
descarta y en cambio, se actualiza el equipo que inició la conexión pero que en este caso no se
encuentra con las últimas actualizaciones y este proceso se repite constante e indefinidamente
para poder mantenerse al día.
Una característica más es que todo se realiza con el código original del virus residente en
memoria, lo cual hace innecesario que nuevos archivos se creen en los equipos, todo se
procesa directo de la memoria y las partes nuevas del código se almacenan en el registro de
Windows en llaves aleatorias haciendo prácticamente imposible para los antivirus que
únicamente verifican los archivos leídos o escritos en el disco.

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
PROCESO DE DISTRIBUCIÓN VÍA P2P
Con soporte de módulo Metasploit

Metasploit es una plataforma open source basada en ruby y con diseño modular que
proporciona herramientas y flexibilidad para realizar pruebas referentes a seguridad en sistemas
operativos, aplicaciones ó dispositivos de infraestructura de redes. Su diseño y programación
permiten el desarrollo de nuevos módulos por parte de aquellos con el conocimiento suficiente,
dichos módulos pueden realizar desde pruebas simples de conectividad y envío de paquetes
hasta análisis completos y pruebas de penetración enfocadas a una vulnerabilidad específica.
Recientemente se han encontrado variantes de Downadup/Conficker que incorporan código del
módulo ms08_067_netapi de Metasploit, el objetivo principal es aprovechar la característica de
dicho módulo para evadir la protección de Windows que evita ejecutar archivos que carecen de
extensiones de ejecutables, por ejemplo, los .EXE. Pero también incorpora funciones para la
detección de la versión exacta del sistema operativo remoto, los Service Packs instalados, lo
cual podría provocar una optimización superior al momento de determinar el mejor método de

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
“ataque” dependiendo de la versión del sistema operativo remoto o el realizar ciertas acciones o
ejecutar ciertas aplicaciones según sea necesario.
Con soporte Universal Plug’n’Play (UPnP)
Al incorporar soporte UPnP el Downadup/Conficker tiene la capacidad de recopilar información
acerca de los dispositivos UPnP de la red, esto es más común en usuarios o empresas con
enlaces de Cablemodem o ADSL en donde las empresas de telecomunicación proveen a los
usuarios con equipos que soportan dichas funciones a fin de facilitar la configuración a los
usuarios, pero es mediante esta función que el gusano es capaz de conocer el IP público del
dispositivo, datos sobre la compuerta de salida o la cercanía de otros dispositivos UPnP. Lo
más peligroso es que la función UPnP sirve también para que los equipos de conectividad
habiliten o apaguen ciertas reglas de NAT inverso, esto es, que agreguen a discreción del
usuario, políticas que permitan a ciertas conexiones desde el exterior (Internet) ingresar
directamente a equipos de la red local y esto mismo es lo que puede hacer el worm en forma
automática una vez que ha detectado un equipo UPnP en la red y todo sin la atención del
usuario.

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
MÉTODOS DE PROTECCIÓN
Mantenerse al día con las últimas actualizaciones

Si consideramos que el tiempo entre la “difusión pública” de una vulnerabilidad y la publicación
de un parche para la misma se ha ido reduciendo progresivamente durante los últimos años tal
como muestra la siguiente tabla:
Boletín Microsoft Malware Fecha de Primeros indicios de Días de diferencia
publicación del un Worm atacando Parche/worm
Parche
MS01-020 Nimda Octubre 17, 2000 Septiembre 18, 335 días
2001
MS02-061 Slammer Julio 24, 2002 Enero 25, 2003 185 días
MS03-026 Blaster Julio 16, 2003 Agosto 11, 2003 26 días
MS04-011 Sasser Abril 13, 2004 Abril 30, 2004 17 días
MS05-039 Zotob Agosto 9, 2005 Agosto 14, 2005 5 días
MS06-040 Mocbot Agosto 8, 2006 Agosto 12, 2006 4 días
MS08-067 Gimmiv Octubre 23, 2008 Octubre 23, 2008 0 días
Fuente AvertLabs, McAfee, Inc.
Debemos reconocer que mantener los equipos actualizados con los parches del fabricante es el
principal medio de prevención de ser víctimas de incidentes de seguridad o pérdida de
información.
Se recomienda la implementación de Microsoft Windows Server Update Services (WSUS) a fin
de tener una plataforma de control de las actualizaciones para las distintas versiones de todos
los productos Microsoft instaladas en la empresa o incluso en la mediana y pequeña empresa.
Lo lamentable es que hoy día es más seguro un equipo de uso personal que uno de uso
empresarial, ya sea laptop o de escritorio y esto debido a que nuestros equipos de uso personal
vienen preconfigurados para una fácil utilización y con un cierto nivel de protección/seguridad
predefinido por el fabricante o proveedor y esto se refiere en el caso del sistema operativo
Windows, a su módulo de Firewall, al nuevo Windows Defender, al Security Center, al Malicious
Software Removal Tool que se distribuye periódicamente a través de Windows Update, el cual
también es habilitado por default cuando adquirimos un equipo nuevo con Windows pre-

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
instalado. Y cuando desactivamos alguno de estos servicios, recibimos alertas visuales sobre el
riesgo que corremos al hacerlo y recordatorios periódicos sobre la conveniencia de reactivarlos.
Ahora bien, en un equipo de oficina que pertenece a un Grupo de Trabajo o Dominio a través
de Directorio Activo siempre vamos a depender de las políticas que se distribuyan o no a través
del Directorio Activo y esto es debido a la forma en que se trabaja en un entorno de red.
Tomemos por ejemplo la necesidad de distribuir y compartir información con otros compañeros
de oficina o personal de distintos departamentos dentro de la empresa que necesiten dichos
datos para realizar sus actividades, para ello contamos con dispositivos USB, directorios
compartidos en las estaciones de trabajo, algunos utilizarán almacenes de archivos alojados en
servidores y accesibles desde cualquier punto de la red, o contarán con tecnologías NAS o SAN
para la distribución y almacenamiento de cantidades más grandes de información, bases de
datos, bitácoras, archivo muerto, etc. También es muy seguro que necesitemos compartir
dispositivos, los más comunes, las impresoras ó en otros casos contemos con aplicaciones de
colaboración y comunicación en tiempo real, tal como lo permite la suite de Lotus o las últimas
tecnologías de Microsoft como Live Communicator Enterprise y esto nos lleva a que son tantas
las aplicaciones, soluciones, tecnologías y recursos que necesitamos para nuestras actividades
laborales, que los administradores de sistemas terminan por desactivar las funciones de
protección predefinidas, ya que es más fácil configurar de un solo click a todos los equipos de la
red para que permitan todo e ignoren cualquier cosa a pasar semanas y a veces meses,
definiendo una buena estrategia de seguridad de la información.
Definir una Estrategia de Seguridad de la Información

Es importante que en la Empresa se realicen juntas de planeación para definir los distintos
niveles de importancia o criticidad de la información, de los recursos tecnológicos o de los
procesos y procedimientos para la obtención y análisis de los datos, también se deben definir
los distintos niveles jerárquicos para el control y acceso a la información, los distintos perfiles de
usuario en base a sus puestos de trabajo y actividades y definir los tipos de control de acceso
que deberán utilizar para hacer uso de los recursos tecnológicos de la empresa.
Como hemos visto, Downadup/Conficker tiene incorporadas funciones que le permiten
aprovecharse de contraseñas bastante débiles, sencillas y comunes, de igual forma, con los
detalles mencionados, nos podemos dar cuenta de que cuando se ha vulnerado un equipo en
donde el usuario tiene privilegios de Administrador, su propagación se hace muchísimo más

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
fácil y el problema es que actualmente, en muchas empresas que carecen de políticas de

seguridad definidas, es una costumbre común proveer a todas las personas con cuentas de
usuario y privilegios de Administrador en los equipos de cómputo de la Empresa.
Análisis de Vulnerabilidad Simples

Microsoft tiene una herramienta llamada Baseline Security Analyzer, el cuál obtiene información
de todos los equipos de la red y nos provee con información sobre la versión del sistema
operativo, los parches instalados, los parches no instalados, el Service Pack instalado y una
alerta en caso de existir uno más actualizado. También nos provee de información sobre
actualizaciones de otros productos Microsoft, tal es el caso de SQL Server, la línea de
Microsoft Office, Internet Information Services, entre otros.
Tal vez el Baseline Security Analyzer no suene a una de tantas aplicaciones de “seguridad”
para realizar PenTests, pero ciertamente es una herramienta muy efectiva que complementa al
WSUS ya que podemos verificar con un producto distinto si en realidad las actualizaciones se
están instalando correctamente o si nuestros usuarios están utilizando passwords de uso
común o fáciles de adivinar.
También nos muestra un listado de los recursos compartidos en los equipos analizados y los
permisos de los archivos alojados en ellos, lo cual es importante al momento de buscar indicios
de un “virus outbreak”, ya que podemos revisar en uno por uno y en forma veraz, la posible
existencia de archivos extraños en todos ellos o desactivar aquellos recursos compartidos que
no debieran existir, sobre todo en equipos con información sensible.
Detección de Intrusos a nivel Host

Es muy importante comenzar a implementar tanto en casa como en la empresa, una solución
que proteja nuestros equipos contra amenazas actuales, un antivirus es una aplicación que
busca patrones (firmas, caracteres definidos) dentro de los archivos o tipos de archivo que
nosotros especifiquemos o para los que estén configurados desde su programación o al
momento de instalarlos, pero actualmente existen amenazas de tipo rootkits o gusanos como
Downadup/Conficker, que no requieren forzosamente de crear archivos en el disco duro o
unidades de almacenamiento para comprometer el equipo, recordemos que
Downadup/Conficker se basa en explotar una vulnerabilidad del sistema operativo a través de
un servicio que recibe conexiones de red y que realmente, la función de dicho servicio no es el

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
envío o la recepción de archivos, pero es básico para la integración de los diferentes servicios
de colaboración de Windows. Es por ello que, si cerramos el puerto, perderemos las
características de colaboración, como por ejemplo el compartir archivos, en el caso de una red
doméstica esto podría ser factible, en el caso de una red empresarial, no tanto. Hoy día existen
soluciones conocidas como Host Intrusion Protection System (HIPS – Protección de Intrusos a
nivel Host), estas soluciones realizan funciones similares a las de un detector de intrusos pero a
nivel de aplicación. En nuestras experiencias más recientes con el Downadup/Conficker,
notamos que aquellos equipos que contaban con el módulo HIPS de McAfee sólo reportaban
que el archivo “services.exe” había sido detenido en su ejecución a causa de un probable buffer
overflow. Lo cual significaba que antes de que Downadup/Conficker finalizara su ataque hacia el
equipo, el HIPS había “matado” a la aplicación services.exe deteniendo por completo el avance
del gusano.

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
Antivirus en Host
Recordemos que Downadup/Conficker también puede crear archivos no sólo en los hosts que
ha comprometido, sino además en los dispositivos de almacenamiento conectados al mismo,
por ello es importante mantener al día nuestro antivirus con las últimas actualizaciones y crear
políticas de acceso a directorios o partes importantes del sistema operativo, McAfee permite
configurar una serie de políticas de protección que van desde el bloqueo de creación de
archivos en partes críticas del sistema operativo, hasta políticas de acceso de claves del
registro, dichas políticas pueden ser aplicadas por perfiles de usuario, de estaciones de trabajo
o a nivel global a través de su consola de administración mejor conocida como ePolicy
Orchestrator (ePO).
A continuación se presentan una serie de ejemplos de las políticas mencionadas:

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
Firewall a nivel Red

Al día de hoy se han liberado varias firmas capaces de detectar y filtrar la firma representativa
del Downadup/Conficker a nivel de red mediante Firewalls ó Sistemas de Detección y
Protección de Intrusos, se filtran principalmente los puertos 135/TCP y 445/TCP aunque debido
a la función de Reverse Connection que incorpora el gusano, se recomienda crear reglas que
cubran bidireccionalmente a todo el tráfico HTTP de la red, al menos hasta cerciorarse de que
no existe mayor peligro o riesgo alguno.
En el caso de los equipos Fortinet, un ataque de Downadup/Conficker se detecta en la siguiente
forma:

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
“ANEXO A”
SISTEMAS OPERATIVOS
AFECTADOS

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
• Windows Server 2008 Datacenter without Hyper-V

• Windows Server 2008 Enterprise without Hyper-V
• Windows Server 2008 for Itanium-Based Systems
• Windows Server 2008 Standard without Hyper-V
• Windows Server 2008 Datacenter
• Windows Server 2008 Enterprise
• Windows Server 2008 Standard
• Windows Web Server 2008
• Windows Vista Service Pack 1
o Windows Vista Business
o Windows Vista Enterprise
o Windows Vista Home Basic
o Windows Vista Home Premium
o Windows Vista Starter
o Windows Vista Ultimate
o Windows Vista Enterprise 64-bit Edition
o Windows Vista Home Basic 64-bit Edition
o Windows Vista Home Premium 64-bit Edition
o Windows Vista Ultimate 64-bit Edition
o Windows Vista Business 64-bit Edition
• Microsoft Windows Server 2003 Service Pack 1
o Microsoft Windows Server 2003, Standard Edition (32-bit x86)
o Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
o Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
o Microsoft Windows Server 2003, Web Edition
o Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
o Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
• Microsoft Windows Server 2003, Datacenter x64 Edition
• Microsoft Windows Server 2003, Enterprise x64 Edition
• Microsoft Windows Server 2003, Standard x64 Edition
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 Service Pack 2
o Microsoft Windows Server 2003, Standard Edition (32-bit x86)
o Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
o Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
o Microsoft Windows Server 2003, Web Edition
o Microsoft Windows Server 2003, Datacenter x64 Edition
o Microsoft Windows Server 2003, Enterprise x64 Edition
o Microsoft Windows Server 2003, Standard x64 Edition
o Microsoft Windows XP Professional x64 Edition
o Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
o Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
• Microsoft Windows XP Service Pack 2
o Microsoft Windows XP Home Edition

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
o Microsoft Windows XP Professional

• Microsoft Windows XP Service Pack 3
o Microsoft Windows XP Home Edition
o Microsoft Windows XP Professional
• Microsoft Windows 2000 Service Pack 4
o Microsoft Windows 2000 Advanced Server
o Microsoft Windows 2000 Datacenter Server
o Microsoft Windows 2000 Professional Edition
o Microsoft Windows 2000 Server

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
“ANEXO B”
Lista de palabras clave para sitios
web bloqueadas a nivel host

virus f-prot ikarus
spyware nod32 k7computing
malware eset norman
rootkit grisoft pctools
defender drweb prevx
microsoft centralcommand rising
symantec ahnlab securecomputing
norton esafe sunbelt
mcafee avast emsisoft
trendmicro avira arcabit
sophos quickheal cpsecure
panda comodo spamhaus
etrust clamav castlecops
networkassociates ewido threatexpert
computerassociates fortinet wilderssecurity
f-secure gdata windowsupdate
kaspersky hacksoft
jotti hauri

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
“ANEXO C”
Lista de “Default Passwords”

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
[%usuario%] 666666 computer

[%usuario%][%usuario%] 6666666 controller
[%oirausu%] 66666666 cookie
00000 7654321 customer
0000000 77777 database
00000000 777777 default
0987654321 7777777 desktop
11111 77777777 domain
111111 87654321 example
1111111 88888 exchange
11111111 888888 explorer
123123 8888888 files
12321 88888888 foobar
123321 987654321 foofoo
12345 99999 forever
123456 999999 freedom
1234567 9999999 games
12345678 99999999 home123
123456789 a1b2c3 ihavenopass
1234567890 aaaaa Internet
1234abcd abc123 internet
1234qwer academia intranet
123abc access killer
123asd account letitbe
123qwe Admin letmein
1q2w3e admin Login
22222 admin1 login
222222 admin12 lotus
2222222 admin123 love123
22222222 adminadmin manager
33333 administrator market
333333 anything money
3333333 asddsa monitor
33333333 asdfgh mypass
44444 asdsa mypassword
444444 asdzxc mypc123
4444444 backup nimda
44444444 boss123 nobody
54321 business nopass
55555 campus nopassword
555555 changeme nothing
5555555 cluster office
55555555 codename oracle
654321 codeword owner
66666 coffee pass1

COL. AMÉRICA
C.P. 11820
TELs: 52 71 08 54 y 55 16 59 14
www.2hmexico.com.mx
pass12 qweasdzxc system

pass123 qweewq temp123
passwd qwerty temporary
Password qwewq temptemp
password root123 test123
password1 rootroot testtest
password12 sample unknown
password123 secret windows
private secure work123
public security xxxxx
pw123 server zxccxz
q1w2e3 shadow zxcvb
qazwsx share zxcvbn
qazwsxedc student zxcxz
qqqqq super zzzzz
qwe123 superuser
qweasd supervisor

Informe v2

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Informe v2

Încărcat de

Drepturi de autor:

Formate disponibile

ADVANCED SOLUTIONS 2H MEXICO, S. DE R.L. DE C.V.

CAMINO DE LOS TOROS #61 – 2

SÍNTOMAS, DETECCIÓN Y PREVENCIÓN

martes, 10 de febrero de 2009

informes@2hmexico.com.mx Página 1 10/02/2009

informes@2hmexico.com.mx Página 2 10/02/2009

informes@2hmexico.com.mx Página 3 10/02/2009

informes@2hmexico.com.mx Página 4 10/02/2009

informes@2hmexico.com.mx Página 5 10/02/2009

Otros archivos que se ven involucrados en la propagación y ejecución se encuentran en la

informes@2hmexico.com.mx Página 6 10/02/2009

Para su propagación a través de dispositivos de almacenamiento se crean entradas en el

Otras con la siguiente estructura:

Y descarga el archivo http://trafficconverter.biz/4vir/antispyware/loadadv.exe

informes@2hmexico.com.mx Página 7 10/02/2009

MÉTODOS DE PROPAGACIÓN AVANZADOS

Funciones incorporadas Peer-to-Peer (P2P)

informes@2hmexico.com.mx Página 8 10/02/2009

PROCESO DE DISTRIBUCIÓN VÍA P2P

Con soporte de módulo Metasploit

informes@2hmexico.com.mx Página 9 10/02/2009

informes@2hmexico.com.mx Página 10 10/02/2009

Mantenerse al día con las últimas actualizaciones

informes@2hmexico.com.mx Página 11 10/02/2009

Definir una Estrategia de Seguridad de la Información

informes@2hmexico.com.mx Página 12 10/02/2009

fácil y el problema es que actualmente, en muchas empresas que carecen de políticas de

Análisis de Vulnerabilidad Simples

Detección de Intrusos a nivel Host

informes@2hmexico.com.mx Página 13 10/02/2009

informes@2hmexico.com.mx Página 14 10/02/2009

informes@2hmexico.com.mx Página 15 10/02/2009

informes@2hmexico.com.mx Página 16 10/02/2009

Firewall a nivel Red

informes@2hmexico.com.mx Página 17 10/02/2009

informes@2hmexico.com.mx Página 18 10/02/2009

• Windows Server 2008 Datacenter without Hyper-V

informes@2hmexico.com.mx Página 19 10/02/2009

o Microsoft Windows XP Professional

informes@2hmexico.com.mx Página 20 10/02/2009

Lista de palabras clave para sitios

web bloqueadas a nivel host

informes@2hmexico.com.mx Página 21 10/02/2009

Lista de “Default Passwords”

informes@2hmexico.com.mx Página 22 10/02/2009

[%usuario%] 666666 computer

informes@2hmexico.com.mx Página 23 10/02/2009

pass12 qweasdzxc system

informes@2hmexico.com.mx Página 24 10/02/2009

S-ar putea să vă placă și