Derecho informáticos derecho nuevas tecnologías
artículos estafas fraudes Servicio legal derecho informático nuevas tecnologías asesoría problemas legislación
Derecho informáticos derecho nuevas tecnologías
Derecho informáticos derecho nuevas tecnologías
 Artículos de Actualidad
  • Adore Worm - La amenaza de los worms [13-04-01]  

    Un nuevo gusano, llamado Adore Worm, se ha detectado recientemente
    aprovechándose de las vulnerabilidades de seguridad de los sistemas
    operativos de software libre. Adore parece haber empezado a expandirse
    por los sistemas el día 1 de Abril.

    Este gusano, originalmente llamado Red Worm, es similar a los que
    últimamente hemos conocido, como Ramen and Lion. Su funcionamiento es
    bastante sencillo. Hace un escaneo sobre maquinas que ejecutan Linux en
    Internet y trata de determinar si ofrecen algún servicio vulnerable para
    aprovecharse como: LPRng (instalado por defecto en RedHat 7.0),
    rpc-statd, wu-ftpd y BIND. Solo afecta a versiones de Linux que corren
    bajo arquitectura x86.

    Después de encontrar un sistema vulnerable y conseguir los privilegios
    en la maquina, el gusano mueve el comando 'ps' a /usr/bin/adore, y lo
    suplanta con una versión con troyano (posiblemente sacada de un
    rootkit). Entonces envía un mail a las direcciones de correo
    adore9000@21cn.com, adore9000@sina.com, adore9001@21cn.com y
    adore9001@sina.com con la siguiente informacion:
    * /etc/ftpusers
    * ifconfig
    * ps -aux <- (mediante la versión original en /usr/bin/adore)
    * /root/.bash_history <- (Ultimos comandos ejecutados por el admin)
    * /etc/hosts
    * /etc/shadow <- (Fichero de contraseñas del sistema)

    Después de esto ejecuta un paquete llamado "icmp". Con las opciones por
    defecto con las que se ejecuta, el programa se pondrá a la escucha en un
    puerto determinado a la espera de un paquete TCP concreto. Si el paquete
    que recibe es correcto, entonces brinda al atacante una shell con
    privilegios de superusuario. Por ultimo, modifica la tabla del crontab
    para que a las 04:02 am hora local se borren todos los posibles rastros
    que el atacante haya dejado.

    Una vez que la maquina ha sido comprometida mediante las acciones
    explicadas el gusano tratará de expandirse a otras maquinas realizando
    una propagación de forma exponencial.

    Dartmouth's ISTS ha desarrollado una utilidad llamada "adorefind" que
    detectará ficheros de este gusano en el sistema. Snort también servirá
    para detectar este tipo de problemas.

    Como posible protección podría bloquearse el envío de mails a las
    direcciones expuestas, aunque es recomendable tener el sistema
    actualizado frente a posibles vulnerabilidades.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldiacom.asp?id=898

    Mas información:

    ADOREFIND:
    http://www.ists.dartmouth.edu/IRIA/knowledge_base/tools/adorefind.htm




    Jaime Sánchez Diego



    Artículos de actualidad ...
    Archivo de artículos ...
    •  
    Campaña Stop Pedofilia
    Gratis Servicio de noticias
    Suscribir Borrado
    Tus Sugerencias son bienvenidas
    Pincha Aquí
    ¡¡Lista de correo!!
    Introduzca su correo:




    www.delitosinformaticos.com . mailto:webmaster@delitosinformaticos.com . Delitosinformáticos

    © Copyright 2000-2002 Delitosinformaticos.com -.