28/11/01

NOTICIAS

"Chlade", a por servidores SQL de Microsoft


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

Este gusano es capaz de lanzar ataques distribuidos de denegación de servicio para lo que conecta los servidores SQL infectados a direcciones IP de servidores IRC
Tras una serie de investigaciones llevadas a cabo por algunas de las compañías desarrolladoras de soluciones de seguridad, ya se pueden dar a conocer más detalles de las características de Chlade, el gusano que infecta servidores SQL 7 de Microsoft.

El gusano residente en memoria utiliza una vulnerabilidad presente en ese tipo de servidores de bases de datos para instalarse. Luego busca a través de Internet otros servidores, espiando el puerto TCP 1433, y cuando los encuentra envía un paquete de comandos que desarrollan un procedimiento XP_CMDSHELL, lo que le permite ejecutar las instrucciones en el entorno DOS dentro del servidor SQL.

Luego, desde DOS se conecta por FTP al site "philamuseum.netreach.net" donde se registra con el nombre de usuario ftp y la contraseña foo.com, pero conviene advertir que esta página ya no permanece en actividad. Después, vuelve a utilizar FTP para descargarse el archivo DNSSERVICE.EXE que permanece residente en memoria como servicio invisible en el administrador de tareas.

Como muchos otros, Chlade crea también una entrada en el registro del sistema:

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TaskReg = (ruta más nombre de archivo del gusano)", para ejecutarse cada vez que se reinicie Windows.

Las investigaciones coinciden en que el peligro máximo de este gusano se encuentra en la capacidad que posee para realizar ataques distribuidos de denegación de servicio (DDoS) para lo que conecta los servidores SQL infectados con un servidor IRC donde se recibirán las instrucciones del atacante. No obstante, primero busca servidores DNS incluidos en el dominio bots.kujikiri.net, éstos enviarán las seis direcciones IP de servidores IRC:

65.161.40.1
198.31.210.184 (toyou.toyou.cc)
64.154.61.232 (astro.dal.net)
209.116.7.97 (station97n.dscga.com)
205.188.253.227 (irc02.icq.com)
205.188.253.230 (irc05.icq.com)

Entonces, de manera aleatoria Chlade selecciona una de estas IP y, utilizando nombres de usuario al azar, se conectará a ella a través del puerto 6669. Cuando esto ocurre, el servidor SQL sólo tiene que esperar a recibir las órdenes del intruso.

El primer paso que se debe tomar para evitar la infección por este gusano es modificar la contraseña de administrador que este tipo de servidores instala por defecto. Además, también conviene recordar la necesidad de parchear todos los programas vulnerables y extremar al máximo las medidas de seguridad tanto en redes corporativas como en PC´s domésticos.


Copyright © VIRUSPROT.COM