Inicialmente el servicio Messenger fue incorporado en los primeros sistemas operativos de red basados en NetBIOS (OS/2 y las primeras versiones de Windows) y estaba pensado para permitir a los administradores de red enviar notificaciones a los usuarios, por ejemplo cuando era preciso detener el servidor. Otros programas que utilizan este servicio de forma legitima son los controladores de impresión (para avisar de la finalización de un trabajo de impresión), los sistemas de alimentación ininterrumpida, los antivirus y otros programas que necesitan un mecanismo simple de notificación de un evento.
Cuando el servicio está activo (y en todas las versiones de Windows lo está en la configuración por defecto), cualquier usuario puede enviar un mensaje emergente a otra estación de la red ejecutando, en una ventana DOS, la orden NET SEND con los parámetros adecuados. Además, los programas disponen de la API NetMessageBufferSend para automatizar el envío de estos mensajes.
Durante los últimos meses del año pasado empezaron a circular diversos programas pensados para utilizar este servicio de Windows como un nuevo método para la difusión masiva de mensajes comerciales. Algunos de estos programas han llegado, incluso, a ser anunciados en televisión como una nueva herramienta de márketing en Internet. Estos programas están pensados para automatizar el envío masivo de los mensajes, sin que el spammer tenga que preocuparse de otra cosa que escribir el texto del spam.
Como nos llegan estos mensajes
Los mensajes emergentes utilizan el protocolo NetBIOS, por lo que cuando circulan por una red TCP/IP utilizan los puertos udp/137 y tcp/139. Este es el mecanismo habitual de transmisión para los mensajes enviados mediante un NET SEND o la API NetMessageBufferSend.
No obstante, los programas de automatización de este tipo de spam utilizan un método diferente de envío mediante el servicio RPC (Remote Procedure Call, Llamada de procedimiento remoto) de NetBIOS, que está asociado al puerto udp/135.
Los mensajes se presentan en una ventana de Windows, con el título «Messenger Service» o «Mensajería de Windows», con el texto del mensaje y un botón Aceptar. Al pulsar el botón, la ventana se cierra.
Medidas de protección
En primer lugar es importante indicar que el simple hecho de recibir un mensaje de este tipo no sólo muestra que estamos expuestos a la recepción de este tipo de publicidad. En realidad no está revelando un importante problema de seguridad en nuestra máquina, ya que está admitiendo conexiones NetBIOS desde Internet.
Por tanto, la primera acción a realizar consiste en verificar las medidas de seguridad perimetrales existentes, a nivel de cortafuegos y routers. Debemos comprobar que se está bloqueando cualquier tráfico con origen Internet y destino la red interna que utilice cualquiera de los puertos asociados a NetBIOS: udp/135, udp/137-139, udp 445, tcp/137- 139 y tcp/445.
Los usuarios de cortafuegos personales deben verificar, adicionalmente, los permisos asignados a los ejecutables utilizados en las comunicaciones RPC (svchost.exe y services.exe) para comprobar que no se permite la recepción de tráfico NetBIOS con origen Internet y destino hacia estos archivos ejecutables.
No existe ninguna razón que justifique la utilización de NetBIOS como método de acceso remoto a la red corporativa de una empresa o a los ordenadores de un usuario particular.
Como medida de protección adicional, podemos desactivar el servicio en las máquinas para evitar la recepción de estos mensajes emergentes, siguiendo estas instrucciones.
* Windows 95/98/ME
- A diferencia de los sistemas operativos derivados de Windows NT, la única forma de desactivar la recepción de estos mensajes pasa por desactivar completamente el soporte de NetBIOS.
Si no desea desactivar este soporte, la única opción que tenemos es la instalación de un cortafuegos personal que bloquee el tráfico NetBIOS que provenga de Internet.
Acceder al Panel de Control («Mi PC», «Panel de control») y hacer doble clic sobre el icono «Red».
En la pestaña «Configuración» hacer clic en el botón «Compartir archivos e impresoras…». Verificar que las dos opciones, «Permitir que otros usuarios tengan acceso a mis archivos» y «Permitir que otros usuarios impriman con mis impresoras» están desactivadas.
Pulsar Aceptar.
De nuevo en la pestaña «Configuración», seleccionar el protocolo TPC/IP asociado a la tarjeta de red o al módem/router que utilizamos para la conexión a Internet. Hacer clic en el botón «Propiedades».
En la ventana «Propiedades de TCP/IP», seleccionar la pestaña «Enlaces» y deseleccionar la opción «Cliente para redes Microsoft».
Pulsar en «Aceptar» y «Aceptar».
A continuación será preciso reiniciar la máquina.
* Windows NT 4.0
- Ir a «Inicio», «Configuración», «Panel de control».
Hacer doble clic sobre el icono «Servicios».
Buscar el servicio «Mensajería» («Messenger» en las versiones en inglés). Si está iniciado, pulsar el botón «Detener» para detenerlo.
A continuación pulsar el botón «Inicio…» y cambiar el tipo de inicio del servicio: «Deshabilitado».
Pulsar en «Aceptar» y en «Cerrar».
* Windows 2000
- Ir a «Inicio», «Programas», «Herramientas administrativas» y «Servicios».
Buscar el servicio «Mensajería» y seleccionarlo.
Pulsar el botón derecho del ratón y seleccionar «Propiedades».
Pulsar el botón «Detener» para detener el servicio.
A continuación, cambiar el tipo de inicio a «Deshabilitado».
Pulsar en «Aceptar» y cerrar la ventana de servicios.
* Windows XP
- Ir a «Inicio», «Panel de Control».
Entrar en el apartado de «Rendimiento y mantenimiento» y hacer doble clic sobre el icono «Servicios».
Buscar el servicio «Mensajería» y seleccionarlo.
Pulsar el botón derecho del ratón y seleccionar «Propiedades».
Pulsar el botón «Detener» para detener el servicio.
A continuación, cambiar el tipo de inicio a «Deshabilitado».
Pulsar en «Aceptar» y cerrar la ventana de servicios.
Una vez desactivado el servicio de mensajería podemos verificar que nuestro ordenador ya no puede recibir este tipo de mensajes utilizando el servicio de verificación existente en
http://www.mynetwatchman.com/winpopuptester.asp
Más información
Messenger Pop-up Spam makes us sick
http://www.theregister.co.uk/content/55/29121.html
Messenger Service Window That Contains an Internet Advertisement Appears
http://support.microsoft.com/default.aspx?scid=kb;en-us;330904
Stopping Advertisements with Messenger Service Titles
http://www.microsoft.com/windowsxp/pro/using/howto/communicate/stopspam.asp
Stop Messenger Spam
http://www.stopmessengerspam.com/
Windows Messenger Delivery options: SMB vs MS RPC
http://www.mynetwatchman.com/kb/security/articles/popupspam/netsend.htm
DirectAdvertiser, the newest technology in online marketing
http://www.directadvertiser.com/
myNetWatchman – WinPopUp Tester
http://www.mynetwatchman.com/winpopuptester.asp
Windows Messenger is new spam vector
http://www.theregister.co.uk/content/archive/27634.html
Pop-up Spam in Windows Systems? Here’s How to Stop
http://www.lbl.gov/ITSD/CIS/compnews/2002/October/09-popup-spam.html
WonderPopUp – A New Method for Spam
http://spam-stopper.net/wonderpopup.html
El Nuevo SPAM ya es un gran negocio
http://www.vsantivirus.com/spam-mensajeria.htm
Stop Messenger Spam 1.0
http://www.stopmessengerspam.com/sms1_released/sms1_released1.html
Xavier Caballé
xavi@hispasec.com
Noticias Hispasec
