Yo he sido víctima en mi empresa, recientemente, creyendome completamente bulnerable, y bueno, por si las moscas he puesto a punto mi pc, para evitar sustos mayores.
Os dejo información recopilada al respecto:
Año Nuevo...Gusano nuevo... WORM_DOWNAD.AD
En las últimas horas se ha recibido reportes de detección de una nueva variante de WORM_DOWNAD. Esta nueva variante es detectada por TREND MICRO bajo el nombre de WORM_DOWNAD.AD
Algunas de las características a destacar de este nuevo código malicioso es la capacidad de utilizar una reciente vulnerabilidad de Microsoft (MS08-067) para propagar su código a través de la red utilizando el puerto TCP/445 en múltiples conexiones tanto a nivel de LAN como a Internet.
Por otro lado, uno de los síntomas más evidentes que provoca es el bloqueo de cuentas de usuarios de Active Directory, debido a que intenta conectarse a recursos compartidos ADMIN$ de la LAN probando un diccionario de passwords frecuentes; así como también, es posible detectar la caída del servicio Server.
Según lo mencionado arriba, los síntomas más comunes podemos resumirlos en tres puntos:
1) Las cuentas de usuarios de AD están bloqueadas: los usuarios no se pueden loggear a la sesión de Windows.
2) Algunos servicios de Windows Server son detenidos súbitamente.
3) Ataques al puerto 445 y otros puertos aleatorios como 40000 y 40400.
Las recomendaciones son:
1) Mantener la plataforma actualizada según el documento técnico (MS08-067).
2) Verificar que la plataforma de antivirus esté actualizada.
3) Verificar que los equipos tengan configurado adecuadamente el firewall.
Conficker.C - W32/Conficker.C.worm
| Nombre común: Conficker.C Nombre técnico: W32/Conficker.C.worm Peligrosidad: Baja Alias: WORM_DOWNAD.AD,W32.Downadup,Ne Tipo: Gusano Efectos: Aprovecha la vulnerabilidad MS08-067 en el servicio de servidor de Windows para propagarse y descargar una copia de sí mismo en el ordenador afectado. Además, intenta descargar otro tipo de malware, que puede tratarse de un falso antimalware, si la fecha del sistema es posterior al 1 de diciembre de 2008. Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95 Fecha de detección: 31/12/2008 Detección actualizada: 08/01/2009 Estadísticas Si Descripción Breve Conficker.C es un gusano que aprovecha una vulnerabilidad en el servicio de servidor de Windows y que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067. Si la fecha del sistema es mayor que el 1 de diciembre de 2008, intenta descargar desde cierta página web otro tipo de malware en el ordenador afectado. El malware que se intenta descargar puede tratarse de un falso antimalware. Conficker.C se propaga explotando la vulnerabilidad MS08-067. Para ello, envía peticiones RPC especialmente diseñadas a otros ordenadores en los que intenta introducir una copia de sí mismo. Efectos Conficker.C está diseñado para propagarse explotando una vulnerabilidad en el servicio de servidor de Windows que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067. Además, si la fecha del sistema es posterior al 1 de diciembre de 2008, intentará descargar y ejecutar otro tipo de malware desde la siguiente página web: http://traffverter.biz El malware que se intenta descargar puede tratarse de un falso antimalware. |
El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha detectado en los últimos días una infección masiva de ordenadores por el gusano 'Downadup', también conocido como 'Conficker' o 'Kido', según han informado fuentes de esta organización. La empresa de seguridad informática F-Secure calcula que hay nueve millones de equipos infectados.
El 'gusano' aprovecha según los expertos una brecha en seguridad en el sistema operativo Windows. Además, trata de decodificar contraseñas débiles. También es posible su transmisión a través de memorias USB.
Entre las acciones de 'Downadup' figura la de acceder a determinadas direcciones de Internet de las que dispone en su código. El virus aprovecha el acceso a estas páginas para descargarse otros programas maliciosos. No se descarta que el servidor remoto cree un listado de las direcciones infectadas y que en un futuro se utilicen estos ordenadores comprometidos para crear una red 'zombie' ('botnet') -ordenadores infectados usados por una persona ajena a su propietario-.
Los mecanismos de propagación utilizados por 'Downadup' son muy comunes y se basan en la relajación de los usuarios para seguir unas pautas de buenas prácticas.
Recomendaciones
El Instituto Nacional de Tecnologías de la Comunicación recomienda a los usuarios que sigan estos consejos para evitar la infección:
- Actualizar el Sistema Operativo, asegurándose especialmente de tener instalado el parche MS08-067, que soluciona la vulnerabilidad explotada por el gusano.
- Tener instalado un antivirus actualizado en el ordenador y proteger con contraseñas fuertes las carpetas compartidas (más información sobre las carpetas compartidas para Windows Vista y Windows XP), son otras de las opciones.
- Para tratar de evitar problemas, es conveniente analizar con un antivirus actualizado todos los dispositivos extraíbles antes de conectarlos al equipo.
El nuevo virus es, según F-Secure, "increíblemente difícil de eliminar".
Hasta la próxima bloggeros!!!!
Entradas
No hay comentarios:
Publicar un comentario