22 ene 2014

Microsoft borra el malware Sefnit y TOR Browser Bundle

En Octubre del 2013, Microsoft adoptó un método silencioso y ofensivo para hacer frente a una infección de una botnet, basada en TOR, llamada Sefnit.

En un esfuerzo para desbaratar "Sefnit botnet" y con el fin de proteger a sus usuarios de Windows, Microsoft removió instalaciones de versiones antiguas del software Tor Browser en más de 2 millones de sistemas, sin el previo conocimiento de los dueños de los sistemas o de los propios desarrolladores de TOR.

En Agosto del ultimo año, después de las revelaciones acerca del programa espía de la NSA brindadas por Snowden, los usuarios de internet se encontraron en un estado de temor a ser espiados. Al mismo tiempo los líderes del proyecto Tor notaron un incremento del 600% de usuarios que navegaban en al red anónima de TOR. El total de usuarios en la paso de 600.000 a 1.2millones en cuestión de semanas.

En Septiembre, investigadores identificaron que la mayor razón de este incremento se debía a una Botnet basada en Tor, llamada "Sefnit malware", la cual se encontraba infectando millones de sistemas con el fin de efectuar fraude de clicks y mineria de Bitcoins.

Para lograr el máximo número de infecciones, los criminales utilizaron varias maneras para propagar la botnet. En investigaciones posterior, Microsoft descubrió varios softwares populares como Browser Protector, FileScout, entre otros, que se encontraban con versiones vulnerables del Tor Browser y componentes de Sefnit.

"El problema para la seguridad radica en que durante la infección por Sefnit, el servicio de cliente de Tor es instalado de manera silenciosa. Aunque Sefnit sea removido del sistema, aunque se tome las medidas requeridas, el servicio de Tor seguirá instalado y se conectará de manera regular a la red Tor".
 Era prácticamente imposible para Microsoft o para el Gobierno instruir a cada individuo como remover este Malware, por lo cual Microsoft tomó la decisión de eliminar esta infección,

Para limpiar las maquinas infectadas, Microsoft empezo a actualizar las definiciones de sus aplicaciones antimalware. "Modificamos nuestras firmas para remover el servicio cliente de Tor agregado por Sefnit. Las firmas y remediaciones se encuentran incluidas en todos los productos de seguridad de Microsoft, incluyendo Microsoft Security Essentials, Windows Defender en Windows 8, Microsoft Safety Scanner, Microsoft System Center Enpoint Protection, and Windows Defender Offline y mas tardes también se incluyó en Malicious Software Removal Tool".

¿Por qué remover el Tor Browser en vez de los ejecutables del Malware?

Para justificar la acción tomada, Microsoft apunto a varias vulnerabilidades en la versión de Tor usada por Sefnit. La v0.2.3.25 de TOR, deja vulnerable a ataques a través de esta vulnerabilidades: CVE-2011-2778; CVE-2010-1676; CVE-2009-0939; CVE-2009-0414.

"Tor es una buena aplicacion utilizada para anonimizar tráfico y generalmente no representa una amenaza. Desafortunadamente , la versión instalada por Sefnit es la v0.2.3.2 no se actualiza automáticamente".

Traducido por Angel Gottfriedt para Segu-Info
Fuente: Hacker News

Suscríbete a nuestro Boletín

1 comentario:

  1. Microsoft borra remotamente, el malware Sefnit y TOR Browser Bundle

    NO BORRA NADA "REMOTAMENTE" ESE TITULO ES UN ENGAÑO.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!