Se propaga rápido potencial "gran botnet jodida"
El gusano 'Downadup' se está propagado rápidamente y ahora infecta más de 3,5 millones de PCs según la empresa de seguridad F-Secure.
En un artículo del blog del miércoles, F-Secure puso el número total de máquinas infectadas estimado en 3,521,230 - un incremento de más de un millón de máquinas respecto del día anterior. La firma de seguridad basa su estimación en información que ha averiguado "pinchando" máquinas infectadas.
Downadup, el cual se conoce también con el nombre de Conficker, explota una vulnerabilidad descripta en MS08-067, una falla del servicio Windows Server que fue emparchada en octubre pasado. Este ejecuta un ataque de diccionario para intentar romper la contraseña de usuario, en el proceso va bloqueando cuentas de usuario del Directorio Activo (AD) del dominio. Y surgió la semana pasada que también puede infectar memorias USB, por tanto propagándose por el lado del cliente.
El jefe de investigación de F-Secure, Mikko Hyppönen, escribió en un articulo del blog el martes que las PC infectadas tienen el potencial de formar "una gran botnet jodida". Hyppönen señaló que el gusano Downadup trabaja intentando conectarse a varias direcciones Web. "Si el gusano encuentra un servidor web activo en uno de esos dominios, descargará y ejecutará un ejecutable en particular - dando de ese modo rienda libre al la pandilla del malware para hacer lo que quieran con todas las máquinas infectadas," escribió.
"[El Downadup] usa un algoritmo complicado que cambia diariamente y está basado en sellos temporales de sitios web públicos tales como Google.com y Baidu.com," escribe Hyppönen. "Con este algoritmo, el gusano genera muchos nombres de dominio posible cada día. Esto hace imposible o impracticable para nosotros los chicos buenos, el cerrarlos a todos - la mayoría de ellos nunca fueron registrados en primer lugar. Sin embargo, los chicos malos solo necesitan predeterminar un dominio posible para mañana , registrarlo, y establecer un sitio Web y así entonces consiguen acceso a todas las máquinas infectadas. Bastante listos."
Luego Hyppönen dijo que F-Secure ha determinado algunos dominios que podrían ser generados por Downadup, y registrarlos. Fue mediante este métodos, el cual le dio a la firma acceso a las máquinas infectadas, que F-Secure has sido capaz de determinar el número aproximado de víctimas.
"En este momento estamos viendo cientos de miles de direcciones IP únicas conectándose a los dominios que hemos registrado," escribió Hyppönen. "Una gran parte de aquel tráfico viene de redes corporativas, a través de cortafuegos, proxis y routers NAT. Eso significa que una dirección IP única que vemos bien podría representar 2.000 estaciones de trabajo infectadas en la vida real."
Graham Cluley, consultor senior de tecnología en Sophos, le dijo a ZDnet UK el jueves que "las empresas ya deberían haber emparchado esta vulnerabilidad cuando salió el parche de Microsoft hace varias semanas atrás." Insta a aquellas empresas que aún no han emparchado, a hacerlo tan pronto como sea posible, agregando que las compañías deben verificar laptops y memorias USB que traigan dentro de la compañía, por ejemplo, usando un producto de control de acceso a la red (NAC).
Traducido para blog Segu-info por Raúl Batista
Autores: David Meyer and Tom Espiner
Fuente: http://news.zdnet.com/2100-9595_22-262405.html?tag=nl.e540
Más información
http://www.f-secure.com/weblog/archives/00001580.html
http://www.f-secure.com/weblog/archives/00001579.html
http://blog.segu-info.com.ar/2008/10/sobre-la-ltima-vulnerabilidad-crtica-de.html
http://blog.segu-info.com.ar/2008/11/gusanos-ms08-067-se-retuercen-en.html
http://blog.segu-info.com.ar/2008/10/algunos-comentarios-sobre-el-ms08-067.html
http://blog.segu-info.com.ar/2008/11/explotacin-activa-de-ms08-067.html
http://blog.segu-info.com.ar/2009/01/conficker-y-problemas-de-seguridad.html
http://blog.segu-info.com.ar/2009/01/microsoft-urge-las-organizaciones.html
En un artículo del blog del miércoles, F-Secure puso el número total de máquinas infectadas estimado en 3,521,230 - un incremento de más de un millón de máquinas respecto del día anterior. La firma de seguridad basa su estimación en información que ha averiguado "pinchando" máquinas infectadas.
Downadup, el cual se conoce también con el nombre de Conficker, explota una vulnerabilidad descripta en MS08-067, una falla del servicio Windows Server que fue emparchada en octubre pasado. Este ejecuta un ataque de diccionario para intentar romper la contraseña de usuario, en el proceso va bloqueando cuentas de usuario del Directorio Activo (AD) del dominio. Y surgió la semana pasada que también puede infectar memorias USB, por tanto propagándose por el lado del cliente.
El jefe de investigación de F-Secure, Mikko Hyppönen, escribió en un articulo del blog el martes que las PC infectadas tienen el potencial de formar "una gran botnet jodida". Hyppönen señaló que el gusano Downadup trabaja intentando conectarse a varias direcciones Web. "Si el gusano encuentra un servidor web activo en uno de esos dominios, descargará y ejecutará un ejecutable en particular - dando de ese modo rienda libre al la pandilla del malware para hacer lo que quieran con todas las máquinas infectadas," escribió.
"[El Downadup] usa un algoritmo complicado que cambia diariamente y está basado en sellos temporales de sitios web públicos tales como Google.com y Baidu.com," escribe Hyppönen. "Con este algoritmo, el gusano genera muchos nombres de dominio posible cada día. Esto hace imposible o impracticable para nosotros los chicos buenos, el cerrarlos a todos - la mayoría de ellos nunca fueron registrados en primer lugar. Sin embargo, los chicos malos solo necesitan predeterminar un dominio posible para mañana , registrarlo, y establecer un sitio Web y así entonces consiguen acceso a todas las máquinas infectadas. Bastante listos."
Luego Hyppönen dijo que F-Secure ha determinado algunos dominios que podrían ser generados por Downadup, y registrarlos. Fue mediante este métodos, el cual le dio a la firma acceso a las máquinas infectadas, que F-Secure has sido capaz de determinar el número aproximado de víctimas.
"En este momento estamos viendo cientos de miles de direcciones IP únicas conectándose a los dominios que hemos registrado," escribió Hyppönen. "Una gran parte de aquel tráfico viene de redes corporativas, a través de cortafuegos, proxis y routers NAT. Eso significa que una dirección IP única que vemos bien podría representar 2.000 estaciones de trabajo infectadas en la vida real."
Graham Cluley, consultor senior de tecnología en Sophos, le dijo a ZDnet UK el jueves que "las empresas ya deberían haber emparchado esta vulnerabilidad cuando salió el parche de Microsoft hace varias semanas atrás." Insta a aquellas empresas que aún no han emparchado, a hacerlo tan pronto como sea posible, agregando que las compañías deben verificar laptops y memorias USB que traigan dentro de la compañía, por ejemplo, usando un producto de control de acceso a la red (NAC).
Traducido para blog Segu-info por Raúl Batista
Autores: David Meyer and Tom Espiner
Fuente: http://news.zdnet.com/2100-9595_22-262405.html?tag=nl.e540
Más información
http://www.f-secure.com/weblog/archives/00001580.html
http://www.f-secure.com/weblog/archives/00001579.html
http://blog.segu-info.com.ar/2008/10/sobre-la-ltima-vulnerabilidad-crtica-de.html
http://blog.segu-info.com.ar/2008/11/gusanos-ms08-067-se-retuercen-en.html
http://blog.segu-info.com.ar/2008/10/algunos-comentarios-sobre-el-ms08-067.html
http://blog.segu-info.com.ar/2008/11/explotacin-activa-de-ms08-067.html
http://blog.segu-info.com.ar/2009/01/conficker-y-problemas-de-seguridad.html
http://blog.segu-info.com.ar/2009/01/microsoft-urge-las-organizaciones.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!