Detectar y eliminar #DOUBLEPULSAR

DoublePulsar es una puerta trasera que se aprovechaba de una vulnerabilidad en el protocolo SMB de Windows y que podía permitir a la NSA conectarse de forma remota a cualquier ssitema para recopilar información sobre él. Tan pronto como la vulnerabilidad se dio a conocer, Microsoft lanzó un parche de seguridad para sus sistemas operativos (desde Windows Vista hasta Windows 10) con el que evitar que esta vulnerabilidad pudiera ser utilizada de nuevo. Sin embargo, el parche no eliminaba la puerta trasera DoublePulsar, la cual sigue estando presente en miles de ordenadores por todo el mundo.

Se ha publicado un script en Python, llamado doublepulsar-detection-script para detectar este backdoor y eliminarlo de los ordenadores infectados.

python detect_doublepulsar_smb.py –ip 192.168.1.1

Si la herramienta no detecta amenaza en nuestro sistema no tenemos de qué preocuparnos, sin embargo, en caso de que la puerta trasera de la NSA esté en nuestro ordenador, el programa nos devolverá un mensaje como:

DOUBLEPULSAR SMB IMPLANT DETECTED!!!

En ese caso, el siguiente paso será identificar la amenaza y, para ello, vamos a teclear en el terminal:

python detect_doublepulsar_rdp.py –file ips.list –verbose –threads 1

Tras unos segundos, una vez identificada la amenaza, el último paso será proceder con la eliminación de DoublePulsar utilizando el comando:

python2 detect_doublepulsar_smb.py –ip 192.168.1.1 –uninstall

Una vez eliminada, no debemos olvidarnos de instalar los últimos parches de seguridad de Windows para solucionar esta vulnerabilidad y evitar que, a través de ella, nos vuelvan a infectar con DoublePulsar.

Fuente: RedesZone