Tag Archives: Gusano

Conficker otra vez!!!

Hace 8 años, el 21 de noviembre de 2008 Conficker dió un duro golpe y desde entonces anda suelto y no ha habido forma de eliminarlo completamente!.

Recordemos que Conficker se dirige a los equipos con sistema operativo Windows y compromete sus carpetas “home”. Alrededor de 190 países reportaron infecciones tanto en el entorno público cómo el privado. Conficker además de vulnerar diferentes versiones de windows se ha propagado utilizando diferentes métodos, inyecciones de código malicioso, phishing con adjuntos infectados y vulnerabilidades de parcheo que craquean las contraseñas de windows y las incluye en redes de embotellamiento. Se estima que hay alrededor de 11 millones de equipos infectados en la actualidad. En la Universidad las formas más comunes de infección han sido por el phishing y a través de las carpetas compartidas en la red.

Desde la DTES hemos indicado en varias ocasiones de los riesgos que se tienen al momento de compartir archivos de windows entre diferentes dependencias ya que una máquina infectada puede propagar el gusano de forma simultánea a muchas áreas de la Institución por lo que instamos a revisar esas carpetas compartidas y tratar en lo posible de no usar esta práctica de forma diaria.

Recientemente desde VenCERT hemos recibido notificaciones de equipos en la Universidad infectados con este molesto gusano por lo que les recomendamos descargar esta herramienta de ESET para eliminarlo.

 

(13)

Darlloz un gusano para Linux

gusano  DarllozKaoru Hayashi un investigador de Symantec escribió en su blog que descubrieron un nuevo gusano para dispositivos con sistema operativo Linux. Darlloz aprovecha una antigua vulnerabilidad en el lenguaje PHP que fue reparada en mayo de 2012.

Todo indica que  Darlloz está diseñado para apuntar al ‘Internet de las cosas’ atacando a un gran número de dispositivos como enrutadores, set-top-boxes, cámaras de seguridad o sistemas de control industrial.

Darlloz está basado en una prueba de concepto de octubre de 2013 y aunque de momento está limitado a equipos x86, ya alberga variantes para atacar arquitecturas ARM, PPC, MIPS y MIPSEL. Todavía no han sido confirmados ataques sobre PCs.

Aunque la cuota de Linux en el escritorio es limitado frente al dominio de Windows y los Mac OS X de Apple, se cuentan por centenares de millones otros dispositivos electrónicos que usan Linux fuera de ordenadores personales, lo que es desconocido generalmente por los usuarios. Sin embargo, es importante mantener al día todas las actualizaciones de PHP.

Una problema con este gusano es que al encontrarse en dispositivos y chips a los cuales el usuario o dueño del dispositivo no tiene acceso se imposibilita la actualización de las vulnerabilidades de PHP que ataca Darlloz!!! por lo tanto, Symantec recomendó:

  1. Verifica que todos tus dispositivos estén conectados a la red
  2. Actualízalos a su última versión
  3. Si es posible realiza las actualizaciones de seguridad disponibles
  4. Colocales contraseñas más fuertes
  5. Bloquea todas las peticiones HTTP POST a los siguientes enlaces para cada dispositivo sino son requeridos para el servicio que brindan:
  • /cgi-bin/php
  • /cgi-bin/php5
  • /cgi-bin/php-cgi
  • /cgi-bin/php.cgi
  • /cgi-bin/php4

 

Más información en:

http://www.symantec.com/connect/blogs/linux-worm-targeting-hidden-devices

http://thehackernews.com/2013/11/Linux-ELF-malware-php-cgi-vulnerability.html

http://www.muylinux.com/2013/12/03/darlloz-gusano-linux

http://muyseguridad.net/2013/12/02/gusano-darlloz-para-linux/

http://www.genbeta.com/seguridad/darlloz-el-gusano-para-linux-que-afecta-a-dispositivos-domesticos

http://ht.ly/rpAD4

(57)