ULTIMA HORA : Un nuevo gusano "MORTO" infecta Windows a través del protocolo de escritorio remotomsc hotline sat Tuesday, August 30, 2011 "Morto" es el último gusano de Internet que se ha detectado para Windows, puede realizar ataques DDoS y afecta a aquellos sistemas con contraseñas de administrador más débiles. Un nuevo malware, llamado “Morto”, está infectando máquinas con sistema operativo Windows a través del Protocolo de Escritorio Remoto (RDP). De hecho, se trata del primer gusano de Internet que utiliza este vector de infección. A diferencia de anteriores amenazas automatizadas como CodeRed, Blaster, Sasser y Slammer, que causaron verdaderos estragos en las redes empresariales, ésta no se aprovecha de ninguna vulnerabilidad específica de Windows. Lo que hace es buscar ordenadores con el puerto 3389 y luego forzar la contraseña para hacerse con el control de la máquina. Dicen que "Morto" es indetectable por antivirus como Avast, AVG, AV Clam, McAfee o Norton (creemos que quieren decir en el momento de realizar el informe) Al parecer, intenta comprometer los sistemas recurriendo a las 30 contraseñas más comunes para la cuenta de administrador de Windows. En esta lista se encuentran ejemplos como: admin, admin123, user, test, *1234, letmein, password, server y 1234567890, de acuerdo con el Centro de Protección contra Malware de Microsoft (MMPC). Cuando “Morto” adivina la clave, se conecta al sistema remoto y empieza a reproducirse. El malware se compone de un instalador y una biblioteca de enlace dinámico (DLL) que ejecutan la carga útil. El archivo DLL tiene el mismo nombre que uno utilizado por el Editor de Registro y contiene información de configuración cifrada para descargar y ejecutar al menos tres componentes adicionales. Una vez que el sistema ha sido infectado con éxito, “Morto” escanea la red local para alcanzar la mayor cantidad de servidores y ordenadores. Asimismo, genera una gran cantidad de tráfico similar a una red de bots, recibiendo órdenes y descargando archivos desde un servidor de comando y control, y ejecutando consultas DNS. También como una botnet, puede ser controlado de forma remota y realizar ataques de denegación de servicio (DDoS) contra objetivos especificados por su autor. Los investigadores han identificado varios de estos servidores alrededor del mundo, así como diversas variantes del gusano que han conseguido eliminar los procesos de aplicaciones de seguridad informática. De momento habría afectado a Windows Server 2003, Windows XP y Windows 7. http://www.eweekeurope.es/noticias/un-nuevo-gusano-infecta-windows-a-traves-del-protocolo-de-escritorio-remoto-14473 ANEXO DEL 31-8-2011 Preocupados por este nuevo malware, y hasta que lo controlemos especificamente, ofrecemos informe de VirusTotal y medio de detección de la DLL en cuestión, con nuestras utilidades: File name: File.dll Submission date: 2011-08-30 10:54:11 (UTC) Current status: finished Result: 29 /44 (65.9%) VT Community not reviewed Safety score: - Compact Print results Antivirus Version Last Update Result AhnLab-V3 2011.08.30.00 2011.08.30 Win-Trojan/Helpagent.7184 AntiVir 7.11.14.29 2011.08.30 Worm/Morto.A Antiy-AVL 2.0.3.7 2011.08.30 - Avast 4.8.1351.0 2011.08.30 Win32:Trojan-gen Avast5 5.0.677.0 2011.08.30 Win32:Trojan-gen AVG 10.0.0.1190 2011.08.30 BackDoor.Generic14.AEBF BitDefender 7.2 2011.08.30 Win32.Worm.Morto.B ByteHero 1.0.0.1 2011.08.22 - CAT-QuickHeal 11.00 2011.08.30 - ClamAV 0.97.0.0 2011.08.30 Worm.Morto-1 Commtouch 5.3.2.6 2011.08.30 W32/Morto.A Comodo 9929 2011.08.30 - DrWeb 5.0.2.03300 2011.08.30 Win32.HLLW.Morto.2 Emsisoft 5.1.0.10 2011.08.30 Backdoor.Win32.Morto!IK eSafe 7.0.17.0 2011.08.29 - eTrust-Vet 36.1.8530 2011.08.30 Win32/Morto.A F-Prot 4.6.2.117 2011.08.30 W32/Morto.A F-Secure 9.0.16440.0 2011.08.30 Worm:W32/Morto.D Fortinet 4.3.370.0 2011.08.30 - GData 22 2011.08.30 Win32.Worm.Morto.B Ikarus T3.1.1.107.0 2011.08.30 Backdoor.Win32.Morto Jiangmin 13.0.900 2011.08.29 - K7AntiVirus 9.111.5068 2011.08.29 - Kaspersky 9.0.0.837 2011.08.30 Trojan.Win32.Pakes.qay McAfee 5.400.0.1158 2011.08.30 Artemis!EBB3A5964DA4 McAfee-GW-Edition 2010.1D 2011.08.30 Artemis!EBB3A5964DA4 Microsoft 1.7604 2011.08.30 Worm:Win32/Morto.A NOD32 6421 2011.08.30 Win32/Morto.A Norman 6.07.10 2011.08.30 W32/Morto.A nProtect 2011-08-30.01 2011.08.30 - Panda 10.0.3.5 2011.08.30 Trj/CI.A PCTools 8.0.0.5 2011.08.30 Backdoor.Trojan Prevx 3.0 2011.08.30 - Rising 23.73.01.03 2011.08.30 - Sophos 4.68.0 2011.08.30 Troj/Agent-TEE SUPERAntiSpyware 4.40.0.1006 2011.08.30 - Symantec 20111.2.0.82 2011.08.30 Backdoor.Trojan TheHacker 6.7.0.1.286 2011.08.29 - TrendMicro 9.500.0.1008 2011.08.30 - TrendMicro-HouseCall 9.500.0.1008 2011.08.30 WORM_MORTO.A VBA32 3.12.16.4 2011.08.30 - VIPRE 10315 2011.08.30 Trojan.Win32.Generic!BT ViRobot 2011.8.30.4647 2011.08.30 Worm.Win32.Agent.7184 VirusBuster 14.0.191.0 2011.08.29 Worm.Morto!D50NEgERHOA Additional informationShow all MD5 : ebb3a5964da485c0b9e67164b047a7a5 SHA1 : 5df13bd65f7bd7035ef06b3cea5583f9bfdc6588 File size : 54484 bytes De momento, para detectar posible fichero DLL con dicho virus, probar con nuestro ELIMD5.EXE entrando este hash: ebb3a5964da485c0b9e67164b047a7a5 saludos ms, 31-8-2011 __________________ Y finalmente añadimos a partir del ELISTARA 23.77 de hoy, el control y eliminacion de las DLL que instala dicho malware: en windir la CLB.DLL , que existe normalmente en la carpeta de sistema en la carpeta de sistema un SENS32.DLL, donde existe uno pero sin el 32 y en windir\temp un NTSHRUI.DLL, que existe normalmente en la de sistema Dicha version del ELISTARA 23.77 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy. Solo resta aconsejar para evitar este y otros que ingresan probando passwords, el utilizar CONTRASEÑAS SEGURAS, esto es, alfanumericas, y mezclando mayúsculas y minúsculas, no las básicas que son las que prueban algunos malwares como este, Con ello damos por controlado este MORTO que aparentaba ser de un grado de detección dificil ... saludos ms, 31-8-2011 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |