lunes, 21 de julio de 2008

Traduccion: The DNSChanger Trojan

Esta es una traduccion de un articulo interesante que aparecio en HNS.

Aqui se las dejo, tiene algunos errores de traduccion, pero se entiende muy bien.


Cristóbal Alme es el terminal de componente principal del ingeniero y Team Lead of anti-malware research at Secure Computing. Él es el inventor de varias tecnologías dominantes patente-pendientes en el campo de la detección dinámica del malware. En esta entrevista él discute una nueva variante del Trojan de DNSChanger.


¿Cuáles son las características de la nueva variante recientemente descubierta del Troyano de DNSChanger?

El nuevo Troyano de DNSChanger ahora conduce ataques de la fuerza bruta contra el interfaz de la administración Web de router populares. El malware realiza un “ataque del diccionario” basado en una lista de credenciales hardcoded, consistiendo en los URL del interfaz del Web a los router populares - por ejemplo de la D-Link, Linksys y otros de los vendedores -, y sus nombres y palabras de paso de utilizador de valor por defecto. Esto plantea un gran riesgo para la seguridad para esos utilizadores que no cambien las configuraciones por defecto de los fabricantes de router. El Troyano intenta una combinación aproximadamente de 100 milisegundos, que hace 600 combinaciones por minuto.

Una vez que DNSChanger tiene con éxito la fuerza bruta y crackeo las credenciales, tiene acceso a todas las configuraciones y funciones proporcionadas por el router. Cambiará sus configuraciones del servidor de DNS para enviar todas las interrogaciones del DNS a los servidores de DNS de los atacantes situados en la Ucrania. De allí, pueden entonces volver a dirigir flexiblemente todo su tráfico de Internet a cualquier lugar.

¿Qué hace que este Trojan se destaca del gran número de otro malware descubierto a diario ?

Es primera el en--salvaje visto del malware del comandante familia que también ataca la dotación física del establecimiento de una red. “Major” la familia del malware, porque es absolutamente frecuente y creemos DNSChanger para ser relacionados con la familia del malware de Zlob - una de las familias más frecuentes hacia fuera allí hoy. Zlob es bien sabido para su truco infame del “codificador-decodificador perdido”: hacen publicidad del contenido adulto a los visitantes, pero para ver los vídeos, le dicen que necesitaría instalar un codificador-decodificador de video. El ejecutable que usted consigue instalar es todo otro que un codificador-decodificador video.

En contraste con variantes anteriores, este último DNSChanger no sólo afecta a la PC infectada sí mismo, pero también intenta alterar configuraciones del DNS en el router. Una vez que esto es acertado, todo el tráfico que pasa a través de este router se puede volver a dirigir por los atacantes. Es decir, otras PC que no han sido infectadas por el malware directo, pero pasan a través del mismo router (comprometido), también llegarán a ser afectadas. Alternadamente, la limpieza de la PC infectada no es bastante para librarse del parásito - las víctimas necesitarán reajustar las configuraciones del DNS en su router

¿Cómo puede un individuo descubrir al Trojan de DNSChanger en su sistema?

Primero, un motor actualizado del antivirus necesita ser in place. Nuestro Secure Anti-Malware engine, por ejemplo, bloquea esta amenaza dinámico como “Trojan.Dropper.Dldr.DNSChanger.Gen” ya en el perímetro de la red. Después, los usuarios no deben desplegar los router, los módems de banda ancha o algun otro equipamiento en red que viene con un interfaz administrada via Web, sin el cambio de la clave por defecto.

Una muestra típica de la infección con DNSChanger es que los servidores del DNS y del DHCP están señalando al rango de IP address 85.255.*.*. Otra muestra para la infección es que los Domain Name non-existing están siendo resueltos por los servidores de DNS malévolos. Los utilizadores potencialmente infectados pueden intentar hojear a un dominio ficticio que no exista.


¿Con la evolución constante de esta clase de amenaza, qué un poco tecnología desafía la industria hace frente?

Los atacantes tienen una afinidad a la conexión más débil. Mientras que los productos de Microsoft llegan a ser más seguros generalmente los atacantes ahora están apuntando además otro software y formatos de archivo alternativos de uso general en las computadoras de escritorio. Por ejemplo, estamos viendo más ataques el explotar de vulnerabilidades en Flash videos o documentos del pdf hoy.

DNSChanger tenía también sido la primera familia del malware del comandante que era virada hacia el lado de babor a la mitad de la plataforma de MaOS X apenas hace un año, de tal modo subrayando cómo esto se está convirtiendo en una plataforma “atractiva” para el malware es autor, también. Y ahora han agregado los ranuradores a sus blancos, que es otro más movimiento espantoso.

PD: Dentro de poco posteare otro interesante articulo traducido, con el titulo "Intranet Invasion Through Anti-DNS Pinning"

2 comentarios:

Anónimo dijo...

Cabron dime como se quita!!!!!!!!!!!!!!!!

Anónimo dijo...

Yo llevo 3 meses con la maquina infectada, formateada y vuelta a infectar otra vez,
Pero por lo menos ahora ya se
que el problema esta en el router
por eso la maquina se me infecta de nuevo despues de formatear,
Pues 3 meses no es nada para mi,
no pierdo la esperanza