• Registrarse
  • Iniciar sesión


  • Resultados 1 al 6 de 6

    DOWNAD / Conficker Ver: Nueva variante en la mezcla?

    DOWNAD / Conficker Ver: Nueva variante en la mezcla? Días después del 1ro de abril la fecha de activación de Conficker, nada interesante fue visto hasta ahora en nuestro Downad / Conficker sistema de control, ...

          
    1. #1
      Ex-Colaborador Avatar de Suerte
      Registrado
      may 2008
      Ubicación
      Colombia
      Mensajes
      7.565

      DOWNAD / Conficker Ver: Nueva variante en la mezcla?

      DOWNAD / Conficker Ver: Nueva variante en la mezcla?


      Días después del 1ro de abril la fecha de activación de Conficker, nada interesante fue visto hasta ahora en nuestro Downad / Conficker sistema de control, salvo el continuo control de las fechas y horas a través de los sitios de Internet, la comprobación de las actualizaciones a través de HTTP, y el aumento de todas las comunicaciones P2P de la Conficker pares nodos.

      Así que fue hasta anoche cuando vimos un nuevo archivo (119296 bytes) en la carpeta Temp de Windows. Control de las propiedades del archivo pone de manifiesto que el archivo se creó exactamente el 7 de abril de 2009 a 07:41:21.

      Comprobar también en captura de tráfico muestran que no hubo descarga de HTTP que se produjeron alrededor de ese tiempo, que fue de 7 de abril de 2009 a 07:40:00 hasta el 7 de abril de 2009 a 07:42:00. No obstante, hemos observado una gran respuesta cifrada TCP (134880 bytes) de un conocido Conficker P2P nodo IP (verificado por otras fuentes independientes), que fue acogido en algún lugar de Corea.

      El tamaño de la burbuja cifrada TCP casi coincide con el tamaño de los binarios que se creó en la mencionada carpeta. Hay algunos octetos adicionales, que podrían ser las cabeceras y las claves que Conficker / Downadup se sabe utilizar.
      Tendencia ahora detecta esta nueva variante Conficker como WORM_DOWNAD.E. Algunas cosas interesantes (bueno, al menos desde nuestro punto de vista) que se encuentran son:
      (Un) de activación Fecha - 3 de mayo de 2009, dejarán de publicarse
      Se ejecuta en nombre de archivo al azar y al azar el nombre del servicio
      Borra este componente se redujo después
      Se propaga a través de MS08-067 al exterior si las direcciones IP de Internet está disponible, si no hay conexiones, utiliza direcciones IP local
      Abre el puerto 5114 y servir como servidor HTTP, la radiodifusión a través de solicitud SSDP
      Se conecta a los siguientes sitios:
      Myspace.com
      msn.com
      ebay.com
      cnn.com
      aol.com

      Asimismo, no deja una huella de sí mismo en la máquina. Se ejecuta y se eliminan todos los rastros, no hay archivos, no hay registros etc

      Otra cosa interesante que también se observó que la Downad / Conficker cuadro está tratando de acceder a un dominio conocido Waledac (goodnewsdigital (punto) com) y descargar otro archivo encriptado. Esta coincidencia ocurrió justo después de la creación de la nueva Downad / Conficker binario se describen a continuación (07:41:23):




      El dominio resuelve actualmente a una IP que está organizando una táctica conocida Waledac en HTML para descargar print.exe, que se ha comprobado ser un nuevo Waledac binario.

      Dos cosas pueden resumirse a partir de los actos que se:
      Como era de esperar, el P2P de las comunicaciones Downad / Conficker botnet puede haber sido utilizado para servir a una actualización, y no a través de HTTP. El Conficker / Downad todas las comunicaciones P2P está en pleno funcionamiento!
      Conficker-Waledac conexión? Posible, pero todavía tenemos que profundizar en esto ...

      La investigación y la colaboración está actualmente en curso en nuestros laboratorios, así como en el seno del Grupo de Trabajo Conficker, y actualizar este blog para los nuevos hallazgos.

      fuente

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Subrosia
      Registrado
      mar 2009
      Ubicación
      Barcelona, España
      Mensajes
      187

      Re: DOWNAD / Conficker Ver: Nueva variante en la mezcla?

      Traducción Made in Google, ¿verdad? Porque no me he enterado de nada.

      Esto quiere decir que... ¿ahora Conficker se propaga automáticamente a través de P2P (es decir, sin descargar algún archivo infectado) o que se genera misteriosamente en el ordenador?

    3. #3
      Usuario Avatar de Turson
      Registrado
      feb 2006
      Ubicación
      Lastrombia
      Mensajes
      523

      Pregunta Re: DOWNAD / Conficker Ver: Nueva variante en la mezcla?

      Pregunto, ¿la conocida herramienta Flash Disinfector es capaz de contrarrestar la infección de la Pendrive USB?, lo digo por aquello de asisitir a un Cyber de Internet y toparse con un PC infectado, que no sabes, y le conectas este artilugio portable.

    4. #4
      Ex-Colaborador Avatar de Suerte
      Registrado
      may 2008
      Ubicación
      Colombia
      Mensajes
      7.565

      Re: DOWNAD / Conficker Ver: Nueva variante en la mezcla?

      Esto quiere decir que... ¿ahora Conficker se propaga automáticamente a través de P2P (es decir, sin descargar algún archivo infectado) o que se genera misteriosamente en el ordenador?
      @Subrosia pues no creo que se propague misteriosamente, tampoco soy experto en esto. Lo que yo entiendo es despues del revuelo que se formo el 1º de abril pues parece que el 7 de abril, an encontrado un archivo con la nueva modificacion o una nueva modificacion. y que siguen investigando. Demomento eso puedo decir yo, si encuentro alguna noticia mas explicita os lo hago saber.

      Pregunto, ¿la conocida herramienta Flash Disinfector es capaz de contrarrestar la infección de la Pendrive USB?, lo digo por aquello de asisitir a un Cyber de Internet y toparse con un PC infectado, que no sabes, y le conectas este artilugio portable.
      @Turson. Pues la herramienta Flash Disinfector te protege de futuras infecciones en pendrives tal y como dice su manual, pero ahy que tener cuidado y analizar lo que conectemos a nuestro pc. tambien ahy un excelente manual realizado por El Piedra

      Eliminar gusano Conficker / Downadup

      saludos. espero aver contestado un poco a sus preguntas, como digo no soy un experto en todo esto, de hay que puse la noticia ya que me parecio interesante.

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Ex-Colaborador Avatar de Suerte
      Registrado
      may 2008
      Ubicación
      Colombia
      Mensajes
      7.565

      Re: DOWNAD / Conficker Ver: Nueva variante en la mezcla?

      Para dejar mas informacion sobre esta noticia. Os dejo esto:


      Como era de esperar el pasado 7 de abril apareció una nueva variante del gusano Conficker detectado por proactivamente por heurística desde el comienzo por ESET y luego bautizado como Win32/Conficker.AQ.

      Esta nueva variante tiene dos componentes principales. El servidor es un componente EXE que infecta sistemas vulnerables en la red usando la misma vulnerabilidad anterior descrita en el Boletín MS08-067 de Microsoft. Este componente instala el cliente, un archivo DLL, que tiene el fin de reclutar máquinas para la Botnet que está creando Conficker desde el comienzo. También hay otro componente “driver” en el servidor que es el encargado de buscar otros sistemas vulnerables para explotar la vulnerabilidad.

      El mecanismo de infección permanece constante como en las versiones anteriores:
      Se descarga el código de la DLL desde el servidor HTTP proporcionado por el servidor (el archivo. EXE) al sistema víctima
      El gusano inicia un servidor HTTP en un puerto aleatorio
      Se conecta a máquinas remotas a través de TCP/139 y TCP/445 en un intento de explotar la vulnerabilidad RPC en otras víctimas

      Si bien todavía nos encontramos analizando esta nueva variante, como novedad aparece que el componente servidor se desactiva y elimina después 3 de mayo, aunque el cliente seguirá estando activo y; esta versión ya no se pone en contacto con los 50.000 dominios tan promocionados de la versión que apareció el primero de abril. Esta nueva variante Win32/Conficker.AQ sólo se comunica con su propia red Peer-to-Peer mediante la cual es realizada toda la comunicación de la Botnet. Tampoco se utiliza el componente de Autorun de las versiones anteriores.

      Actualmente, algunos informes asocian a Waledac con Conficker, con su difusión de spam y con la distribución de rogue y, aunque es probable que sus autores estén relacionados, también es posible que la botnet del primero haya sido alquilada para propagar el segundo.

      Mientras tanto, los clientes de ESET no tienen de que preocuparse ya que como dije la nueva variante es detectada y también trabaja sin problemas nuestra herramienta de eliminación de Conficker. Y, ¿usted ya parcheo? Si no lo hizo hágalo inmediatamente.

      fuente

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Baneado Avatar de lyoko
      Registrado
      dic 2008
      Ubicación
      REP. ARGENTINA
      Mensajes
      444

      Re: DOWNAD / Conficker Ver: Nueva variante en la mezcla?

      entonces en softsonic tenian razon