• Registrarse
  • Iniciar sesión


  • Resultados 1 al 7 de 7

    La Botnet Gumblar cambia de tácticas

    La Botnet Gumblar cambia de tácticas Los criminales detrás de la botnet Gumblar y su respectiva campaña de malware han adaptando sus técnicas, al igual que los atacaques, con el fin de no sólo para ...

          
    1. #1
      Redactor Avatar de Pacman
      Registrado
      abr 2005
      Ubicación
      Silicon Valley
      Mensajes
      1.749

      Atención La Botnet Gumblar cambia de tácticas

      La Botnet Gumblar cambia de tácticas


      Los criminales detrás de la botnet Gumblar y su respectiva campaña de malware han adaptando sus técnicas, al igual que los atacaques, con el fin de no sólo para evadir la detección, también para impedir que los investigadores los descarguen y analicen las nuevas versiones del programa malicioso.

      Un nuevo análisis sobre la actividad reciente de Gumblar muestra que la versión actual (o cualquiera de las versiones actuales) tiene una nueva pieza en su funcionalidad que verifica de que país proviene la máquina recién infectada durante la rutina de infección inicial. El objetivo de los chicos malos al implementar esta verificación, es prevenir Gumblar infecte nuevas máquinas en Japón, donde los investigadores han sido muy diligentes en encontrar y separar las piezas de la red Gumblar.

      Gumblar ha infectando tanto a servidores y como equipos PC durante más de un año, con una alta tasa de éxito. El nuevo cambio de dirección por parte de los atacantes demuesta que no está contenido con lo obtenido.

      Los desarrolladores de Gumblar notaron que no se detuvo la actividad de muchas direcciones IP japonesas que fueron blancos del sistema. El duro trabajo de analizar la amenaza y los datos de su actividad en línea cosechados desde Japón dio lugar a una respuesta por parte de los chicos malos. No hace mucho tiempo nos encontramos con una nueva variante de la secuencia de comandos encargada de la infección creada por los desarrolladores Gumblar que verifica el origen del cliente remoto. El script usa una base de datos gratuita de referencia de IP por país para localizar la procedencia del cliente. Y si el país resulta ser Japón, se detiene la secuencia de comandos y no ataca. A continuación se muestra la parte del código que fue implementado:


      Gumblar script

      La nueva investigación realizada por Vitaly Kamluk de la oficina de Kaspersky en Japón, encontró que la compleja red Gumblar ahora comprende por lo menos 4,460 servidores de puerta trasera. Es un número bastante grande de servidores desde cualquier punto que se analice, y una fracción de ese número sería suficiente para armar una red de clientes para la red de bots bastante grande.

      "En este momento nadie tiene la información de cuantas máquinas clientes comprometidas pertenecen a la botnet Gumblar, pero creemos que es algo más que el número de servidores comprometidos, porque el número de servidores representa sólo la cantidad de los usuarios infectados que tienen sus propios sitios web y usan clientes FTP en el sistema infectado", escribió Kamluk.



      Autor: Dennis Fisher
      Kaspersky Security Researcher
      Fuente: Threatpost

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de ZORROSUR
      Registrado
      feb 2008
      Ubicación
      Argentina
      Mensajes
      319

      Re: La Botnet Gumblar cambia de tácticas

      Alguien me puede decir si ademas de Trend Micro RUBotted , BotHunter es bueno tambien, no lo he probado.
      Última edición por ZORROSUR fecha: 04/05/10 a las 23:16:53

    3. #3
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: La Botnet Gumblar cambia de tácticas

      Hola Zorrosur,

      En realidad para el tema de las Botnet, cualquier Antivirus moderno de hoy en día que se jacte de brindar buena seguridad, tendría que ser capaz y suficiente para prevenirte ante la infección de cualquier malware del tipo Bot.

      Un Firewall también lo puede ayudar mucho, ya que este seria el encargado de detectar si hubura trafico entrante y saliente de tu equipo sin que siquiera estés utilizando este y por donde podrías ver que es lo que esta pasando.

      Ahora llendo a tu pregunta puntual, te puedo decir que "RUBotted" es un muy buen e interesante programa que por ahora lo mantienen muy bien actualizado para monitorear si se tiene sospechas de que un equipo pueda estar siendo parte de una Botnet, pero como te comentaba, teniendo Antivirus y Firewall, este como otros monitores de bots serian mas que nada si se tiene sospechas, pero no para dejar residentes permanentemente.


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      Usuario Avatar de ZORROSUR
      Registrado
      feb 2008
      Ubicación
      Argentina
      Mensajes
      319

      Re: La Botnet Gumblar cambia de tácticas

      Bien Piedra!
      Me sacaste la duda , pero lo que me llamaba la atencion de como tantas pcs esten conectadas a la Botnet y los Antivirus no lo puedan detectar.
      Saludos.

    5. #5
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: La Botnet Gumblar cambia de tácticas

      Cita Originalmente publicado por ZORROSUR Ver Mensaje
      lo que me llamaba la atencion de como tantas pcs esten conectadas a la Botnet y los Antivirus no lo puedan detectar.
      Si bien es verdad y hay veces que las cifras son alarmantes al encontrar equipos infectados aun teniendo alguna solución Antivirus, por lo general se debe a que esos equipos tienen o desactualizado mal configurado o creakeado, por lo que seria lo mismo que directamente no tener Antivirus.

      Por otra parte el Firewall si un usuario directamente cuando este pregunta si permitimos o no una conexión "Xs", si le damos que si, este no tendría la culpa ya que nosotros mismos lo estamos autorizado.

      Por eso en las recomendaciones generales para el cuidado de los peligros de internet, aparte de recomendar tener algunos programas básicos, lo mas importante es el sentido común a la hora de utilizar nuestro PC.


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Usuario Avatar de chija
      Registrado
      abr 2009
      Ubicación
      Argentina
      Mensajes
      1.719

      Re: La Botnet Gumblar cambia de tácticas

      Muy buena jefe.

    7. #7
      Usuario Avatar de Lodvg
      Registrado
      dic 2009
      Ubicación
      Estados unidos
      Mensajes
      47

      Re: La Botnet Gumblar cambia de tácticas

      que buena explicacion jefe..