miércoles, 27 de enero de 2010

Hydraq podría haber infectado millones de Computadores

Recientemente los gobiernos de Francia y Alemania han aconsejado no utilizar Microsoft Internet Explorer 6, precisamente porque este navegador de Microsoft actualmente tiene una grave vulnerabilidad de seguridad (identificada con el nº 979352), que permite a los Hackers instalar un troyano y controlar remotamente un PC, para robar toda la información. Precisamente Hydraq es el Troyano que recientemente fue lanzado contra Google en China, y según la opinión de los expertos, el ataque no fue de una excesiva sofisticación. El ataque de Hydraq, es una combinación de malware y ingeniería social aplicada a objetos, y consiste en convencer a las victimas mediante el envió de un mail falsificado con un documento PDF adjunto o a través de la mensajería instantánea para que hagan clic en un enlace determinado en el documento enviado, que les lleva al sitio Web de malware desde el cual se instala el troyano en sus ordenadores. Las técnicas que emplea Hydraq no son nuevas, han sido ya utilizados por varios programas maliciosos en el pasado, y no son demasiado difíciles de conseguir en internet.
Una vez que el Troyano se ha instalado en el equipo víctima, se comunica con los servidores remotamente para recibir y cargar cualquier información que pueda haber recopilado. Este tipo de ataque a menudo reciben el calificativo de “ataque persistente”, ya que el software malicioso permanecen oculto dentro de las maquinas de una empresa en estado durmiente, a la espera de que la victima ingrese nueva información o la actualice para robarla. Como descubrir la presencia del Troyano Los expertos de Symantec aseguran que Hydraq aprovecha los procesos genéricos del Svchost.exe en Windows. Cuando se inicia Windows Svchost.exe comprueba los servicios del Registro y elabora una lista de servicios que son necesarios cargar. Muchos usuarios se alarman cuando ven repetida la clave Svchost.exe, pero no hay que alarmarse porque Svchost puede ejecutar múltiples instancias al mismo tiempo. SVCHOST.exe no solo es el responsable de cargar varios servicios, sino que también abre numerosos puertos de conexión a nuestro sistema en el cortafuegos de Windows. Cada sesión de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autónomos, en función de cómo y cuándo se inició Svchost.exe. Esto permite un mejor control y una depuración más sencilla. Los grupos Svchost.exe están identificados en la siguiente clave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Svchost El contenido del valor de cada clave representa un grupo Svchost distinto y presenta un ejemplo independiente cuando se consultan los procesos activos. Cada valor es un valor REG_MULTI_SZ que contiene los servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost puede contener uno o varios nombres de servicio que se extraen de la siguiente clave del Registro, cuya clave Parámetro contiene un valor ServiceDLL: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Nombre del Servicio Por esta razón, suele aparecer varias veces en la lista de procesos en ejecución. Para ver la lista de servicios activos que se ejecutan en Svchost y los procesos: 1. Haz clic en el botón Inicio en la barra de tareas de Windows 7 y a continuación, en buscar. 2. En el cuadro de diálogo buscar, escribe CMD y, a continuación, presiona la tecla Enter. 3. Ahora en la ventana de la consola de comandos, escribe: Tasklist /SVC ... y presiona Enter. Tasklist muestra una lista de los procesos activos y los servicios del sistema aparecen asociados con dichos procesos "si los hay" (en caso contrario muestra N/D, no disponible). El modificador /SVC muestra la lista de servicios activos para cada proceso. Si tienes Windows 7 y quieres obtener más información sobre los servicios que está ejecutando el proceso SVCHOST en estos momentos: 1. Haz clic en el botón Inicio en la barra de tareas de Windows 7 y, a continuación, en Ejecutar. 2. En el cuadro de diálogo buscar, escribe CMD y, a continuación, presiona la tecla Enter. 3. Ahora en la ventana de la consola de comandos, escribe: Tasklist /svc /fi "imagename eq svchost.exe" ... y presiona Enter. En este caso sólo mostrará los procesos SVCHOST.exe y sus servicios asociados. Respecto a detectar la actividad del Troyano Hydraq en esos procesos, que es lo que nos interesa, en primer lugar Hydraq crea un servicio aleatorio con un nombre ciertamente largo y con un nuevo grupo servicios llamado SysIns. Seguidamente se añade ,% System% \ rasmon.dll como si fuera un ServiceDll en el grupo de servicios SysIns, y a continuación, se ejecuta lo siguiente: C: \Windows\System32\svchost.exe-k SysIns Esto hace que rasmon.dll se cargue y ejecute. En su rutina de inicialización rasmon.dll elimina el servicio con el nombre aleatorio y crea otro nuevo servicio. El nombre de este servicio aparecerá de esta forma: RAS [4 Caracteres Aleatorios] Por ejemplo: RaSfitz. De nuevo, esto señala a% System% \ rasmon.dll, y esta vez se añade como ServiceDll al grupo de servicios existentes netsvcs. Este nuevo servicio será automáticamente cargado y ejecutado por svchost durante el inicio. Si se elimina este elemento de carga, junto con el archivo y se reinicia el sistema automáticamente se elimina la amenaza del Troyano.
http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx http://www.adobe.com/support/security/bulletins/apsb09-10.html http://support.microsoft.com/kb/314056

LinkWithin

Related Posts Plugin for WordPress, Blogger...