Vista la inseguridad de todos los usuarios existente actualmente, ante los rootkits-backdoors como la variante descubierta el pasado 4 de Marzo y comentada en
https://www.satinfo.es/blog/2014/nueva-variante-del-rootkit-backdoor-phdet-s-de-dificil-deteccion/
que abre puertas traseras a diferentes ports dando acceso a los mismos a varios sites, entre ellos:
“cram-1000-zip-mtc-b.evip.aol.com:http”
“ec2-54-209-17-247.compute-1.amazonaws.com:https”
“generic-avoncom.avon.com:http”
“hosted-by.leaseweb.com:444”
“iad23s05-in-f14.1e100.net:http”
“mx.b.hostedemail.com:smtp”
“mx.east.cox.net:smtp”
“mx-se.avito.ru:http”
“nearyoude.com:http”
“prodwebmail-cs-zip-dtc-b.evip.aol.com:http”
“relay.verizon.net:smtp”
“snsprod-cs-shared-frr.evip.aol.com:http”
“srv97-131.vkontakte.ru:https”
“srv120-131.vkontakte.ru:https”
“srv242-131.vkontakte.ru:https”
“sv64.xserver.jp:http”
“74.125.209.52:554”
“74.125.209.85:554”
“74.125.209.87:554”
“74.125.209.213:554”
“99.192.247.237:http”
“157.56.19.158:https”
“167.68.12.35:http”
“173.194.116.98:http”
“173.194.116.96:http”
“173.194.116.101:http”
“183.81.160.70:http”
“199.16.156.102:https”
“208-64-202-69.valve.net:https”
“213.180.204.32:https”
etc…
lo cual puede verse fácilmente con un “NETSTAT -a” y que, como este que descubrimos ayer, pueden existir otros similares no conocidos, no detectables mientras están activos, que al cargarse como drivers, no servicios, se lanzan al arrancar Windows, aunque se arranque en MODO SEGURO, hemos creído oportuno lanzar este aviso a “navegantes” para que ante la duda, sospecha o simplemente interés en seguridad privada o de la empresa propietaria del PC y de los datos existentes en el mismo, sepan a qué atenerse.
Ante todo recomendamos la instalación de un cortafuegos de hardware con control IPS (capa 7) como puede ser el STONESOFT (McAfee Next Generation Firewall), que pueda controlar la aplicación que está utiliza el puerto (pues los navegadores usan el 80 normalmente, al cual no se debe impedir su acceso si es usado por ellos), lo cual pocos cortafuegos disponen de dicho control y con respeto de los de software, no recomendables por el hecho de que algunos virus, malwares o incluso errores en el sistema los pueden desactivar, aunque dicho cortafuegos esté correctamente configurado, el evitar el acceso remoto por malwares como el indicado, que puedan acceder a información privada, además de poder introducir otros malwares en el equipo.
Para una revisión de los equipos que quieran ser comprobados, lo cual es recomendable, aconsejamos que se arranque desde un LIVE-CD para que no esté activo el malware, ofrecemos el LIVE-CD de SATINFO/MCAFEE, disponible en el apartado de “Descargas de Utilidades Satinfo” de nuestra web,www.satinfo.es, con el que poder arrancar y tras comprobar que el disco duro esté montado (accediendo al “Gestor de archivos”, parte inferior izquierda de la ventana), se pulse en “DESCARGAR DATS” y tras ello pulsar en “VIRUSSCAN PARA LINUX”, para lanzar el antivirus de McAfee para Linux, sistema con el que arranca dicho LIVE-CD, en cuyo modo se podrán detectar y eliminar estos virus/rootkit que de otra forma no serían detectados iniciando desde el propio sistema, como este backdoor y otros que controle el VirusScan y ni sospechemos que los tenemos.
No queremos causar pánico al respecto, pero visto como actúan y lo que pueden hacer, es muy importante poder prevenir a tiempo, aunque hoy sabemos que solo con la protección adecuada y la dedicación correspondiente, como hemos indicado, podemos reducir el riesgo, aunque estando conectados a la gran RED (Internet) y con los sistemas operativos actuales, todo es posible …
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 6 de Marzo de 2014