Sinkhole
Los nombres de dominios de las IPs maliciosos se dirigen hacia un sistema pasivo...
Descripción
Los nombres de dominios de las IPs maliciosos se dirigen hacia un sistema pasivo para extraer la información de conexión, con el propósito de emular protocolos y funcionalidades.
Un sinkhole es una herramienta de seguridad, que acepta y analiza tráfico atacante, los ISPs son los que utilizan ésta herramienta para atrapar ataques de tráfico, son utilizados también para monitorear, detectar ataques de actividades de escaneo.
El router del Sinkhole puede ser empleado para reenviar el tráfico de un ataque hacia un terminal de swith donde hay un analizador de red, un esniffer o ethereal, que permiten analizar el ataque.
Solución
Un computador detectado por una SINKHOLE debe usar el antivirus institucional.
Dentro de la tabla de campos el “type”, se puede encontrar del tipo “drone” este puede ser del tipo: “downaudup” , “sality”, “CITADEL – B54”, “B68-ZEROACCESS”, detalle de estos “drone”, se enuncian a continuación:
- Downadup: Gusano basado en el código MS08-67 explotan el servicio RPC de Microsoft Windows.
Las carpetas compartidas en redes locales con contraseñas débiles, se podría infectar la red en pocos minutos.
Los dispositivos extraíbles, podría tener el archivo infectado autorun.inf, el cual se auto ejecuta cada vez que conectamos el dispositivo extraíble.
Desactiva varios servicios como el Windows Defender, Windos System Restor, Windows Security Center, Bloque la actualización del programa de antivirus, descarga falsos programas antiviurs, bloque sitios de seguridad, utiliza Google, Yahoo, Ask para descargar malware y actualización del gusano.
- Saliyt 1- Sality 2: Win32.Sality es un virus que afecta archivos .exe y .src, crea archivos auto arrancables (autorun.ini) en dispositivos extraíbles.
La recomendación en algunos casos es formatear el equipo, si el antivirus no provee la capacitad de limpiarlo. Herramientas para limpiar este virus: http://support.kaspersky.com/sp/viruses/disinfection/1874.
Para reparar el registro de Windows: http://support.kaspersky.com/sp/viruses/disinfection/1874.
- Citadel –B54: Es un botnet utilizado para robo de información de la banca en línea, se lo puede solucionar con la descarga de la herramienta de Microsoft Safety Scanner de Microsoft, o utilizar el antivirus institucional.
- B68-ZEROACCESS: Es un Malware que afecta a sistemas operativos Windows, utiliza técnicas de rootkit, por ejemplo aparecene oculots o disfrazados en títulos de películas pirateadas. Una vez infectado el ZeroAccess rootkit, realiza una de las siguientes operaciones: La Bitcoin mining(genera bitcoins para su controlador) o la Click fraud(simula click en los anuncios. La solución es utilizar el antivirus institucional.
Solución: Para eliminar archivos maliciosos ZeroAccess utilizar la herramienta anti malware open: https://www.malwarebytes.org/antimalware/
Para eliminar las claves de registro malicioso añadiso por el rootkit ZeroAccess utilizar la herramienta: http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
Para quitar archivos maliciosos y reemplazar el archivo services.exe infectado, descargar la herramienta ComboFix: http://www.bleepingcomputer.com/download/combofix/dl/12/
