Morto, es el primer gusano de la historia que se propaga a través de Windows Remote Desktop Protocol (RDP), no solamente es único debido a su mecanismo de propagación – sino que también utiliza un vector nuevo, el sistema de nombres de dominio  (DNS) –, para comunicarse con las máquinas infectadas, dijo el miércoles un investigador de Symantec.

El DNS es un componente crítico de la infraestructura de Internet que traduce las direcciones IP en nombres de dominio memorable, como SCMagazineUS.com.

En concreto, Morto utiliza registros DNS TXT para su protocolo de comunicación, dijo en un blog el miércoles Cathal Mullaney, un ingeniero de respuesta de seguridad de Symantec. Estos registros fueron utilizados originalmente para permitir que el texto se almacene con un registro DNS. Hoy en día, sin embargo, se utilizan más a menudo para almacenar datos legibles de máquina.

“El uso del gusano de los  registros DNS TXT es un método inusual de dar órdenes a la amenaza a distancia mientras se mantiene el vector C & C [de mando y control] bajo el radar”, escribió Mullaney.

Al analizar el malware, los investigadores descubrieron que una vez instalado en una máquina, trata de solicitar un registro DNS para una serie de URLs. Pero en vez de pedir una búsqueda de IP del dominio, el malware solicita solo los datos TXT. El registro TXT devuelto contiene las instrucciones que debe realizar el malware en los sistemas comprometidos.

“La amenaza claramente esperaba este tipo de respuesta y procedió a validar y descifrar el registro TXT devuelto”, escribió Mullaney. Agrego “El registro descifrado tuvo una firma binaria habitual y una dirección IP donde la amenaza podría descargar un archivo (normalmente otro malware) para su ejecución”.

Los investigadores a principios de esta semana advirtieron que Morto se está extendiendo “in the wild“( léase: activos en el mundo real), dirigido a estaciones de trabajo y servidores Windows. El gusano es el primero que se propaga a través de RDP, una tecnología desarrollada por Microsoft que permite a los usuarios conectarse remotamente a su ordenador.
Se propaga mediante el escaneo de redes de computadoras locales infectadas y que las mismas tengan RDP habilitado. Cuando encuentra un servidor de escritorio remoto, el malware a continuación, intenta utilizar docenas de contraseñas débiles, tales como “123”, “admin” o “password”, para iniciar la sesión como administrador.

Para evitar esta amenaza se recomienda a los usuarios que deshabiliten el RDP (Windows Remote Desktop Protocol). Recuerde que en Windows Vista y 7 varían los nombres por ejemplo en Windows 7 son los siguientes:

  •  Remote Desktop Configuration
  • Remote Desktop Services

Los cuales puede deshabilitar sin problemas, yo específicamente también tengo deshabilitados los siguientes servicios:

  •  Remote Registry
  • Routing and Remote Access
  • Server
  • Windows Remote Management(WS-Management)

Autor: Angela Moscaritolo

Traducción: Velcro

Fuente: SC Magazine

Aviso: Si Usted quiere ver en español la pagina del enlace a Morto al principio del post, cuando este en esa pagina de Microsoft vaya al final de la misma y escoga “spanish” y despues de clic en la flecha a la derecha y espere unos segundos a que complete la traducción.

Anuncios