Nuevos ataques DDos

| 25 Ago, 2010 | Ciberamenazas | No hay comentarios

La empresa Arbor Networks, dedicada a soluciones de control de servicios seguros para redes globales, informa sobre una nueva familia de robots DDos (Ataque de Denegación de Servicios).

Esta nueva familia de robots de DDos está operativa desde mayo y desde entonces en sus sistemas sandbox se han detectado más de 70 ejemplares de la misma.

Algunas características de este código malicioso son las siguientes:

  • No utiliza un empaquetador
  • El archivo suele ser un ejecutable de 37,888 bytes de tamaño
  • Uso de diferentes MD5

Las funciones más interesantes que realizan son las siguientes:

  • Guarda una copia oculta del propio ejecutable en la ruta C:\Windows\System32 con un nombre aleatorio pero que siempre empieza por “A” seguido de 8 a 10 letras al azar en minúsculas.
  • Se crea en el Startup de Windows una copia de ese archivo con un nuevo nombre que empieza siempre por la cadena “360”.
  • Se ejecuta de forma automática la consola “cmd.exe” y se procede a la eliminación del archivo principal y se cierra.
  • El segundo proceso, creado en el directorio de Inicio, establece e inicia las comunicaciones con el servidor.
  • El tercer proceso crea un ejecutable por lotes MS-Dos llamado 9.bat y alojado en el directorio raíz C:\. Este ejecutable contiene los comandos para crear un nuevo servicio asociado al ejecutable oculto creado en C:\Windows\System32, además el servicio está configurado para ejecutarse automáticamente.
  • Un cuarto proceso se inicia como consecuencia del último servicio y detecta algoritmos de exclusión mutua y los aborta.
  • En este punto, el programa malicioso se instala como un servicio (que se inicia automáticamente al momento del arranque), así como un archivo normal que residen en el directorio de Inicio del usuario, que también se ejecuta automáticamente al iniciar sesión.

Hasta la fecha, han observado más de 180 víctimas de estos ataques DDos, la mayoría de los cuales se encuentran en China, la distribución por países de la víctima direcciones IP es el siguiente:

China – 126
Estados Unidos – 32
Corea del Sur – 9
Alemania – 5
Hong Kong – 4
Egipto – 2
Países Bajos – 2
Taiwán – 1
Rumanía – 1
Bolivia – 1

Desde el departamento técnico de ESET en Ontinet.com les aconsejamos ser cautos al abrir correos electrónicos no deseados y acceder a sus enlaces o adjuntos sin disponer de una protección antivirus activa y correctamente actualizada.

Si desean información más completa sobre este ataque y además conocer los detalles de cómo se realiza la denegación de servicios a los distintos host afectados, pueden acceder pulsando aquí.

David Sánchez

Related Posts

Sobre el Autor

Josep

Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..