-------- Mensaje original --------
Asunto: una-al-dia (24/02/2012) DNSChanger, una moda... ¿de 2008?
Fecha: Fri, 24 Feb 2012 19:27:02 +0100
De: notic...@hispasec.com
Responder a: unaaldia-comentar...@hispasec.com
Para: unaal...@hispasec.com
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
-------------------------------------------------------------------
Hispasec - una-al-día 24/02/2012
Todos los días una noticia de seguridad www.hispasec.com
Síguenos en Twitter: http://twitter.com/unaaldia
Noticia en formato HTML: http://www.hispasec.com/unaaldia/4871
-------------------------------------------------------------------
DNSChanger, una moda... ¿de 2008?
---------------------------------
Es inevitable. De vez en cuando, alguien lanza la voz de alarma, y se
pone de "moda" alguna familia de malware, independientemente de su
peligrosidad. Leemos en titulares lo que parece el apocalipsis del
malware. Lo peor es sospechar que la moda es en realidad de 2008.
Con titulares como "Llega un virus alta peligrosidad "DNS Changer"" y
frases como "diversos organismos de seguridad en Internet a nivel
mundial han alertado de la peligrosidad del virus DNS Changer, [...] de
difícil erradicación en los ordenadores afectados." Desinforman y meten
el miedo en el cuerpo, alejando al usuario de otros peligros mucho más
reales y complejos. Veamos qué está pasando realmente.
Lo que llega a VirusTotal
Entendemos que lo que llega a VirusTotal es un buen indicador de qué
está pasando ahí fuera. Así que buscamos por "Dnschanger" en la base de
datos. Esto siempre tiene sus riesgos, puesto que la nomenclatura actual
de las firmas es un absoluto desastre, y pocas veces se ponen de
acuerdo. Aun así los resultados, ordenados por las veces que han
llegado, son de las últimas dos semanas.
http://1.bp.blogspot.com/-fMsz3qKqpok/T0eWMgwWr_I/AAAAAAAAAT8/v1_Tc66Odl0/s1600/vtmis1.png
Comprobamos que unos pocos bichos de 2008-2009 han "vuelto" y han sido
muy enviados en las últimas semanas. El primero, con 1.282 envíos, ni
siquiera es un DNSChanger, sino un keygen para piratear un programa
comercial. Así que tenemos muy pocas muestras de 2012 catalogadas más o
menos de forma unánime como DNSChanger, pero sí algunas que, desde 2008,
han vuelto a la "brecha" volviendo a ser muy enviadas a VirusTotal.
Vamos a analizarlas un poco.
¿Se ha puesto de moda malware de 2008?
Pues eso parece. Leyendo las características de ese DNSChanger, vemos
que su principal objetivo es modificar los servidores DNS en local de la
máquina hacia estos rangos:
85.255.112.0 hasta 85.255.127.255
67.210.0.0 hasta 67.210.15.255
93.188.160.0 hasta 93.188.167.255
77.67.83.0 hasta 77.67.83.255
213.109.64.0 hasta 213.109.79.255
64.28.176.0 hasta 64.28.191.255
Efectivamente, analizando la muestra que más veces ha llegado en las
últimas dos semanas, vemos que, tras un menú que simula ser un programa
de codecs.
http://3.bp.blogspot.com/-9G5bKNOJajs/T0eW8weH5KI/AAAAAAAAAUE/-KqwZYnR0f4/s1600/dns2.png
Termina cambiando los DNS. El programa hace poco más (crea ficheros con
nombres como freebsd.exe y notepad.exe en el temporal, no sabemos bien
por qué).
http://1.bp.blogspot.com/-MIPh4X2HlLo/T0eXXajVFNI/AAAAAAAAAUM/OW8OQlOdZ8g/s1600/dns1.png
Ahora, con estos DNS, Google no va donde debería, por ejemplo:
http://4.bp.blogspot.com/-jS38kUoWLrA/T0eXonZJTLI/AAAAAAAAAUU/Kn_kAGorJMY/s1600/dns3.png
Analizando estos troyanos, hemos recordado anuncios anteriores en UAD,
por ejemplo
http://unaaldia.hispasec.com/2008/12/la-familia-de-malware-dnschanger.html.
Donde se hablaba de mejoras en este malware. Curiosamente, el rango de
direcciones IP de los DNS falsos sigue siendo el mismo. Tras varias
muestras, consigo extraer estos DNS falsos:
85.255.113.205, 85.255.112.144, 85.255.114.75, 85.255.112.212,
85.255.116.71 y 85.255.112.63.
Efectivamente, en el rango anunciado.
¿Es un "revival" de un malware antiguo?
Tampoco podemos asegurarlo totalmente, pero todo indica que más o menos
es así. Buscamos en la base de datos de VirusTotal y encontramos sobre
todo muestras de este tipo que modifiquen los servidores DNS de la
manera que indican... así que todo apunta a que es esto lo que está
ocurriendo. Aunque también puede ser que estemos hablando de malware que
no está en VirusTotal, o que no hemos sabido encontrar por ese nombre...
quién sabe.
Desde luego, si es el caso, este malware no es en absoluto de "difícil
erradicación"... basta con cambiar los DNS locales de la máquina. Y su
peligrosidad es muy limitada comparada con la sofisticación que podemos
encontrar ahí fuera.
Otras curiosidades
Comprobando esto, hemos acudido a la página http://dnschanger.eu/, un
servicio gratuito para comprobar si se están usando servidores DNS
"rogue" o falsos. Gracias a mi compañero David García, hemos descubierto
algo interesante. En principio nos parecía mala idea usar un dominio
para comprobar si se están usando en el sistema DNS falsos. El operador
de estos servidores DNS que ha infectado tu máquina, solo tendría que
redirigir, bloquear o cambiar la IP del dominio para engañar al usuario,
y este nunca sabría realmente si sus DNS son los buenos o no. Es lo de
siempre: no puedes realizar operaciones concluyentes sobre si un sistema
está infectado... operando desde el propio sistema.
Intentando averiguar cómo hace la página para saber si el visitante
cuenta con DNS maliciosos o no, hemos descubierto que dnschagner.eu
utiliza el dominio dns-ok.de. Muchos de estos DNS "malos", devuelven una
resolución diferente a la de los "buenos" de este dominio, y ese es el
criterio que parece seguir. Los DNS "buenos" resuelven a 85.214.11.195 y
los malos a 85.214.11.194. El método parece consistir en conseguir la
imagen alojada en dns-ok.de/images/t2logo.gif.
http://2.bp.blogspot.com/-g56ede2WxTQ/T0eYDxqZMGI/AAAAAAAAAUc/yGsK0UH-SJA/s1600/dns4.png
Así, si puedes descargar esta imagen:
http://85.214.11.194/images/t2logo.gif (pero resolviendo el dominio) es
que estás infectado. Si no, es que en realidad estás acudiendo a
http://85.214.11.194/images/t2logo.gif y por tanto no estás infectado.
Es un método curioso (y con flecos), del que todavía quedaría por
averiguar los detalles. Parece que se debe "condenar" a los servidores
que se saben "rogue" a resolver de forma controlada hacia otra IP... He
llamado a la OSI (Oficina de Seguridad del Internauta) para ver si nos
lo pueden aclarar, y estamos esperando respuesta.
Protegerse de verdad
Como siempre que hay una alerta mediática, aparecen métodos y
herramientas para protegerse. En realidad el método más eficaz para
evitar que algo o alguien te modifique los DNS ya está inventado: son
los permisos nativos de Windows. Los datos de las interfaces de red se
almacenan en el registro.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces
Si somos usuarios, no podremos cambiarlo. Si somos administradores...
debemos impedirnos a nosotros mismos y a todo lo que ejecutemos que
pueda modificar sus valores. Con el botón derecho sobre esa rama,
cambiamos los permisos y eliminamos el "control total" sobre los
administradores. Ya nadie podrá cambiar las propiedades de nuestras
interfaces de red. Esto es lo más efectivo (siempre que recuerdes que lo
has cambiado y reviertas la configuración cuando sea necesario).
http://3.bp.blogspot.com/-P295oQyNqlg/T0eYa2LtH-I/AAAAAAAAAUk/BSwTF4WL7bE/s1600/reg1.png
Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/02/dnschanger-una-moda-de-2008.html#comments
Más información:
http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_tecnicos/troyano_dnschanger_redirige_paginas_maliciosas_20120216
Llega un virus alta peligrosidad "DNS Changer"
http://www.noticiascastillayleon.com/noticia/Llega-un-virus-alta-peligrosidad--DNS-Changer/18725/11/LE
Troyano DNS-Changer redirige a páginas maliciosas
http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_tecnicos/troyano_dnschanger_redirige_paginas_maliciosas_20120216
Sergio de los Santos
ssan...@hispasec.com
Twitter: @ssantosv
Tal día como hoy:
-----------------
24/02/2011: Ejecución de código arbitrario en ClamAV
http://www.hispasec.com/unaaldia/4506
24/02/2010: Actualización del kernel para Debian Linux 4.x
http://www.hispasec.com/unaaldia/4141
24/02/2009: El SSL no está roto... ¿o sí? (y II)
http://www.hispasec.com/unaaldia/3776
24/02/2008: Elevación de privilegios en WebLogic Server y WebLogic Express
http://www.hispasec.com/unaaldia/3410
24/02/2007: Múltiples vulnerabilidades en gzip de Sun Solaris 8, 9 y 10
http://www.hispasec.com/unaaldia/3045
24/02/2006: Ejecución de código remoto en el instalador de Macromedia Shockwave
http://www.hispasec.com/unaaldia/2680
24/02/2005: Diversas vulnerabilidades en dispositivos Cisco ACNS
http://www.hispasec.com/unaaldia/2315
24/02/2004: Actualización para el reproductor Windows Media
http://www.hispasec.com/unaaldia/1948
24/02/2003: Informe anual del CERT
http://www.hispasec.com/unaaldia/1583
24/02/2002: Vulnerabilidad en "ettercap"
http://www.hispasec.com/unaaldia/1218
24/02/2001: Vulnerabilidad en Pi3Web v1.0.1
http://www.hispasec.com/unaaldia/853
24/02/2000: El Parlamento Europeo investiga Echelon
http://www.hispasec.com/unaaldia/485
24/02/1999: Cuartango descubre una nueva vulnerabilidad del Explorer
http://www.hispasec.com/unaaldia/120
-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-requ...@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-requ...@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2012 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (MingW32)
iQEcBAEBAgAGBQJPR7BPAAoJEI/UizGiFA4PmGoH/3ShIQOdY+ol7uC49qx2LW5G
Q9LIAwdo5Qzo/vzKXTOEOoFgF10N6BTTlpokdZWfRp4w+PBRMkOsY0KFO9wCTRRq
3RbmviaCj3Cu/GaDsTGD5bB39HyGHYEcrtuhzQvrcbJsMdgnG5ilolirpE/GKmsh
P/JJwjwinNOAnuuoK66vd5PNakhj6csuT6eqamphuMCT9xaLS7LHPUZbX41fvUoj
eKCtasT1KtklCao2mismqWWE3W41SrLTU0+LpFfjeoj8zVJG7j1A0gr+HPx6omlH
mpCo8ad2vw7VBB2UpSE5HlQQ+W0V+3V+EGTiiX+WmOW4/XjIs3cfwPojYkJILIs=
=R6wY
-----END PGP SIGNATURE-----
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL:
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20120224/1a664956/attachment.htm>
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l