lunes, 5 de enero de 2009

Año Nuevo...Gusano nuevo... WORM_DOWNAD.AD

Estimados:
En las últimas horas se ha recibido reportes de detección de una nueva variante de WORM_DOWNAD. Esta nueva variante es detectada por TREND MICRO bajo el nombre de WORM_DOWNAD.AD
Algunas de las características a destacar de este nuevo código malicioso es la capacidad de utilizar una reciente vulnerabilidad de Microsoft (MS08-067) para propagar su código a través de la red utilizando el puerto TCP/445 en múltiples conexiones tanto a nivel de LAN como a Internet.

Por otro lado, uno de los síntomas más evidentes que provoca es el bloqueo de cuentas de usuarios de Active Directory, debido a que intenta conectarse a recursos compartidos ADMIN$ de la LAN probando un diccionario de passwords frecuentes; así como también, es posible detectar la caída del servicio Server.

Según lo mencionado arriba, los síntomas más comunes podemos resumirlos en tres puntos:
1) Las cuentas de usuarios de AD están bloqueadas: los usuarios no se pueden loggear a la sesión de Windows.
2) Algunos servicios de Windows Server son detenidos súbitamente.
3) Ataques al puerto 445 y otros puertos aleatorios como 40000 y 40400.


Las recomendaciones son:

1) Mantener la plataforma actualizada según el documento técnico (MS08-067).
2) Verificar que la plataforma de antivirus esté actualizada.
3) Verificar que los equipos tengan configurado adecuadamente el firewall.

En la proxima entrega, les mostraremos como realizar un despliegue efectivo y rápido de esta actualización de Microsoft.

Saludos

Enrique

PD: se agradece a Trend Micro y a GFI por el aporte de la información para este artículo.

No hay comentarios.: