Avisos 22 de May, 2012

Codi maliciós Quervar/BeastDoor/Dorifel

En les darreres 48-72 hores s'ha detectat un creixement destacable de casos d'infecció per codi maliciós, aquest es coneix amb diferents noms "Quervar/BeastDoor/Dorifel", que a data d'avui encara resta indetectable per diversos fabricants d'antivirus.

Recursos afectats: Pendent de concretar l'abast concret, sembla afectar principalment a plataformes Windows (versió d'usuari i servidor).

Impacte: Compromís de l'equip, control remot dels sistemes mitjançant participació activa en xarxa de tipus "botnet".

Solució:

A l'espera que els diferents fabricants d'antivirus publiquin les corresponents signatures de detecció i neteja, us oferim un seguit de recomanacions de seguretat genèriques a considerar:
 Bloqueig/Aïllament dels serveis o màquines afectades mitjançant els dispositius de xarxa o seguretat adients tal com encaminadors/tallafocs.
 Si és possible, desconfigurar/deshabilitar els serveis de xarxa de les màquines afectades.
 En cas d'identificar propagació por correu electrònic, agafar una mostra i bloquejar els correus amb assumpte (subject) o contingut que identifiqui el codi maliciós. Si és necessari, inhabilitar el servei de correu per a les bústies afectades fins que es solucioni l’incident.
 Actualitzar a la darrera versió de signatures tots els sistemes de control antivirus, anti-spam, anti-spyware, etc.
 Activació de signatures de contenció als sistemes de prevenció contra intrusions a nivell de sistema o xarxa (IPS).
 
Com a mesura d'eradicació us recomanem que inicieu els sistemes Windows infectats en mode a prova d'errors, actualitzeu l'antivirus i executeu un escaneig per tal d'eliminar les infeccions. En cas que el vostre antivirus no detecti el virus, recomanem posar-vos en contacte amb el fabricant per que us faciliti una firma de detecció i eliminació.

 
Contenció
 Bloquejar l'accés als següents recursos de xarxa:
 avtoclub.eu/admin/ajax/way.php?xxxxxxxxxxxxx 87.106.60.46
 
vnk.sk/js/way.php?xxxxxxxxxxxxxxxxxxxxx 82.208.46.25
 


Detall:


Detecció:
 
El codi maliciós es detectat per 20 de 42 antivirus, la majoria el detecten com a troià genèric:
 Fortinet: W32/Dorifel.CGT!tr
 Kaspersky: Trojan-Dropper.Win32.Dorifel.cgt
 Microsoft: Trojan:Win32/Quervar.A
 Mcafee: Downloader-CTO
 
Anàlisi de comportament:
 
Encara per determinar el mètode de propagació, podem donar les següents dades d'estudi:
 Creació del fitxer: C:\\WINDOWS\\xpsp2res.dll
 Comunicacions per xarxa al que podria ser punt de control (C&C), per la qual com a mesura de contenció us recomanem el bloqueig de les següents adreces IPs i/o URLs:
 avtoclub.eu/admin/ajax/way.php?xxxxxxxxxxxxx 87.106.60.46
 
vnk.sk/js/way.php?xxxxxxxxxxxxxxxxxxxxx 82.208.46.25
 


Propagació:
 
El resultat dels primers estudis, indiquen que la seva propagació s'està produint principalment mitjançant unitats de xarxa compartides (especialment a arxius de tipus DOCX i EXE).
 



Referències
 Microsoft Malware Protection Center http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3aWin32%2fQuervar.A

Publicat a: Avisos
Tags: Seguretat