Infección masiva de ordenadores polo verme Downadup

Infección masiva de ordenadores polo verme Downadup

Imáxe simbólica dun pc atacado por virus
19 Jan, 2009
por dLightman

A infección pódese realizar de tres formas:

  • Aproveitando a vulnerabilidade CVE-2008-4250, solucionada por Microsoft no seu parche extraordinario de Outubro MS08-06.
  • A través de carpetas compartidas en rede protexidas con contrasinais débiles.
  • A través de dispositivos extraíbles, por exemplo, lapis USB, creando un ficheiro con nome autorun.inf a acción da cal sexa autoexecutar a copia do verme cada vez que un usuario conecta o dispositivo extraíble a un ordenador.

Non se descarta que nos próximos días o verme poida mudar e intentar acceder aos ordenadores a través de novas formas de acceso.

É importante mencionar que, aínda que un ordenador teña instalado o parche MS08-06, tamén pode quedar infectado se se conecta no equipo un dispositivo extraíble infectado ou mediante as carpetas compartidas en rede de Microsoft.

Os mecanismos de propagación utilizados por Downadup son moi comúns e baséanse na relaxación dos usuarios para seguir unhas pautas de boas prácticas. Recomendamos a todos os usuarios que sigan estes consellos para evitar a infección:

  • Actualizar o Sistema Operativo, asegurándose especialmente de ter instalado o parche MS08-06, que soluciona a vulnerabilidade explotada polo verme.
  • Ter instalado un antivirus actualizado no ordenador, o seguinte enlace contén un listado de antivirus de escritorio gratuítos.
  • Protexer con contrasinais fortes as carpetas compartidas (máis información sobre as carpetas compartidas para Windows Vista e Windows XP).
  • Asegurarse de que todos os dispositivos extraíbles que se vaian conectar ao equipo están libres de virus, para iso convén analizalos cun antivirus actualizado antes de que se execute o seu contido.
  • Para evitar problemas de seguridade e previr as infeccións máis comúns, seguir os nosos Consellos de Seguridade.

Entre as accións de Downadup está a de acceder a determinadas direccións|enderezos de Internet que ten no seu código, F-Secure sacou o seguinte listado de direccións|enderezos de control ata o 31 de xaneiro. O verme aproveita o acceso a estas páxinas para descargarse outros programas maliciosos, aínda que non se descarta que, deste modo, o servidor remoto cree un listado das direccións|enderezos infectadas e que nun futuro se utilicen estes ordenadores comprometidos para crear unha rede zombie (botnet).

Para máis información consultar o Aviso non técnico de seguridade.