Gusano Morto sorprende de nuevo .

 

Help Net Security 2-Sep-2011

El reciente descubrimiento del gusano Morto, que se ha extendido a través de la red, tiene más de una característica nunca antes vista. No sólo se propaga usando el Protocolo de Escritorio Remoto (RDP), también utiliza una novedosa forma de contactar a su C&C en busca de instrucciones: vía registros de sistema de nombres de dominio (DNS) TXT.

“Mientras se examinaba W32.Morto, notamos que intentaba solicitar un registro DNS para un número de URLs que fueron codificadas en el binario”, escribe Cathal Mullaney, ingeniero de respuesta de seguridad de Symantec.

“Esto no es inusual o único, pero cuando se examinaron las URLs, notamos que éstas no estaban asociadas a registros DNS A regresados por nuestra propia petición DNS. En otras investigaciones, determinamos que el malware actualmente hace peticiones a un solo registro DNS TXT, no para un búsqueda de dominio a IP, y los valores retornados fueron muy inesperados”.

Con todo, la información proporcionada fue una firma binaria y una dirección IP desde la cual el gusano puede descargar más malware. La misma información que muchas amenazas reciben usando más canales de comunicación establecidos.

Fuente: Help Net Security

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: