AVISO IMPORTANTE SOBRE SEGURIDAD EN TODOS LOS PC

Vista la inseguridad de todos los usuarios existente actualmente, ante los rootkits-backdoors como  la variante descubierta ayer y comentada en

https://blog.satinfo.es/2014/nueva-variante-del-rootkit-backdoor-phdet-s-de-dificil-deteccion/

que abre puertas traseras a diferentes ports dando acceso a los mismos a varios sites, entre ellos:

“cram-1000-zip-mtc-b.evip.aol.com:http”
“ec2-54-209-17-247.compute-1.amazonaws.com:https”
“generic-avoncom.avon.com:http”
“hosted-by.leaseweb.com:444”
“iad23s05-in-f14.1e100.net:http”
“mx.b.hostedemail.com:smtp”
“mx.east.cox.net:smtp”
“mx-se.avito.ru:http”
“nearyoude.com:http”
“prodwebmail-cs-zip-dtc-b.evip.aol.com:http”
“relay.verizon.net:smtp”
“snsprod-cs-shared-frr.evip.aol.com:http”
“srv97-131.vkontakte.ru:https”
“srv120-131.vkontakte.ru:https”
“srv242-131.vkontakte.ru:https”
“sv64.xserver.jp:http”
“74.125.209.52:554”
“74.125.209.85:554”
“74.125.209.87:554”
“74.125.209.213:554”
“99.192.247.237:http”
“157.56.19.158:https”
“167.68.12.35:http”
“173.194.116.98:http”
“173.194.116.96:http”
“173.194.116.101:http”
“183.81.160.70:http”
“199.16.156.102:https”
“208-64-202-69.valve.net:https”
“213.180.204.32:https”
etc…

lo cual puede verse fácilmente con un “NETSTAT -a” , y que, como este que descubrimos ayer, pueden existir otros similares no conocidos, no detectables mientras estan activos, que al utilizar drivers, no servicios, se lanzan al arrancar Windows, aunque se arranque en MODO SEGURO, hemos creído oportuno lanzar este aviso a “navegantes” para que en la duda, sospecha o simplemente interés en seguridad privada o de la empresa propietaria del PC y de los datos existentes en el mismo, sepan a qué atenerse.

Ante todo recomendamos la instalación de un cortafuegos de hardware con control IPS (capa 7) tipo to abierto (pues los navegadores usan el 80 normalmente, al cual no se debe impedir su acceso si es usado por ellos), lo cual pocos  cortafuegos disponen de dicho control y con respeto de los de software, no recomendable por el hecho de poderlos desactivar los malwares “soplando”, y con dicho cortafuegos bien configurado, evitar el acceso remoto por malwares como el indicado, que puedan acceder a información privada, además de poder introducir otros malwares en el equipo.

Para una revisión de los equipos que quieran ser comprobados, lo cual es recomendable, aconsejamos que se arranque desde un LIVE-CD para que no esté activo el malware, ofrecemos el LIVE-CD de SATINFO/MCAFEE, disponible en el apartado de “Descargas de Utilidades Satinfo” de nuestra web, www.satinfo.es, con el que poder arrancar y tras comprobar que el disco duro esté montado (accediendo al “Gestror de archivos”, parte inferior izuierda de la ventada), se pulse en ACTUALIZAR DATS y tras ello pulsar el ANALIZAR CON VIRUSSCAN, para lanzar el antivirus de McAfee para Linux, sistema con el que arranca dicho LIVE-CD, en cuyo modo se podrán detectar y eliminar estos virus/rootkit que de otra forma no serían detectados, como este backdoor y otros que controle el VirusScan y ni sospechemos que los tenemos.

No queremos causar pánico al respecto, pero visto como actúan y lo que pueden hacer, es muy importante poder prevenir a tiempo, aunque hoy sabemos que solo con la protección adecuada y la dedicación correspondiente, como hemos indicado, podemos reducir el riesgo, aunque estando conectados a la gran RED (Internet) y con los sistemas operativos actuales, todo es posible …

Quedamos a su disposición para aclarar las dudas que tuvieran al respecto.

saludos

ms, 5-3-2014