Nuevo componente de Win32-Sality cambia el DNS primario del router.

Nuevo componente de Win32-Sality cambia el DNS primario del router.

Noticias de WeliveSecurity de Eset Nod32. "... Win32/Sality es una familia de malware que ha estado utilizando una red de pares botnet al menos desde el año 2003. Es un código malicioso que infecta archivos y descarga troyanos; el propósito principal de esta última acción es el envío de spam, aunque se ha usado con distintos objetivos, como falsificar el tráfico de red de anuncios publicitarios, llevar a cabo ataques de denegación de servicio distribuido o descifrar las credenciales de cuentas de VoIP.

Todos los comandos y archivos intercambiados a través de la red P2P de Sality tienen firmas digitales, lo que lo hace resistente a la manipulación de protocolos. Su arquitectura modular, así como la longevidad de la botnet, demuestran una programación libre de fallas y un diseño de software eficiente.

Hemos estado rastreando la red Win32/Sality por bastante tiempo y encontramos más de 115.000 direcciones IP accesibles desde Internet mediante el uso de los llamados “super peers”, que mantienen la botnet con vida y propagan los comandos a los pares normales.

Notamos que se descargaban los mismos componentes año tras otro con pocos cambios en su conducta subyacente. Recientemente, apareció un nuevo componente con características novedosas: cuenta con la capacidad de cambiar la dirección DNS primaria del router para puertas de enlace residenciales de banda ancha, lo que difiere del típico ladrón de contraseñas FTP o del spambot desplegado por Win32/Sality.  [Leer Artículo completo]

Créditos imagen: ©nrkbeta/Flickr
Autor: Editor, ESET

Los comentarios están cerrados.