# Wednesday, October 10, 2007
Malware en la red ataca servidores DNS en Europa y Rusia

Desde hace varios días, varias direcciones IP de clientes de Internet han iniciado ráfagas de consultas recursivas contra nuestros DNS locales [200.14.241.36, 200.14.241.38, 216.244.191.36, 216.244.191.38], con el fin de sumarse a un ataque DDoS a gran escala contra dos servidores DNS en Europa y Rusia [ns4.ripn.net y ns8.nic.ru].

A fin de que no terminemos bloqueando sus consultas a nuestros DNS, le solicitamos verificar la presencia de malware en su red.

Aquí señalamos dos "posibles" formas para lograr esto:

1. [Para detección pasiva] Correr Wireshark o TCPDUMP, y verificar si existen consultas como:

mi-pc-infectada.1676 > DNSTELMEX.53:  47098+ A? I2dOA6SR0G4K262Ba2338TP0RDnuHc2OMHGtS3.ultracomp.ru. (69)

mi-pc-infectada.7735 > DNSTELMEX.53:  8444+ A? 1KIEp34m7URCDuOOaR42EivLYKB.ultracomp.ru. (58)

mi-pc-infectada.1270 > DNSTELMEX.53:  14844+ A? lU0GQBV627tSDEX3mXHWG03t0Jg158gA48y00GgS.ultra-online.ru. (74)

mi-pc-infectada.5751 > DNSTELMEX.53:  36617+ A? 1EE3674eHHoD6ehG352pRxW.ultra-online.ru. (57)

mi-pc-infectada.2345 > DNSTELMEX.53:  16608+ A? E5N4My3KMABM5SV2L37Vh32d.ultracomp.ru. (55)

mi-pc-infectada.1596 > DNSTELMEX.53:  43747+ A? KyKoOX1Inx45fDGooOcE4O631O785F1O0h6rh8avGBLI.ultra-online.ru. (78)

mi-pc-infectada.1346 > DNSTELMEX.53:  62691+ A? BdT7nTr1V0I14oSfaU480dYReb3xuKVrL.ultracomp.ru. (64)

mi-pc-infectada.3449 > DNSTELMEX.53:  32523+ A? NX6eE05p828q3UiWVUL7PP6M3RtbAjDia2p2PQ.ultracomp.ru. (69)

2.  [Para deteción y eliminación] Ejecutar herramientas de remoción de malware, como:

PREVX (citada en "Cómo remover malwares de su red")

NOTA:
El malware es una forma de abreviar a los spyware, zombi, bot, gusano, virus, etc.
TELMEX no garantiza la operación o buen funcionamiento de este software.

3. [Para deteción y eliminación] Antivirus

Si usted posee un antivirus, y es lo suficientemente bueno, éste podría verlo como Sality (sin garantías de ver otras mutaciones).

Por otro lado, si ya ha sido bloqueado por nosotros, tiene estas opciones:

1. Si tiene usted su propio DNS, simplemente deje de apuntarnos como forwarders. Su DNS resolverá todas sus consultas solo (está claro que su DNS también se verá afectado).

2. Levante su propio servidor DNS, o proceda con Cómo remover malwares de su red.

Departamento Especializado en Seguridad - Internet
TELMEX PERÚ S.A.

SOPORTE
Wednesday, October 10, 2007 3:53:19 PM UTC  #    Comments [444]

© Copyright 2010 TELMEX PERU S.A.
Theme design by Bryan Bell

newtelligence dasBlog 2.3.9074.18820
Feed your aggregator (RSS 2.0)  Send mail to the author(s) | Page rendered at Friday, July 30, 2010 6:58:02 PM UTC

Pick a theme: