Hola,

Pues al final de la manera más tonta: Revisando logs del cortafuegos. Filtrando por servicio (ftp), origen (red corporativa) y destino (listado de ftp's a los que se conecta el virus). He ido haciendo marcha atrás en los logs hasta que ya no había rastro de estas conexiones, por lo que la primera que aparece en el tiempo es el "caso cero".


Sí, se la pasé al personal de IT y ahí quedó la cosa. Yo seguí a lo mío... No pensé que me llegara a ser muy útil la información que me pudiera dar esta máquina y, además, soy más de redes que de sistemas por lo que aunque pudiera proporcionarme información, no soy el más hábil en ese campo. Lo que sí hice fue lanzarle yo un portscan y reconocer los servicios que corría, por si tenía algún RAT o similar. IT me confirmó que los servicios descubiertos eran normales. No ahondé mucho más ya que, además, no aparecía ningún servicio como filtrado (señal de filtro por IP origen por ejemplo).


A bote pronto no he encontrado nada ahí.


No creo que pueda/deba, pero sí -sin duda- echar una mano en lo que necesitéis ya que por fin he conseguido todo lo que quería: Caso cero, métodos de propagación, vector de infección. Una máquina (caso cero) se conectó una mañana a la fatídica IP 91.213.8.192, siendo infectado tras explotarse la vulnerabilidad de Adobe Reader y a los 30 segundos ya estaba intentando subir datos a uno de los FTP de la lista. La conexión a la IP estaba permitida pero para encontrarla he tenido que cambiar el filtro origen por la IP del proxy, ya que navegan por proxy. Ahora esa IP ya está denegada en el propio proxy.

La verdad es que me ha ayudado mucho la información de NovLucker (¡gracias fiera!) ya que me ha ahorrado tiempo de búsqueda entre gigaBytes de logs

Si puedes, haz lo siguiente: Mediante GPO (no sé si se puede) filtra el tráfico entrante a los puertos 137, 139 y 445 de las estaciones de trabajo. Así contienes la amenaza. Luego limpia con el McAfee (a mi cliente tuvieron que suministrarle un ExtraDAT al principio, mira de contactar con McAfee si tu VirusScan no limpia) y finalmente recórrete los logs del cortafuegos en busca de conexiones http a las webs que explotan la vulnerabilidad y conexiones FTP a los servidores donde se sube la información.

Si tienes cualquier pregunta y crees que te puedo ser de ayuda ya sabes, dispara

Voy a escribir el informe.
Saludos

Buenas Mobiplayer!


Ya lo suponía... Pero por probarlo   De todas formas, ya me estás diciendo suficiente. Gracias!


A mí porque me gustan las mujeres, sino ya le había 'tirao los trastos'.... O_o'


Todo eso es lo que me gustaría hacer...  Pero es trabajo de otros... Y... Lo dejaremos ahí.


Eso, si puedes... También será interesante saberlo.

Saludos!!!

Voy a revisar lo que dices... Casi nunca posteas cosas interesantes, pero puede que ésta sea la excepción... 


Te paso por MP el teléfono de mi jefa... 

Saludos!!!

Buenas Mobiplayer


Es lo que comentó Novlucker anteriomente:

Pero se agradece que lo hayas corroborado!!

Por mi parte, aun y estando realmente mosqueado, existen cuestiones que no puedo comentar, pero... Todo empieza a volver a la normalidad. Aunque, por falta de medios, de conocimientos, de curiosidad. De no poder mirar o tener las herramientas necesarias en el 'soporte que le tocaba', el gusano ha hecho muuucho daño.

Saludos!!

Se agradece de todas formas!! 


Como se suele decir en cierta tierra cuyo nombre no viene al caso: "Es más listo que los ratones coloraos!!"

Saludos!!

No problem , y la info es del 03/03/2011, seguro esta molestando en más de una empresa

Saludos