Skip to content

Alerta: Gusano «Big Yellow» orientado a atacar productos Symantec

Publicado por Sergio Hernando el 16 diciembre 2006

Segn informa el equipo de E-Eye a travs de sus alertas por correo, se ha detectado una importante actividad por parte de una pieza de malware, cuyo objetivo principal sera atacar algunos productos Symantec.

symantec

Los productos afectados son:

Symantec AntiVirus 10.0.x para Windows
Symantec AntiVirus 10.1.x para Windows
Symantec Client Security 3.0.x para Windows
Symantec Client Security 3.1.x para Windows

No deja de ser curioso que el equipo de E-Eye descubriera esta vulnerabilidad remota en mayo, y que fuera corregida por el fabricante apenas un mes despus. An as, E-Eye considera que el parque de usuarios potencialmente vulnerable puede ser elevado, y recomiendan tomar medidas al respecto.

Si usas alguno de los dos productos afectados, puedes cortar el trfico va puerto tcp/2967 como medida preventiva, ya que es en ese puerto donde se localiza habitualmente el interfaz de gestin de los productos citados, a la vez que te aseguras disponer de las ltimas versiones de Client Security y el Antivirus de Symantec.

ssc-agent 2967/tcp SSC-AGENT
ssc-agent 2967/udp SSC-AGENT

El problema de seguridad que explota este gusano podra provocar la ejecucin remota de cdigo arbitrario con privilegios SYSTEM en los sistemas afectados, con lo que podra clasificarse de muy grave.

Si tienes curiosidad en ver cmo se porta Symantec como producto antivirus, puedes ojear esta comparativa. Estos estudios los realiza AV-Comparatives.org, y con las debidas limitaciones que toda comparativa tiene, puede servirnos de referencia. Tambin hay abuntantes estudios en AV-Test.org, y en un sinfn de publicaciones online.

Todos estos estudios deben tenerse en cuenta de una manera muy cautelosa, ya que las comparaciones rara vez son fieles a la realidad. Otra manera ms eficiente de evaluar un producto es la que podemos hacer nosotros mismos. Si localizis y/o sois invitados a algn grupo o foro de investigacin, y logris haceros algn contacto generoso que os pase una batera de muestras de vez en cuando (el malware es como los cromos, muchos investigadors independientes agradecern que les enves muestras que no ellos no posean), podris someter las muestras al producto que tengis instalado. Tampoco es mala opcin recolectar uno mismo esas muestras, empleando un honeypot casero, navegando por sitios Web proclives a la presencia de malware o exponiendo una cuenta de correo lo mximo posible, con el propsito de recibir mensajes que nos inviten a realizar descargas, que habitualmente conducirn a muestras. Otra fuente jugosa de muestras no muy machacadas son las redes P2P, donde habitualmente vienen en forma de cracks, generadores de nmeros de serie, mtodos mgicos para robar contraseas de Hotmail o presuntas imgenes de famosas desnudas, por poner algunos ejemplos.

A poco que os hagis con una batera de muestras no muy trilladas, podris evaluar vosotros mismos si vuestro producto antivirus responde bien o no a las amenazas. Nunca ser un anlisis exacto y exhaustivo, pero desde luego, es perfectamente vlido y aclarador para hacerse una idea de la parte que no suele aparecer en las comparativas, y esa no es otra que cmo responden los productos frente a las amenazas que puedes recibir y para las cuales, habida cuenta de su novedad o su especializacin, no existe una firma de deteccin disponible en tu antivirus.

Un saludo ;)

Be Sociable, Share!

Categoría/s → Alertas

Sin comentarios

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS