Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

20/04/2015

Botnet Simda

Se disponen datos de que la botnet Simda ha comprometido más de 770000 equipos informáticos en el mundo. Dado el alcance de la misma, se considera la emisión de esta alerta para suministrar información relevante, así como recomendaciones sobre medidas preventivas y correctivas a tomar si el equipo permanece infectado.

Desde el año 2009, los cibercriminales han tenido como objetivo ordenadores con software obsoleto y vulnerable, con el objetivo de comprometerlos mediante el malware Simda. Este malware, tiene como principal funcionalidad la de redirigir todo el tráfico del usuario a servidores maliciosos, obteniendo toda la información de navegación o empleando esta situación para infectar el equipo afectado con malware adicional.

Los ciberdelincuentes controlan la botnet mediante la instalación de backdoors, lo que les facilita acceso a los sistemas afectados para llevar a cabo ataques adicionales o directamente para vender el control del sistema a otros ciberdelincuentes. Los backdoors empleados se modifican cada poco tiempo, obteniendo de ese modo una baja tasa de detección por parte de las herramientas antivirus.

De forma general, el impacto que puede provocar este malware es el robo de credenciales de acceso de usuario a servicios, instalación de malware adicional para otras acciones maliciosas.

Sistemas Afectados:

Malware dirigido a sistemas Windows, que se propaga mediante el acceso a páginas web maliciosas o fraudulentas. Para comprobar si el equipo está infectado se recomienda en primer lugar acceder al siguiente enlace, que comprueba si la dirección IP desde la que conectamos ha sido identificada como maliciosa para este malware. Para salir de dudas, remitimos también a este procedimiento (en inglés) que identifica la amenaza manualmente en caso de que no la detecte nuestro antivirus.

Referencias:

None

Solución:

En caso de compromiso se recomienda emprender las siguientes acciones para eliminar la infección por Simda:

• Emplear un software antivirus y mantenerlo actualizado.
• Cambiar urgentemente las contraseñas de acceso a todos los servicios (incluídos los bancarios) que se haya gestionado con el equipo afectado.
• Mantener el sistema operativo y aplicaciones actualizadas a su última versión.
• Considerar emplear herramientas de eliminación concretas para malware, se facilitan enlaces a algunas de ellas a continuación: 
  
  • Kaspersky Lab
  • Microsoft
  • Trend Micro

Notas:

Aviso original de US-CERT (inglés):

https://www.us-cert.gov/ncas/alerts/TA15-105A

Enlaces de interés (inglés):

INTERPOL Coordinates Global Operation to Take Down Simda Botnet

Microsoft partners with Interpol, industry to disrupt global malware attack affecting more than 770,000 PCs

Botnet that Enslaved 770,000 PCs Worldwide Comes Crashing Down

CSIRT-CV