Mariposa Technicolor? Nah!

Buenas y santas para todos ustedes.

Una vez más escribo sobre informática en éste blog demostrando que mi vida, pese a que me está dando muy gratos momentos, no tiene mucha onda que digamos desde el punto de vista periodístico.

La sorpresa ésta vez me la encontré en el trabajo cuando me encontré el siguiente correo de mi ISP:


--------------------------------------------
Estimado Cliente,

Me pongo en contacto con usted a fin informarle que hemos recibido información de que su IP pública ***.***.***.*** posiblemente se encuentre infectada por el botnet "mariposa/butterfly".

Un estudio de su comportamiento (de una de las versiones capturadas) indica que se realiza un alto volumen de consultas DNS por dominios que contienen "Butterfly" o "bf", y conexiones masivas UDP hacia las siguientes direcciones IP:

96.9.170.133
62.128.52.191
87.106.179.75
82.165.205.104
212.48.121.23
66.96.201.74

Asimismo algunos de los puertos destinos UDP utilizados para la comunicación con el son: 5907 1111 2222 3333 4444 5555 1234 7007 7008

Puede obtener mas información del mismos tras acceder al vinculo http://defintel.blogspot.com/2009/09/half-of-fortune-100-companies.html

Le solicitamos que por favor se verifique la red interna, y que nos confirme la regularización de la misma para proceder a cerrar la gestión citada en el asunto del correo.

Ante cualquier inquietud no dude en contactarnos por esta misma vía o a nuestro centro de atención al cliente.

Lo saluda cordialmente,

PEPITA SOPORTE
CENTRO DE ATENCIÓN TÉCNICA

----------------------------------------------


Lo primero que hice al encontrarme con ésta joyita fue llamar a dicho centro preguntando por Pepita Soporte (cuya verdadera identidad, podrán deducir, oculté estratégicamente) quien me informaron trabaja en el comodísimo horario de 18 a 24. Viendo que no podía hablar con la autora del mail lo puse al tanto a mi interlocutor sobre la situación y le pregunté si me podía dar algo de información sobre el malware en cuestión.

Mi decepción fue grande al descubrir que ni el flaquito que me atendió ni ninguno de sus compañeros tenía idea de qué cuernos le estaba hablando. Y más grande aún fue mi sorpresa cuando al preguntar por una solución me dijeron "y mirá, no se cómo lo vas a sacar pero hacelo rápido o te vamos a cortar el servicio por no cumplir los términos". Fenómeno.

Mi segunda reacción fue ir a ver el link que mi proveedor me facilitó para informarme. Resumiendo, lo que dice esa entrada de blog es que Mariposa/Butterfly es una red de computadoras infectadas por varias clases de malware, cuyo propósito es desconocido. Se supone que roba claves bancarias y contraseñas alojadas en los browsers aparte de, posiblemente, realizar ataques DDoS... y pone especial énfasis en el dato de que 50 de las 100 empresas más grandes del mundo están infectadas y son parte de la red maliciosa. Además de postear algunos datos de la actividad de la botnet, aclararon que es una amenaza nueva y áún se desconoce cómo detectar y neutralizar los binarios. Busqué en los sitios de los desarrolladores de aplicaciones antivirus y antimalware más reconocidos, así como en los foros de seguridad clásicos, y no encontré nada de nada.

Al final del link que me pasó mi ISP encontré un e-mail para consultas de los autores de dicho blog, a la cual opté por enviar lo que transcribo a continuación:


----------------------------------------
Hello, I’ve received an e-mail from my ISP telling about the detection of Mariposa/Butterfly on my network. They also told me that in case I can’t disinfect my computers they’ll cut out the service until I have it solved.

The e-mail linked to the blog http://defintel.blogspot.com/ for information, and that’s how I reached your address.

I’ve been doing some research on the topic and I couldn’t find anything about the botnet on the main security product vendors (call it Symantec, McAfee, and so on), nor my own contacts did know anything about it.

Is there anything you can do to help me eradicate this infection? The clock is ticking and I cannot allow the ISP to stop giving me service.

Thanks in advance for your help.

-----------------------------------------


Era una botella al mar, pero no me costaba nada probar. Para mi sorpresa, a los escasos minutos me contestó el mismísimo CEO de Defence Intelligence, Christopher Davis (quien me autorizó a postear todo ésto) diciendo lo siguiente:


-----------------------------------------
Hello

Does ***.***.***.***
(((mi IP externa))) belong to your network?

If so then you do indeed have more than one computer inside your
network that are part of the mariposa botnet.

Check your firewall logs for out going connection attempts to the
following IP -200.74.244.84

Any computer inside your network that is attempting to connect to that
IP is compromised. You will need to wipe it clean and reinstall its
operating system.

Please let me know if we can be of any further assistance.

----------------------------------------


A lo que respondí lo siguiente:


----------------------------------------
Mr.Davis:

That IP is indeed my external IP address.

I checked my firewall with Ntop (don't have access to the logs right now) and couldn't find a single reference to the IP 200.74.244.84 or the hostname butterfly.sinip.es . Any other clue I should search for in order to find the guilty computer on my network?

By the way, what's wrong with 200.74.244.84? it looks like a normal Win2K3 server to me. Are the bots coming from there?

One last question. Is there any removal tool for this malware? I couldn't find anything by the name Mariposa or Butterfly, maybe the software vendors identify it with other names...

I really appreciate your help.

----------------------------------------


A ese correo me respondió Matt Sully, Threat Research and Analysis Director de DefIntel:


----------------------------------------
Hey guys,

Chris asked me to get some more info to you. We are investigating this
bot actively and have seen it receive several updates. This
unfortunately has resulted in a fluctuation of the IPs the malware is
contacting as well as the ports it is using. The initial contact still
seems to be one of the butterfly domains using UDP on port 5906, 5907
or 5908, but then new contacts go out to fluxing IPs.
At this point I would look for multiple outgoing UDP connections from
any given machine. The IPs may change but you should still be able to
track down the culprit if it keeps sending UDP.
If you're looking for a remediation or AV solution, some of the
variants are being called Palevo or an autorun worm (that one is
pretty generic but that's unfortunately what they're using).
We are working on a more comprehensive analysis and will release this
to the public in a day or two. Please check back to our site at
defintel.com.

----------------------------------------


Bueno, recapitulemos un poco que ya los debo haber mareado con tanto cruce de mails... Un buen resumen sería que mi ISP me está amenazando con un corte de servicio si no desinfecto mi red. Peeero resulta que mi red está infectada con "algo" que ni la misma gente que lo descubrió sabe bien qué es ni cómo se mata, y plantean como -posible- solución la reinstalación de todos los equipos infectados (que nadie me garantizaba que no se volvieran a infectar). Vale aclarar que mi empresa es del tipo de empresas a las que si les cortas Internet, no funcionan, no facturan, no existen, no nada.

Mientras pensaba qué hacer, DefIntel publicó éste artículo en su blog, remarcando aún más que no hay una forma clara de deshacerse de la infección. Con toda ésta evidencia les escribí a mis amigos del ISP tratando de hacerles entender que si me cortaban el servicio los iba a meter a todos presos:


----------------------------------------
Estimados:

Hemos recibido el comunicado de la gestión y leído el informe de http://defintel.blogspot.com. Luego de leer la (casi nula) documentación hallada en la web sobre Mariposa/Butterfly y no encontrar información disponible en ninguno de los grandes proveedores de software de seguridad ni en los más reconocidos foros antimalware optamos por ponernos en contacto con los autores del informe, es decir, la firma canadiense Defense Intelligence.

Muy amablemente el CEO de DefIntel nos informó de la situación y nos dio la mala noticia de que prácticamente no existe data de la amenaza en cuestión ya que fue descubierta muy recientemente y, como es obvio, aún no tiene forma de remoción ni parche. Nos puso al corriente, además, de que en los próximos días publicarán un boletín de seguridad con información actualizadas al respecto.

Entendemos que carecería de fundamentos lógicos un corte de servicio por parte de USTEDES tratándose de una amenaza para la cual no existe, al momento de redactar éste correo, forma alguna de removerla.

A la espera del comunicado de seguridad por parte de Defense Intelligence (o cualquier firma que ponga a disposición una herramienta de eliminación fiable), desde MI EMPRESA nos comprometemos a revisar nuestros equipos en busca de alguna solución y a endurecer las políticas de nuestro firewall a riesgo incluso de perder funcionalidades.

Copio a continuación los mensajes relacionados a ésta cuestión, desde el originario de Pepita Soporte hasta la última respuesta de DefIntel.
(((Tranquilos, no los voy a copiar acá)))

Esperamos puedan comprender nuestra situación.
-----------------------------------------


La respuesta de mi ISP a todo ésto fue tan cortita que ni vale la pena que la copie, pero me dijeron que verifique y regularice la situación lo antes posible, dándome a entender no solo que la amenaza sigue en pie sino que todo lo que les dije les importó una mierda... hablando mal y pronto (como dicen las viejas).

Más o menos para el último viernes DefIntel publicó éste otro artículo que clarificó un poco más las cosas. Para ésta altura (además de coordinar con mi jefe para que cerrara las conexiones salientes UDP y mandar un mail a todo el personal pidiendo que no hagan home banking, que si no queda otra usen el teclado en pantalla y que apaguen las PCs cuando se retiran) me puse a buscar una manera de erradicar el malware y luego de rastrear un buen rato y probar con varios productos recién ayer (Lunes 05/10) encontré alguna noticia interesante...

Symantec publicó un artículo donde agrupan, si no entendí mal, todas las variantes actuales bajo el nombre de W32.Pilleuz y la agregar a las definiciones de todos sus productos. No lo pude probar todavía porque no tengo instalado ninguno de sus productos (ni lo voy a hacer sin sus licencias) y porque todavía no pude identificar del todo los equipos infectados, pero me gustaría que alguien con productos de la familia Norton o Endpoint pudiera determinar si son efectivas, por lo menos con las variantes actuales.

Por el momento mi proveedor no apareció más y los retoques en el firewall por parte de mi jefe parecen haber frenado la difusión del malware. Sigo con la empresa medio en "estado de sitio" y a la espera de una manera coherente de limpiar los equipos.

Seguiré posteando actualizaciones conforme avance en algún punto o encuentre más data. Por lo pronto los muchachos de Defence Intelligence me avisaron que hoy o mañana estarían liberando más información, así que hay que estar atentos.

Si mi amado ISP me corta el servicio lo voy a publicar también, obvio.

Saludos para todos, si alguien tiene data comente!