¿Cuál es el objetivo de esta alerta? 

Esta alerta es para notificar la existencia de una acción que la Unidad de Crímenes digitales de Microsoft ha adoptado, en cooperación con los organismos de aplicación de la ley y los socios de la industria, a fin de interrumpir la familia de malware Sirefef/ ZeroAccess como parte del Programa Microsoft respuesta activa para la Seguridad (MARS).

Estamos proporcionando esta información a los clientes de la empresa Microsoft para que usted puedan implementar un seguimiento adecuado y mitigaciones para detectar las máquinas infectadas dentro de su empresa y trabajar para proteger a esas máquinas.   

Resumen 

Microsoft, en colaboración con Europol Centro Europeo del cibercrimen (EC3), la Oficina Federal de Investigaciones, y los dirigentes de la industria de la tecnología, han trabajado en conjunto en una operación coordinada y simultánea de  para evitar la familia de malware  Sirefef/ZeroAccess que específicamente afecta los resultados de la búsqueda en Google, Bing y Yahoo!

Microsoft estima que estas botnets han dañado más de dos millones de personas, con algunos de los mayores números de infecciones que aparecen en los EE.UU., India, Italia, Turquía, Reino Unido y España. Sirefef/ZeroAccess es responsable de más de 2,7 millones de dólares (USD) cada año en pérdidas de los particulares y empresas de todo el mundo.  

Microsoft y sus socios no esperan a detener plenamente el  Sirefef/ZeroAccess debido a su tamaño y complejidad. Sin embargo, esperamos que esta acción trastorne Sirefef/ZeroAccess, ayudando a limpiar rápidamente los equipos víctima de la amenaza y lo que es más arriesgado y más costoso para los cibercriminales para continuar haciendo negocios.  

Debido a que esta operación es una interrupción en lugar de una completa revisión de los botnets - y porque a menudo un equipo infectado con una forma de malware es probable que tengan otras formas de malware presente - es importante para equipos infectados que se limpien tan pronto como sea posible para ayudar a prevenir problemas futuros.

 

Las medidas adoptadas para evitar el Malware Sirefef/ZeroAccess

El malware Sirefef/ZeroAccess utiliza numerosos servidores de control y comando de búsqueda de haga clic en el fraude y apropiación. Como parte de esta acción, Microsoft, junto con nuestros socios en la aplicación de la ley y la industria han adoptado medidas extraordinarias para alterar estos mecanismos de control. Estas acciones han alterado las botnets utilizadas para cometer un amplio conjunto de delitos, entre ellos secuestro de búsqueda, el fraude de haga clic, y bloquear el acceso a sitios web legítimos. 

Nota : si el dueño del equipo se siente preocupado que pueden ser víctima de Sirefef/ZeroAccess o de otro malware relacionadas con bots, Microsoft se les recomienda a visitar http://support.microsoft.com/botnets para obtener información de asistencia técnica.

 

Medidas proactivas que los clientes pueden considerar 

Los clientes que desean identificar y solucionar las amenazas de software malintencionado en su ambiente deben vigilar el tráfico en las bordas de la empresa para las máquinas tratando de comunicarse con direcciones IP de esta lista aquí:

 

Dirección IP

Proveedor de Servicios de Internet

País

188.40.114.195

Hetzner Online AG

DE

188.40.114.228

Hetzner Online AG

DE

83.133.120.186

Greatnet Nuevos Medios

DE

83.133.120.187

Greatnet Nuevos Medios

DE

83.133.124.191

Greatnet Nuevos Medios

DE

195.3.145.108

RN Datos SIA

LV

178.239.55.170

Netrouting

NL

217.23.3.225

WorldStream

NL

217.23.3.242

WorldStream

NL

217.23.9.247

WorldStream

NL

46.249.59.47

Drongen Serverius Holding B. v.

NL

46.249.59.48

Drongen Serverius Holding B. v.

NL

46.19.137.19

Capa Privado INC

CH

81.17.18.18

Capa Privado INC

CH

81.17.26.189

Capa Privado INC

CH

94.242.195.162

Raíz SA

LU

94.242.195.163

Raíz SA

LU

94.242.195.164

Raíz SA

LU

Sirefef/ZeroAccess también se comunica a través del protocolo UDP en los puertos 16464, 16465, 16470 y 16471. Las máquinas que exhiben comportamientos sospechosos deben ser inmediatamente retiradas de la red y ser examinada para detectar la presencia de malware.  

 

Microsoft Malware Herramientas de detección y eliminación 

Administradores pueden descargar una copia del Microsoft Safety Scanner con una máquina de limpieza, y utilizar el Microsoft Safety Scanner para escanear las máquinas de la empresa sospechosas de estar infectadas para eliminar la infección. Microsoft Safety Scanner está disponible aquí: http://www.microsoft.com/security/scanner/en-us/default.aspx

Por otra parte, Windows Defender sin conexión se puede utilizar para eliminar la infección. Windows Defender sin conexión está disponible en: . http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline 

 

Recursos adicionales y pasos a seguir

 Aquí están los recursos, por lo que pueden utilizar los clientes para mantenerse al día sobre el estado de esta operación:

 

 

Además de los Public Relations (PR) ha llevado fuera de la Unidad de Crímenes digitales de Microsoft de Europol Cibercrimen Centro Europea (EC3), y de la Oficina Federal de Investigación, hay una serie de canales de comunicación que se utilizan para reunir apoyo adicional de asociados de los sectores público y privado. Estos incluyen encargados de hacer cumplir la ley, llegar directamente a los Proveedores de Servicios de Internet y Equipos de Respuesta a Emergencias que son parte de los programas de seguridad de informática confiable. La DCU aprovecha el personal de los centros y recursos de Delitos Informáticos como el Programa Asesor Jefe de Seguridad de Microsoft en el sector público.  

 

Coherencia en cuanto a la información 

Nos esforzamos por ofrecerle información precisa en estático (el correo) y dinámicas (basado en web) contenido. Seguridad de Microsoft contenido publicado en la web es a veces actualizado para reflejar información de última hora. Si esto se traduce en una incoherencia entre la información que se presenta en este documento y la información de Microsoft de seguridad basados en la web, la información de Microsoft de seguridad basados en la web contenido está autorizado.

 

Muchas gracias,

Microsoft Equipo de seguridad de CSS