• Tweet

El reciente descubrimiento del gusano Morto, que se ha extendido a través de la red, tiene más de una característica nunca antes vista. No sólo se propaga usando el Protocolo de Escritorio Remoto (RDP), también utiliza una novedosa forma de contactar a su C&C en busca de instrucciones: vía registros de sistema de nombres de dominio (DNS) TXT.

“Mientras se examinaba W32.Morto, notamos que intentaba solicitar un registro DNS para un número de URLs que fueron codificadas en el binario”, escribe Cathal Mullaney, ingeniero de respuesta de seguridad de Symantec.

“Esto no es inusual o único, pero cuando se examinaron las URLs, notamos que éstas no estaban asociadas a registros DNS A regresados por nuestra propia petición DNS. En otras investigaciones, determinamos que el malware actualmente hace peticiones a un solo registro DNS TXT, no para un búsqueda de dominio a IP, y los valores retornados fueron muy inesperados”.

Con todo, la información proporcionada fue una firma binaria y una dirección IP desde la cual el gusano puede descargar más malware. La misma información que muchas amenazas reciben usando más canales de comunicación establecidos.