Hace dos
semanas, el grupo de hackers Shadow Brokers hizo públicas una serie de
herramientas utilizadas por la NSA para controlar los ordenadores de cualquier
usuario aprovechándose de una serie de vulnerabilidades desconocidas hasta
entonces en los sistemas Windows, siendo una de las más peligrosas el malware
DoublePulsar utilizado para conectarse de forma remota a cualquier PC.
DoublePulsar es una puerta trasera que se
aprovechaba de una vulnerabilidad en el protocolo SMB de Windows y que
podía permitir a la NSA conectarse de forma remota a cualquier ordenador para
recopilar información sobre él. Tan pronto como la vulnerabilidad se dio a
conocer, Microsoft lanzó un parche de seguridad para sus sistemas operativos
(desde Windows Vista hasta Windows 10) con el que evitar que esta
vulnerabilidad pudiera ser utilizada de nuevo. Sin embargo, el parche no
eliminaba la puerta trasera DoublePulsar, la cual sigue estando presente
en miles de ordenadores por todo el mundo.
Hace un
par de días se ha publicado en GitHub un script, llamado doublepulsar-detection-script,
pensado, como su nombre indica, para detectar esta backdoor de la NSA y
eliminarla de los ordenadores evitando que la organización gubernamental pueda
seguir haciendo de las suyas.
Elimina el malware DoublePulsar de la NSA
con doublepulsar-detection-script
La
herramienta doublepulsar-detection-script es un script escrito en python
que nos va a ayudar a detectar y eliminar este malware de nuestro ordenador
fácilmente. El script es de código abierto y podemos encontrar todo lo
necesario para su funcionamiento desde el siguiente enlace.
Esta
herramienta debemos ejecutarla desde otro ordenador de la misma red, ya que, al
ser una puerta trasera, es la mejor forma de detectarla y, además, eliminarla.
Para ello, lo ideal es descargar un sistema operativo alternativo, como Kali
Linux, y, en él, todo lo necesario para hacer funcionar desde dicho
repositorio de GitHub.
Una vez
tenemos nuestro sistema Kali (o cualquier otro, el único requisito es tener
instalado Python) listo con el repositorio ya podemos ejecutar esta
herramienta. Para ello, desde un terminal, ejecutaremos (cambiando la IP por la
nuestra):
- python detect_doublepulsar_smb.py –ip 192.168.1.1
Si la
herramienta no detecta amenaza en nuestro sistema no tenemos de qué
preocuparnos, sin embargo, en caso de que la puerta trasera de la NSA esté en
nuestro ordenador, el programa nos devolverá un mensaje como:
DOUBLEPULSAR
SMB IMPLANT DETECTED!!!
En ese
caso, el siguiente paso será identificar la amenaza y, para ello, vamos a
teclear en el terminal:
- python detect_doublepulsar_rdp.py –file ips.list –verbose –threads 1
Tras unos
segundos, una vez identificada la amenaza, el último paso será proceder con la
eliminación de DoublePulsar utilizando el comando:
- python2 detect_doublepulsar_smb.py –ip 192.168.1.1 –uninstall
Una vez
eliminada la puerta trasera nuestro sistema ya no estará bajo el control de la
NSA, aunque no debemos olvidarnos de instalar los últimos parches de seguridad
de Windows para solucionar esta vulnerabilidad y evitar que, a través de ella,
nos vuelvan a infectar con DoublePulsar.
__________________________________________
Se Respetan Derechos de Autor.