Torpig o también conocido como Sinowal o Anserin es un tipo de botnet (variedad de troyano que pueden afectar a los equipos que utilizan Microsoft Windows). Torpig evita aplicaciones anti-virus a través del uso de rootkits y busca en el sistema infectado para robar credenciales, las cuentas y contraseñas de home banking, así como potencialmente permite a un atacante el acceso total al equipo. También es supuestamente capaz de modificar los datos en la computadora, e infectar el sector MBR.
Entendiendo como bloquearlo mediante Mikrotik
Lo que haremos a continuación es loggear (crear una lista dinámica automática) con la IP de origen (del cliente infectado) de todo trafico TCP en cualquier puerto con destino 91.19.0.0/16 y 91.20.0.0/16.
/ip firewall filter add action=add-src-to-address-list address-list=MebRootVictim address-list-timeout=1d chain=forward comment=\ "Detectamos clientes comprometidos con Torpig" disabled=no dst-address-list=MebRoot
NOTA: Se da por hecho que cualquier trafico saliente que apunte a estas 2 redes «91.19.0.0/16 y 91.20.0.0/16″, proviene de un cliente comprometido.
Luego eliminamos todo el trafico con destino a estas redes en el input, forward y output.
add action=drop chain=forward disabled=no dst-address-list=MebRoot add action=drop chain=input disabled=no dst-address-list=MebRoot add action=drop chain=output disabled=no dst-address-list=MebRoot
También eliminamos todo el trafico del cliente infectado «distinto al puerto 80 TCP» y «distinto al puerto 53 UDP». Esto deja sin navegación al cliente y solo le permite DNS y HTTP. Entonces queda el cliente filtrado (sin servicio) y lo único que puede ver es la pagina que dice que su equipo esta comprometido y necesita llamar a un técnico.
add action=drop chain=forward disabled=no dst-port=110,25,995,465,1863,20,21,22,23 protocol=tcp src-address-list=MebRootVictim add action=drop chain=forward disabled=no dst-port=!53 protocol=udp src-address-list=MebRootVictim
En resumen nos quedaria asi:
/ip firewall filter add action=add-src-to-address-list address-list=MebRootVictim address-list-timeout=1d chain=forward comment=\ "Drop Mebroot y Torpig y logueo el cliente de origen." disabled=no dst-address-list=MebRoot add action=drop chain=forward disabled=no dst-address-list=MebRoot add action=drop chain=input disabled=no dst-address-list=MebRoot add action=drop chain=output disabled=no dst-address-list=MebRoot add action=drop chain=forward disabled=no dst-port=!80 protocol=tcp src-address-list=MebRootVictim add action=drop chain=forward disabled=no dst-port=!53 protocol=udp src-address-list=MebRootVictim
Agregamos las redes de destino a las que apunta el virus:
/ip firewall address-list add address=91.19.0.0/16 comment=BOTNET disabled=no list=MebRoot add address=91.20.0.0/16 comment=BOTNET disabled=no list=MebRoot
En la parte de NAT hacemos el direccionamiento a la pagina de error. (en caso de tenerla). Es una buena manera de que el cliente bloqueado se de cuenta que tiene un virus.
add action=dst-nat chain=dstnat comment="REDIRECT VIRUS TORPIG" disabled=no dst-port=80 protocol=tcp \ src-address-list=MebRootVictim to-addresses=###IP_TU_APACHE### to-ports=#83#
Reemplazamos ###IP_TU_APACHE### por la IP correspondiente a tu linux. Por ejemplo, pueden probar con la de google: 173.194.42.50 y puerto en este caso reemplazamos #83# por 80. En mi caso tengo en el puerto 81 el cartel del virus confiker y en el 83 el mensaje del virus Torpig.
Eso es todo. Espero que les sirva de ayuda como a mi.
Esta es mi versión modificada de la que aparece en el Wiki oficial de Mikrotik
________________________
Nicolas tech-nico.com
Grande Nico, lo probe y realmente funciona muy bien.
Gracias por la ayuda de implementar la pagina de aviso en el apache.
Saludos !
ah! y te copie el mensaje tambien, esta muy claro !
xD
Estimado no me funciona, la IP de origen (del cliente infectado) no se genera en la lista de direcciones MebRootVictim, agradecere cualquier comentario.
A mi me anduvo perfecto en esos años!. Tene en cuenta que el ejemplo es del 2012.. (pasaron 5 años). Tendrás que debuggear para ver por donde viene el problema.
Hola, funciona perfecto, salvo que el cliente, tiene como pagina de inicio google ( con https) no lo redirecciona.