Los complejos componentes del malware utilizados han sido diseñados para secuestrar servidores, infectar aquellos ordenadores que los visiten, un envío diario de 35 millones de correos de spam desde ellos y robo de información.

“Windigo se ha ido haciendo fuerte, pasando desapercibida por la comunidad de investigadores en seguridad durante más de dos años y medio, y actualmente dispone de 10.000 servidores bajo su control,” aseguran los investigadores de ESET.

“Alrededor de 35 millones de mensajes de spam se envían cada día a cuentas de usuarios inocentes, saturando las bandejas de entrada y poniendo los sistemas en riesgo. Peor aún, cada día alrededor de medio millón de ordenadores se arriesgan a ser infectadas cuando visitan sitios webs que han sido infectados con un malware para servidores colocado por la Operación Windigo y que redirecciona a los usuarios hacia kits de exploits maliciosos y anuncios”, explican en un detallado análisis técnico, presentando todo lo que han averiguado en sus investigaciones y analizando el malware.

El documento (en .pdf descargable también proporciona una guía para averiguar si el sistema que utilizamos ha sido infectado e instrucciones para eliminar el código malicioso. En concreto recomiendan a los administradores de sistemas Unix y webmasters que ejecuten el siguiente comando, que les permitirá averiguar si su servidor se encuentra comprometido o no:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

Si los administradores de sistemas descubren que sus sistemas están infectados, se les aconseja formatear los ordenadores afectados y reinstalar de nuevo tanto el sistema operativo como el software utilizado. Resulta esencial que se utilicen contraseñas nuevas y claves privadas, ya que las credenciales utilizadas hasta ese momento pueden considerarse comprometidas por la Operación Windingo.

Fuente: muyseguridad