Este script detecta y elimina el malware DoublePulsar de la NSA

Share this…

Hace dos semanas, el grupo de hackers Shadow Brokers hizo públicas una serie de herramientas utilizadas por la NSA para controlar los ordenadores de cualquier usuario aprovechándose de una serie de vulnerabilidades desconocidas hasta entonces en los sistemas Windows, siendo una de las más peligrosas el malware DoublePulsar utilizado para conectarse de forma remota a cualquier PC.

DoublePulsar es una puerta trasera que se aprovechaba de una vulnerabilidad en el protocolo SMB de Windows y que podía permitir a la NSA conectarse de forma remota a cualquier ordenador para recopilar información sobre él. Tan pronto como la vulnerabilidad se dio a conocer, Microsoft lanzó un parche de seguridad para sus sistemas operativos (desde Windows Vista hasta Windows 10) con el que evitar que esta vulnerabilidad pudiera ser utilizada de nuevo. Sin embargo, el parche no eliminaba la puerta trasera DoublePulsar, la cual sigue estando presente en miles de ordenadores por todo el mundo.

Hace un par de días se ha publicado en GitHub un script, llamado doublepulsar-detection-script, pensado, como su nombre indica, para detectar esta backdoor de la NSA y eliminarla de los ordenadores evitando que la organización gubernamental pueda seguir haciendo de las suyas.

Elimina el malware DoublePulsar de la NSA con doublepulsar-detection-script

La herramienta doublepulsar-detection-script es un script escrito en python que nos va a ayudar a detectar y eliminar este malware de nuestro ordenador fácilmente. El script es de código abierto y podemos encontrar todo lo necesario para su funcionamiento desde el siguiente enlace.

Esta herramienta debemos ejecutarla desde otro ordenador de la misma red, ya que, al ser una puerta trasera, es la mejor forma de detectarla y, además, eliminarla. Para ello, lo ideal es descargar un sistema operativo alternativo, como Kali Linux, y, en él, todo lo necesario para hacer funcionar desde dicho repositorio de GitHub.

Una vez tenemos nuestro sistema Kali (o cualquier otro, el único requisito es tener instalado Python) listo con el repositorio ya podemos ejecutar esta herramienta. Para ello, desde un terminal, ejecutaremos (cambiando la IP por la nuestra):

  • python detect_doublepulsar_smb.py –ip 192.168.1.1

Si la herramienta no detecta amenaza en nuestro sistema no tenemos de qué preocuparnos, sin embargo, en caso de que la puerta trasera de la NSA esté en nuestro ordenador, el programa nos devolverá un mensaje como:

DOUBLEPULSAR SMB IMPLANT DETECTED!!!

En ese caso, el siguiente paso será identificar la amenaza y, para ello, vamos a teclear en el terminal:

  • python detect_doublepulsar_rdp.py –file ips.list –verbose –threads 1

Tras unos segundos, una vez identificada la amenaza, el último paso será proceder con la eliminación de DoublePulsar utilizando el comando:

  • python2 detect_doublepulsar_smb.py –ip 192.168.1.1 –uninstall

Una vez eliminada la puerta trasera nuestro sistema ya no estará bajo el control de la NSA, aunque no debemos olvidarnos de instalar los últimos parches de seguridad de Windows para solucionar esta vulnerabilidad y evitar que, a través de ella, nos vuelvan a infectar con DoublePulsar.

Fuente:https://www.redeszone.net/2017/04/27/script-detecta-elimina-doublepulsar-nsa/