ESET Latinoamérica – Laboratorio
« Malware aprovecha como excusa autopsia de Michael Jackson
Nuevas variantes de Koobface se aprovechan de las redes sociales »

¿Cuánto spam envía Waledac?

Julio 7, 2009 12:17 pm

La reactivación de la propagación del troyano Waledac es ya un hecho. Tal como anunciara el equipo de ESET el día jueves, el día viernes comenzaron a circular correos electrónicos no deseados propagando a Waledac como un falso video de YouTube, en donde podría observarse el espectáculo de fuegos artificiales realizado por el día de la independencia de Estados Unidos.

Pasado el 4 de Julio, hemos notado un incremento en la cantidad de correos en circulación, y esta semana será la de mayor actividad. Estimamos que, al igual que otras campañas, la misma durará al menos 15 días.

Sin embargo, lo que quizás muchos lectores se estarán preguntando es por qué Waledac estuvo tantos meses “dormido“. La realidad, es que lo que estuvo inactivo fue la propagación del troyano. Sin embargo, la red botnet que se construyó con Waledac, se mantuvo tan activa como siempre; abocada principalmente a su objetivo más importante: el envío de spam.

Desde el Laboratorio de ESET Latinoamérica, hemos realizado algunas pruebas para compartir con los usuarios una pregunta que puede graficar la importancia de mantenerse protegido: ¿cuánto spam enviará mi computadora si está infectada con Waledac?

Para ello, hemos infectado un equipo de Laboratorio con una de las variantes propagadas por Waledac. El binario utilizado (MD5: 8036ce700043ce6dbe38561ff12d7f4c) fue distribuido en la campaña de falsos cupones de descuento,  realizada posterior al día de San Valetín entre Febrero y Marzo de 2009. La misma, es detectada por la heurística de ESET NOD32 como una variante de Win32/Kryptik.LN.

Posteriormente, utilizamos una herramienta de monitoreo de tráfico de red para observar cuántos correos eran enviados por la botnet, desde el sistema infectado. Hicimos una primer medición en 4 etapas de una hora (en diferentes horarios) y los resultados fueron los siguientes:

  • Etapa 1: entre las 18:00 y las 19:00 hs. se enviaron 6.968 correos
  • Etapa 2: entre las 20:30 y las 21:30 hs. se enviaron 7.148 correos
  • Etapa 3: entre las 10:00 y las 11:00 hs. se enviaron 5.610 correos
  • Etapa 4: entre las 13:00 y las 14:00 hs. se enviaron 6.568 correos

Si se toma el promedio de correos enviados por hora según estas mediciones (6.548 correos), se estima que un equipo infectado puede enviar aproximadamente 150.000 correos diarios. Para ser más gráficos, esto representa casi dos correos por segundo.

Estos correos son enviados utilizando los recursos de los sistemas infectados, siendo un claro ejemplo de una de las ventajas de las redes botnets.

Si consideramos que se estima que la red posee al menos 20,000 equipos infectados, se puede afirmar que la capacidad teórica de envío de spam de la red es de 3 mil millones de correos diarios. Como indicamos, esto es solo la capacidad teórica ya que no todos los equipos infectados están siendo utilizados las 24 horas del día para enviar spam. Sin embargo, esto demuestra el poder de las redes botnets en general, y en particular la relevancia de la red de Waledac en el envío de correos no deseados.

Observando las estadísticas aquí presentadas, muchos usuarios entenderán por qué sus equipos trabajan lentos cuando sus sistemas están infectados… ¡y por qué hay tanto spam!

Sebastián

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 5
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame



Categorias: Estadísticas, Malware, Spam
4 Comentarios »

4 Comentarios en “¿Cuánto spam envía Waledac?”

  1. Un equipo infectado puede mandar 2 correos spam por segundo dijo:
    1-8-2009 a las 2:02 pm

    [...] monitoreos realizados por la firma de seguridad, ESET, una computadora infectada por este tipo de malware [...]

  2. TalSoft TS » Blog Archive dijo:
    9-7-2009 a las 5:24 pm

    [...] Cada uno de las zombis que forman parte de la botnet creada por Waledac, focalizan sus intenciones en el envío de spam. En este sentido, un dato muy interesante extraído de un informe, afirma que Waledac posee la capacidad de enviar aproximadamente 150.000 correos spam por día. [...]

  3. Sebastian Bortnik dijo:
    8-7-2009 a las 9:38 am

    Hola Negro,

    Las direcciones de correo son enviadas desde el centro de comando y control (C&C) de la botnet, o en otros casos son consultadas directamente a una base de datos pública (también mantenida por los administradores de las botnets).

    La estimación del tamaño de la botnet se realiza consolidando nuestros sistemas de monitoreo, que nos permiten conocer la cantidad de equipos infectados con estas amenazas, y las mediciones de otros profesionales en seguridad a lo largo del mundo.

    Para más información sobre botnets: Botnets, redes organizadas para el crimen.

    Sebastián

  4. Negro Menor dijo:
    8-7-2009 a las 1:44 am

    Hola, tengo unas dudas.

    De donde saca las direcciones de correo?

    Y como estimaron que un bot de tan magnitud solamente posea 20.000 infectados?

Comentarios
Contáctenos | Política de Privacidad | Noticias Legales Copyright © 1992-2009 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.