En este último tiempo, desde el Laboratorio de Análisis e Investigación de ESET Latinoamerica, seguimos encontrando pruebas de la afirmación que hizo Pierre-Marc Bureau sobre como seria el futuro de las botnets. Pierre-Marc predijo que las grandes botnets tenderían a desaparecer, cosa que hasta ahora viene ocurriendo. Basta recordar los casos de Mariposa, Wadelac , Bredolab, Koobface y Coreflood para darse cuenta que esas predicciones fueron acertadas.

Que las grandes botnets estén siendo desmanteladas, no quiere decir que vayan a desaparecer en su totalidad, solamente cambiaran sus objetivos y sus estrategias de ataque. Cosa que esta sucediendo actualmente.

En estos últimos meses, recibimos muchas muestras del troyano Win32/Spy.Zbot de diferentes variantes. Este troyano pertenece a la botnet Zeus, cuyo objetivo principal es el robo de información a los usuarios. Todas las variantes analizadas tienen las mismas características, se conectan a un solo servidor con el objetivo de bajar un archivo de configuración con la información necesaria para realizar el ataque. Algunas de las direcciones de servidores y sus fechas de alta a los cuales se intentan conectar son las siguientes :

Notemos que la fecha de alta de los servidores es muy reciente. Algunos de ellos están dados de baja y otros siguen activos.

Como dijimos anteriormente esta botnet opera conectándose a un servidor y descargando un archivo de configuración el cual contiene un script con las instrucciones del ataque. Algunos archivos utilizados son de extensión .jpg , .bin , .csv y .js , claro esta que nunca debemos fiarnos de las extensiones de archivos solamente para identificar un binario, ya que en la mayoría de los casos se les cambia la extensión, en un intento muy básico de camuflar el verdadero tipo de archivo.

En el registro de Windows realiza varios cambios: crea entradas que le permiten ejecutarse al inicio del sistema operativo, modifica los parámetros de seguridad del Internet Explorer y modifica archivos pertenecientes al cliente de correo Outlook Express para robar información de los contactos.

Para ocultar su identidad crea un archivo .bat en la carpeta TEMP para eliminar el archivo original, de esta manera luego de la infección borra su rastro. Antes de borrarse, una copia del archivo original se almacenara en otra parte del disco para permitirle al cliente permanecer activo.

Estas muestras pertenecen al troyano Zbot que es detectado por ESET Nod32 Antivirus como Win32/Spy.Zbot. Están orientadas a lo que pareciera ser un ataque a un objetivo especifico, su finalidad seria la de robar información sin importar tanto la permanencia de la infección. Esto podemos decirlo ya que estas muestras son actuales y los servidores a los que se conecta ya no están en funcionamiento. Una causa posible podría deberse a la liberación del código de Zeus/Zbot ocurrida hace unos meses, la cual, en teoría, cualquier persona solo podía llegar a tener pagando por ella. Con ese código en sus manos, cualquier programador podría crear una variación de este malware, lo que posibilitaría que grandes cantidades de diferentes variantes de esta amenaza salgan a la luz.

Juan Esteban Forgia
Malware Analyst

Categories: Análisis de malware, Botnet, Curiosidades, Estadísticas, Malware
2 Comments »

Qué pasaría si de un momento a otro la cantidad de correos enviada a nivel mundial cayera de manera masiva? La respuesta que uno imagina es caos y falta de comunicación pero sin embargo esto no fue así: esto estuvo relacionado al envío de spam. Esto se debe, a que durante la semana pasada se llevó a cabo el desmantelamiento de la botnet Rustok, conocida por ser la red de computadoras con mayor envió de spam a nivel mundial.

Una botnet es una red de equipos infectados por códigos maliciosos, que son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta y distribuida. Cuando un equipo ha sido afectado por un malware de este tipo, se dice que es un equipo es un robot o zombi.

Cómo mencionamos anteriormente, Rustok es la botnet que más spam enviaba a nivel mundial. Es por ello que desde el desmantelamiento de la botnet hasta el 16 de marzo la cantidad de spam enviado decreció de manera considerable. En el siguiente gráfico se puede observar cómo la baja de la red fue impactando en el envío de correos:

El takedown de esta botnet fue dirigido por Microsoft, quien efectúo las acciones necesarias para el desmantelamiento de la red más grande de envío de spam activa hasta el momento. Una vez más, distintas fuerzas de seguridad han participado para desactivar estas redes delictivas que suelen llenar las casillas de los usuarios de correo basura.

Durante el año pasado se efectuaron varias acciones similares, coordinadas por distintos organismos de seguridad en todo el mundo, con el único objetivo de realizar el desmantelamiento de las botnet. Como casos puntuales podemos tomar Waledac y Mariposa, donde se desactivaron millones de equipos que se encontraban infectados. Investigaciones de ESET Latinoamérica pudieron determinar, por ejemplo, que equipos infectados por Waledac podían enviar aproximadamente 150.000 correos diarios.

La problemática que presentan las botnets y el crimeware deben ser abordadas en un esfuerzo conjunto entre las entidades privadas y los gobiernos (a través de la legislación y las fuerzas de seguridad), para poder combatir este tipo de delitos informáticos y finalizar sus acciones en la red. Para poder estar protegido ante este tipo de amenazas recomendamos que los usuarios cuenten con una solución antivirus con capacidad de detección proactiva cómo así también una educación en lo que respecta a materia de seguridad.

De esta forma, el caso Rustok se convierte en el primer desmantelamiento de una red botnet importante para este 2011, como ya habíamos pronosticado a finales del último año en nuestro informe “Tendencias 2011: las botnet y el malware dinámico“. Durante el transcurso del año esperamos ver más acciones conjuntas de los organismos de seguridad en contra del ciber crimen, principalmente contra las redes botnet.

Pablo Ramos
Especialista de Awareness & Research

Categories: Botnet, Spam
5 Comments »

El siguiente post es una traducción del texto realizado por Alexis Dorais Joncas y Pierre-Marc Bureau, especialistas de seguridad de ESET. Ha sido publicado en el blog de ESET en inglés y el mismo comenta acerca de un gusano causó estragos en la plataforma de mensajería instantánea de Microsoft, el Live Messenger 2009, lo cual llevo a la companía a deshabilitar temporalmente los enlaces.

Este fin de semana, un código malicioso sin nombre forzó a Microsoft a deshabilitar temporalmente los enlaces en Live Messenger 2009, en prevención de un gusano agresivo que se estaba expandiendo rápidamente. Dicha acción fue más que sopresiva, debido a que los gusanos que se propagan mediante mensajeros instantáneos, entre ellos Skype, Yahoo! Messenger y Microsoft Live Messenger, ¡no son novedosos en lo absoluto! Por ejemplo, el gusano AimVen fue descubierto en el 2003 y tuvo como objetivo la plataforma del mensajería instantánea de America Online (AOL).

El modus operandi de este tipo de ataques es sencillo:

1. La víctima recibe de uno de sus contactos un mensaje que contiene un enlace.
2. La víctima hace un clic en el enlace.
3. La víctima se infecta.

El único propósito del hipervínculo es instalar un programa malicioso en el equipo de la víctima. El mismo puede apuntar a un archivo ejecutable, a una página infectada con un exploit del navegador, tales como el kit Eleonore (véase el siguiente artículo en inglés de Brian Kreebs), o a una página diseñada para atraer a los usuarios a descargar y ejecutar código malicioso a través de Ingeniería Social.

Este mecanismo de propagación son una manera muy efectiva para que el malware se mantenga activo y prospere. A medida que pasa el tiempo, los atacantes están refinando sus técnicas para convencer a las víctimas potenciales de visitar los enlaces maliciosos. Por ejemplo, el gusano Butterfly espera hasta que la víctima entre en una conversación antes de enviar el mensaje malicioso, en lugar de enviarlo así por que sí. El gusano también puede utilizar geolocalización para utilizar el mismo idioma que la víctima o incluso relacionarlo con noticias correspondientes a su país. Estas técnicas avanzadas hacen que los mensajes maliciosos sean mucho menos sospechosos y de esta manera engañar hasta a los usuarios más cautelosos.

Uno de los gusanos activos que utiliza esta técnica es el que se encuentra detras de la famosa botnet Mariposa, denomniado Butterfly y también conocido como Win32/Bflient, Win32/Peerfrag, Win32/Rimecud. Sorpresivamente, Butterfly prevalece como una amenaza a pesar del arresto de su supuesto autor esloveno, que se llevó a cabo este año como así también la red Mariposa fue desmantelada. En efecto, el reporte de ESET en ThreatSense demuestra que Win32/Bflient.K entro en el top 10 de las amenazas, puntualmente en el octavo puesto.

Aquí podemos ver un mensaje de la vida real de Butterfly utilizando el MSN de Microsoft para auto propagarse. La semana pasada, una máquina comprometida recibió una orden del operador de la botnet para comenzar a propargarse mediante el siguiente mensaje:

mira a ana D http://bit.ly/[ELIMINADO]

Como podemos ver, se utiliza un acortador de URLS para ofuscar el destino real. Cuando la víctima abre el enlace, puede observar un reproductor de video falso y un pop-up que lo invita a instalar una actualización del Flash Player. Obviamente, el archivo es cualquier cosa menos una actualización, en este caso se trata de la última versión del gusano que estaba siendo almacenado en sitio web canadiense.

¿Fue un nuevo brote del gusano lo que causó que Microsoft tomara la acción de bloquear los enlaces activos en Live Messenger 2009? ¿quién sabe? Pero una cosa es segura, el bloqueo de los links tiene que ser integrada rapidamente en los clientes de mensajería instantánea, debido a que los atacantes seguirán utilizando este poderoso vector de infección para infectar nuevas víctimas todos los días. Microsoft se lleva un punto a favor por integrar la seguridad de enlaces en el Live Messenger 2011.

Alexis Dorais Joncas
Pierre-Marc Bureau

Categories: Alertas, Informes
2 Comments »

En los últimos días dos noticias han circulado por los principales medios de tecnología, relacionadas al malware y las redes botnets.

El primero de ellos, se trata de una botnet conocida por los lectores de este blog: Waledac.

La semana pasada Microsoft informó, a través de su blog, a la comunidad el éxito en el fallo del proceso legal que la propia empresa había iniciado. Del blog de Microsoft se extrae la siguiente información:

La baja de la botnet Waledac que Microsoft llevó a cabo esta semana [...] es el resultado de meses de investigación y aplicada con innovación en una estrategia legal.

El 22 de febrero, en respuesta por la denuncia de Microsoft (“Microsoft Corporation v. John Does 1-27, et. al.“) hacia la corte estadounidense de Virginia, el juzgado federal ordenó y garantizó y forzó el cierre de 277 dominios de Internet utilizados por los criminales de la red botnet Waledac.

Como podrán observar si leen la fuente, Microsoft ha citado la información respecto a las capacidades de envío de spam de Waledac que hemos investigado desde ESET Latinoamérica. Por lo tanto, es de esperarse que esos millones de correos no deseados enviados por la botnet representen al menos temporalmente una baja en la cantidad de spam recibido.

Al respecto Randy Abrams, Director de Educación Técnica para ESET, declaró al portal PC World: “La medición correcta no es cuánto se reduce el spam, sino más bien que este tipo de acciones se conviertan en una herramienta más para combatir el problema“.

Cabe destacar que, según el portal sudosecure.net, las medidas han sido exitosas y se ha notado un decremento importante en la actividad de la botnet.

Por otro lado, el gobierno español informó en el día de ayer que la Guardia Civil desmanteló una red de ordenadores “zombis” compuesta por más de 13 millones de PCs infectados, y conocida por el nombre Mariposa. En esta ocasión, se detuvieron a tres ciudadanos españoles que controlaban la botnet. La red, era utilizada principalmente para el robo de datos personales y financieros en los sistemas infectados, que se habían detectado en más de 190 países distintos.

Como siempre los usuarios de ESET NOD32 no tienen de que preocuparse ya que los códigos maliciosos de dicha red, eran y son detectados proactivamente por  como una variante de Win32/Agent.OSE, una variante de Win32/Peerfrag.EJ y una variante de Win32/Kryptik.AEC.

Como verán, la problemática de las botnets y el crimeware deben ser abordadas en un esfuerzo conjunto entre las entidades privadas y los gobiernos (a través de la legislación y las fuerzas de seguridad), para así dar apoyo y continuidad para combatir este tipo de delitos informáticos.

Sebastián Bortnik
Analista de Seguridad

Categories: Declaraciones, Malware
8 Comments »