A lo largo del último tiempo, Microsoft ha tomado parte en el desmantelamiento de distintas botnet entre las cuales encontramos a Rustok, a inicio de este año y Waledac hace ya algún tiempo. En esta oportunidad, el gigante de Redmond ha vuelto a tomar acciones en contra de una red de computadoras zombies conocida como Kelihos y además, inició acciones legales contra algunos de sus administradores en una operación conocida como “Operation b79” .

Si bien el tamaño de Kelihos no se asemeja al de Rustok, ya que se estima de un total de 41.000 bot (enviando 3.8 millones de correos por día), es la primera vez que ha logrado iniciar una demanda contra los administradores de la botnet. Según la investigación realizada por Microsoft, Dominique Alexander Piatti y John Doe eran los administradores de varios dominios utilizados para controlar dicha red.

Kelihos era una botnet principalmente destinada al envío de spam en donde una vez que un equipo era infectado por un código malicioso, comenzaba a formar parte de esta red, para luego recibir órdenes desde el centro de control (C&C). Entre las funcionalidades con las que contaba, además de enviar spam, también realizaba el robo de contraseñas y el almacenamiento de contenido ilegal en las máquinas comprometidas.

Para poder llevar a cabo el desmantelamiento de la red, Microsoft obtuvo una orden judicial que le permitió desconectar 21  direcciones de dominio, incluyendo uno con extensión cz.cc, perteneciente a un servicio de registro de dominios en la República Checa. Una vez que los más de 41.000 equipos zombies fueron desconectados del panel de control y dejaron de recibir las órdenes del botmaster la denuncia se hizo pública, notificando directamente a los acusados.

Este es el tercer desmantelamiento de una botnet efectuado por el gigante de Redmond, quien además declaró que seguirá trabajando para dar de baja las redes de computadoras zombis que todavía continúan activas. En parte es una actitud proactiva por parte de una compania informática con el objetivo principal de garantizar la seguridad de los usuarios.

Con la intención de mantener los equipos protegidos contra este tipo de códigos maliciosos es necesario contar con una solución antivirus con capacidad de detección proactiva y además hace uso de las buenas prácticas para navegar por Internet.

Pablo Ramos
Especialista en Awareness & Research

Categories: Malware
1 Comment »

Mucho se está hablando en estas últimas horas del takedown de la botnet Coreflood, realizado por el trabajo en conjunto del departamento de justicia de EEUU, Microsoft y el FBI. Tal como habíamos anticipado desde el Laboratorio  de Análisis e Investigación de ESET Latinoamérica, otra gran botnet, como sucedió con Rustock a principio de año, ha sido dada de baja.

Una botnet es una red de computadoras controladas remotamente, a las cuales su botmaster (persona o personas que la controlan) les envía órdenes para realizar determinadas acciones.

En el caso particular de esta botnet, todas las computadoras fueron infectadas por el troyano Coreflood, por esta razón la botnet es llamada de esta manera.  Los troyanos, a diferencia de los virus, no se replican automáticamente sino que deben ser ejecutados por el usuario para lograr la infección del equipo.

Coreflood se caracteriza por ser una botnet de bajo perfil, lo que le permitió estar activa por casi una década. En ese lapso llegó a infectar casi 2 millones de computadoras, en su mayoría en Estados Unidos.  En el último tiempo su actividad creció, lo que posibilitó hacer más notoria su presencia.

En sus orígenes comenzó como un bot de IRC cuyo objetivo era infectar a otros usuarios de IRC, luego evolucionó en un proxy TCP para luego finalmente convertirse en un troyano cuya principal finalidad es el robo de información. A lo largo de su vida, pasó de ser una botnet que vendía servicios de ataques de denegación de servicio distribuidos (DDoS) a ser una que vendía servicios de anonimización para realizar fraudes bancarios.

Para lograr el takedown se obtuvo una orden de restricción temporal (en inglés TRO), como parte de una investigación civil utilizada por autoridades norteamericanas para tener el control de las máquinas que servían como Command & Control. Se obtuvo dicha restricción ya que dichos servidores se hallaban  en empresas de hosting dentro de los Estados Unidos. Con esto se logra desactivar temporalmente la botnet, dándoles tiempo a los usuarios para que instalen alguna solución antivirus que detecte y desinfecte su computadora, antes de que el botmaster envíe una nueva actualización del malware, buscando no perder el control de la computadora. En cuanto a los equipos infectados afuera de Estados Unidos,  el FBI se contactará con los respectivos proveedores de internet que posean maquinas infectadas por este troyano para lograr su desinfección.

Este malware es detectado por ESET NOD32 Antivirus como Win32/Afcore, el cual tiene dos componentes: un y el malware que corre como dropperbackdoor. El código del backdoor es inyectado en ciertos procesos en ejecución como: explorer.exe, iexplore.exe, firefox.exe, opera.exe, skype.exe. También se conecta con el servidor remoto para recibir las órdenes del C&C, donde algunos de  estos comandos pueden ser instrucciones para robar contraseñas, atacar otras computadoras, etc. El dropper, al ser ejecutado, crea varios archivos ejecutables y de datos de nombres aleatorios que se almacenan en el disco. Generalmente estos archivos se gurdan en la carpeta c:\windows\system32. En cuanto al registro de Windows, este es modificado para lograr que el troyano se ejecute cuando se inicia la sesión de Windows, cuando el proceso explorer.exe es creado y cuando el Internet Explorer es ejecutado. También este malware es capaz de realizar acciones como: robar certificados privados (utilizados para lograr acceso en páginas de home banking), reiniciar o finalizar procesos en ejecución, monitorear las conexiones de red y conectarse a un host remoto para enviar la información robada.

Las víctimas de este malware son variadas, hasta ahora se sabe que afectó hospitales, redes de empresas, estaciones de policía, entre otras, pero las más rentables para los creadores fueron una compañía de negocios inmobiliarios de Michigan, que perdió 115.771 dólares, y una empresa con contratos gubernamentales radicada en Tennessee, a la cual le sustrajeron 241.866 dólares.

Como veníamos comentando en estos últimos tiempos en este blog, y acorde a las opiniones comentadas por Pierre-Marc Bureau (Senior Malware Researcher de ESET), las grandes botnets están desapareciendo. Seguramente este tipo de acciones se seguirán repitiendo, para alegría y beneficio de todos los usuarios.

Juan Esteban Forgia
Malware Analyst

Categories: Botnet, Informes, Malware
1 Comment »

Este último viernes hemos visto un nuevo golpe a las botnet, en este caso se han dado de baja algunos de los centros de comando de Koobface, una reconocida botnet que ha estado en el ambiente desde hace ya algunos años y le ha dado a sus administradores grandes sumas de dinero en ganancias. Estamos frente la cuarta desmantelamiento de una botnet en lo que va del año, otras de ellas fueron el de Mariposa, Wadelac y Bredolab.

En varias ocasiones hemos mencionado tanto las características de Koobface como sus cambios a través del tiempo, podemos encontrar versiones del malware que utiliza en diferentes sistemas operativos, tales como Windows, Mac OS y Linux, nuevas versiones y técnicas de ataque de las cuales fuimos hablando en nuestro blog.

Según el informe realizado por Nart Villeneuve, esta red cuenta con una gran cantidad de recursos a través de los cuales se esparce y continúa aumentando la cantidad de ordenadores infectados desde su aparición en julio del 2008.

Su propagación se desarrolla principalmente a través de las redes sociales, principalmente su propagación se realizó a través de Facebook (el nombre del malware resulta ser un anagrama de este), pero también lo hizo mediante otras redes sociales entre las cuales están Twitter, Fubar, Bebo, Friendster, Hi5, MySpace, Netlog, Tagged, Yearbook.

Koobface ha generado a sus administradores más de dos millones de dólares de ganancias entre junio del 2009 y junio del 2010. Sus principales métodos para llegar a esta importante suma de dinero fue a través de PPC (pay-per-click, en español pago por clic), PPI (pay-per-install, en español pago por instalación) y la distribución de falsas soluciones antivirus también conocidas como rogue.

Normalmente un usuario recibe de una cuenta infectada un mensaje con un link a un video, el link es comunmente acortado mediante bit.ly.El mismo le solicitará al usuario que descargue ciertos codecs al hacerlo deberá de descargar y ejecutar un archivos EXE que infectará su equipo.

De los servidores encontrados se han extraído datos acerca de las herramientas y recursos utilizados por los administradores de la red, entre los cuales se destacan:

• 21.790 cuentas de Facebook
• 350.854 cuentas de Blogger
• 522.633 cuentas de Google
• 4.842 cuentas de Google Reader
• 4.044 cuentas de 100mb

Otro punto a destacar de esta botnet es que sus administradores cuentan con una variedad de páginas de estadísticas que les permiten monitorear el estado de la red, velocidad y disponibilidad de los servidores web.

Koobface utiliza los enlaces de bit.ly, blogs en Blogspot y servidores web para operar correctamente. Debido a esto y como uno de sus mecanismos de defensa para evitar comprometer sus direcciones hacen uso de la API de Google de Safe Browsing para corroborar si alguna de las direcciones URL han sido categorizadas de maliciosas según el servicio de bit.ly o Facebook. De esta manera evitan comprometer sus propios servidores y mantenerse en la clandestinidad.

Una vez más una botnet ha sido golpeada por los organismos de seguridad, y vemos como el crimen organizado en la web muestra “sus garras” y lucha por sobrevivir y mantenerse activo con el pasar del tiempo. Sin embargo, parece que a todos les llega su momento, todos comenten un error o todos dejan alguna pista suelta. Esto,  junto con el trabajo en equipo de especialistas en seguridad lleva a que sean desmanteladas. Recuerden que para la protección ante este troyano, siempre es recomendable contar con una solución antivirus con capacidades proactivas de detección y correctamente actualizada, como así también poder reconocer si nuestro equipo forma parte de una botnet. Koobface ha estado en el ciber espacio desde mediados del 2008, pero su red ha sido comprometida, y quizás sus días estén contados.

Pablo Ramos
Especialista de Awareness & Research

Categories: Botnet, Informes
3 Comments »

En lo que va del año hemos sido testigos de la desmantelación de dos importantes botnets, demostrando que por más complejas o extensas que las mismas sean, existen formas de cerrarlas.

El 25 de Octubre del corriente año, el Equipo de Delitos de Alta Tecnología de la Brigada de Crimen Nacional Holandés, en estrecha colaboración con un proveedor de alojamiento holandés, el Instituto Forense Holandés (NFI), la compañía de seguridad de Internet Fox-IT y GOVCERT, dieron de baja una botnet de gran tamaño y popularidad denominada Bredolab. La misma poseía mas de 30 millones de equipos infectados a lo largo del planeta desde julio del 2009.

Dichos equipos habían sido infectados con el troyano Win32/TrojanDownloader.Bredolab por lo cual reportaban a alguno de los 143 servidores maliciosos que conformaban la botnet en cuestión, recibiendo instrucciones directamente de los usuarios maliciosos por medio de estos. Una particularidad de la botnet Bredolab es que era utilizada para brindar servicios de “pay per install“, que significa que los botmasters alquilaban la botnet a desarrolladores de malware que tuvieran problemas diseminando sus propias amenazas para luego cobrarles por cada instalación realizada.

El operativo comenzó identificando los 143 servidores de administración utilizados por esta botnet para luego localizar donde se encontraban alojados y así poder ponerse en contacto con dicha empresa de hosting. La empresa en cuestión era LeaseWeb, uno de las empresas mas grandes de este tipo dentro de Europa. Luego, de forma sincronizada con dicha empresa, se realizó el cambio de las credenciales de acceso a todos los servidores maliciosos, para así otorgarle total control al gobierno Holandés sobre los mismos.

Por último, el equipo de especialistas Holandeses procedió a lanzar a los 30 millones de equipos afectados un script especialmente armado que modificaba la pagina de inicio de los navegadores de Internet dirigiéndolos a un sitio especialmente armado donde no solo se les indicaba que su equipo se encontraba infectado por un troyano, sino que también les indicaban de qué manera limpiar su equipo.

Actualmente, varios especialistas de seguridad comentan que, más allá de que este operativo dejó muy “lesionada” dicha botnet, la misma no se encuentra completamente inactiva, ya que pudieron detectar un servidor todavía activo que se encuentra lanzando instrucciones a los equipos zombies para que descarguen una nueva variante de Bredolab.

Los usuarios de ESET NOD32 Antivirus no tienen de qué preocuparse ya que tanto las versiones antiguas de Bredolab como la nueva versión son detectadas bajo el nombre de Win32/TrojanDownloader.Bredolab.[variante].

Lo importante a destacar de todo esto es la importancia del trabajo conjunto entre las fuerzas de seguridad gubernamentales y las empresas o especialistas de seguridad, conjuntamente con la colaboración de los proveedores de servicios de Internet. El accionar y esfuerzo conjunto de todos estos especialistas sumado a una tolerancia nula a este tipo de actividad criminal dió como resultado al cierre de una de las botnets más grandes que hayan existido.

Joaquín Rodríguez Varela
Leader Sales Engineer

Categories: Alertas, Botnet
4 Comments »

En los últimos días dos noticias han circulado por los principales medios de tecnología, relacionadas al malware y las redes botnets.

El primero de ellos, se trata de una botnet conocida por los lectores de este blog: Waledac.

La semana pasada Microsoft informó, a través de su blog, a la comunidad el éxito en el fallo del proceso legal que la propia empresa había iniciado. Del blog de Microsoft se extrae la siguiente información:

La baja de la botnet Waledac que Microsoft llevó a cabo esta semana [...] es el resultado de meses de investigación y aplicada con innovación en una estrategia legal.

El 22 de febrero, en respuesta por la denuncia de Microsoft (“Microsoft Corporation v. John Does 1-27, et. al.“) hacia la corte estadounidense de Virginia, el juzgado federal ordenó y garantizó y forzó el cierre de 277 dominios de Internet utilizados por los criminales de la red botnet Waledac.

Como podrán observar si leen la fuente, Microsoft ha citado la información respecto a las capacidades de envío de spam de Waledac que hemos investigado desde ESET Latinoamérica. Por lo tanto, es de esperarse que esos millones de correos no deseados enviados por la botnet representen al menos temporalmente una baja en la cantidad de spam recibido.

Al respecto Randy Abrams, Director de Educación Técnica para ESET, declaró al portal PC World: “La medición correcta no es cuánto se reduce el spam, sino más bien que este tipo de acciones se conviertan en una herramienta más para combatir el problema“.

Cabe destacar que, según el portal sudosecure.net, las medidas han sido exitosas y se ha notado un decremento importante en la actividad de la botnet.

Por otro lado, el gobierno español informó en el día de ayer que la Guardia Civil desmanteló una red de ordenadores “zombis” compuesta por más de 13 millones de PCs infectados, y conocida por el nombre Mariposa. En esta ocasión, se detuvieron a tres ciudadanos españoles que controlaban la botnet. La red, era utilizada principalmente para el robo de datos personales y financieros en los sistemas infectados, que se habían detectado en más de 190 países distintos.

Como siempre los usuarios de ESET NOD32 no tienen de que preocuparse ya que los códigos maliciosos de dicha red, eran y son detectados proactivamente por  como una variante de Win32/Agent.OSE, una variante de Win32/Peerfrag.EJ y una variante de Win32/Kryptik.AEC.

Como verán, la problemática de las botnets y el crimeware deben ser abordadas en un esfuerzo conjunto entre las entidades privadas y los gobiernos (a través de la legislación y las fuerzas de seguridad), para así dar apoyo y continuidad para combatir este tipo de delitos informáticos.

Sebastián Bortnik
Analista de Seguridad

Categories: Declaraciones, Malware
8 Comments »