A lo largo del último tiempo, Microsoft ha tomado parte en el desmantelamiento de distintas botnet entre las cuales encontramos a Rustok, a inicio de este año y Waledac hace ya algún tiempo. En esta oportunidad, el gigante de Redmond ha vuelto a tomar acciones en contra de una red de computadoras zombies conocida como Kelihos y además, inició acciones legales contra algunos de sus administradores en una operación conocida como “Operation b79” .

Si bien el tamaño de Kelihos no se asemeja al de Rustok, ya que se estima de un total de 41.000 bot (enviando 3.8 millones de correos por día), es la primera vez que ha logrado iniciar una demanda contra los administradores de la botnet. Según la investigación realizada por Microsoft, Dominique Alexander Piatti y John Doe eran los administradores de varios dominios utilizados para controlar dicha red.

Kelihos era una botnet principalmente destinada al envío de spam en donde una vez que un equipo era infectado por un código malicioso, comenzaba a formar parte de esta red, para luego recibir órdenes desde el centro de control (C&C). Entre las funcionalidades con las que contaba, además de enviar spam, también realizaba el robo de contraseñas y el almacenamiento de contenido ilegal en las máquinas comprometidas.

Para poder llevar a cabo el desmantelamiento de la red, Microsoft obtuvo una orden judicial que le permitió desconectar 21  direcciones de dominio, incluyendo uno con extensión cz.cc, perteneciente a un servicio de registro de dominios en la República Checa. Una vez que los más de 41.000 equipos zombies fueron desconectados del panel de control y dejaron de recibir las órdenes del botmaster la denuncia se hizo pública, notificando directamente a los acusados.

Este es el tercer desmantelamiento de una botnet efectuado por el gigante de Redmond, quien además declaró que seguirá trabajando para dar de baja las redes de computadoras zombis que todavía continúan activas. En parte es una actitud proactiva por parte de una compania informática con el objetivo principal de garantizar la seguridad de los usuarios.

Con la intención de mantener los equipos protegidos contra este tipo de códigos maliciosos es necesario contar con una solución antivirus con capacidad de detección proactiva y además hace uso de las buenas prácticas para navegar por Internet.

Pablo Ramos
Especialista en Awareness & Research

Categories: Malware
1 Comment »

En este último tiempo, desde el Laboratorio de Análisis e Investigación de ESET Latinoamerica, seguimos encontrando pruebas de la afirmación que hizo Pierre-Marc Bureau sobre como seria el futuro de las botnets. Pierre-Marc predijo que las grandes botnets tenderían a desaparecer, cosa que hasta ahora viene ocurriendo. Basta recordar los casos de Mariposa, Wadelac , Bredolab, Koobface y Coreflood para darse cuenta que esas predicciones fueron acertadas.

Que las grandes botnets estén siendo desmanteladas, no quiere decir que vayan a desaparecer en su totalidad, solamente cambiaran sus objetivos y sus estrategias de ataque. Cosa que esta sucediendo actualmente.

En estos últimos meses, recibimos muchas muestras del troyano Win32/Spy.Zbot de diferentes variantes. Este troyano pertenece a la botnet Zeus, cuyo objetivo principal es el robo de información a los usuarios. Todas las variantes analizadas tienen las mismas características, se conectan a un solo servidor con el objetivo de bajar un archivo de configuración con la información necesaria para realizar el ataque. Algunas de las direcciones de servidores y sus fechas de alta a los cuales se intentan conectar son las siguientes :

Notemos que la fecha de alta de los servidores es muy reciente. Algunos de ellos están dados de baja y otros siguen activos.

Como dijimos anteriormente esta botnet opera conectándose a un servidor y descargando un archivo de configuración el cual contiene un script con las instrucciones del ataque. Algunos archivos utilizados son de extensión .jpg , .bin , .csv y .js , claro esta que nunca debemos fiarnos de las extensiones de archivos solamente para identificar un binario, ya que en la mayoría de los casos se les cambia la extensión, en un intento muy básico de camuflar el verdadero tipo de archivo.

En el registro de Windows realiza varios cambios: crea entradas que le permiten ejecutarse al inicio del sistema operativo, modifica los parámetros de seguridad del Internet Explorer y modifica archivos pertenecientes al cliente de correo Outlook Express para robar información de los contactos.

Para ocultar su identidad crea un archivo .bat en la carpeta TEMP para eliminar el archivo original, de esta manera luego de la infección borra su rastro. Antes de borrarse, una copia del archivo original se almacenara en otra parte del disco para permitirle al cliente permanecer activo.

Estas muestras pertenecen al troyano Zbot que es detectado por ESET Nod32 Antivirus como Win32/Spy.Zbot. Están orientadas a lo que pareciera ser un ataque a un objetivo especifico, su finalidad seria la de robar información sin importar tanto la permanencia de la infección. Esto podemos decirlo ya que estas muestras son actuales y los servidores a los que se conecta ya no están en funcionamiento. Una causa posible podría deberse a la liberación del código de Zeus/Zbot ocurrida hace unos meses, la cual, en teoría, cualquier persona solo podía llegar a tener pagando por ella. Con ese código en sus manos, cualquier programador podría crear una variación de este malware, lo que posibilitaría que grandes cantidades de diferentes variantes de esta amenaza salgan a la luz.

Juan Esteban Forgia
Malware Analyst

Categories: Análisis de malware, Botnet, Curiosidades, Estadísticas, Malware
2 Comments »

Qué pasaría si de un momento a otro la cantidad de correos enviada a nivel mundial cayera de manera masiva? La respuesta que uno imagina es caos y falta de comunicación pero sin embargo esto no fue así: esto estuvo relacionado al envío de spam. Esto se debe, a que durante la semana pasada se llevó a cabo el desmantelamiento de la botnet Rustok, conocida por ser la red de computadoras con mayor envió de spam a nivel mundial.

Una botnet es una red de equipos infectados por códigos maliciosos, que son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta y distribuida. Cuando un equipo ha sido afectado por un malware de este tipo, se dice que es un equipo es un robot o zombi.

Cómo mencionamos anteriormente, Rustok es la botnet que más spam enviaba a nivel mundial. Es por ello que desde el desmantelamiento de la botnet hasta el 16 de marzo la cantidad de spam enviado decreció de manera considerable. En el siguiente gráfico se puede observar cómo la baja de la red fue impactando en el envío de correos:

El takedown de esta botnet fue dirigido por Microsoft, quien efectúo las acciones necesarias para el desmantelamiento de la red más grande de envío de spam activa hasta el momento. Una vez más, distintas fuerzas de seguridad han participado para desactivar estas redes delictivas que suelen llenar las casillas de los usuarios de correo basura.

Durante el año pasado se efectuaron varias acciones similares, coordinadas por distintos organismos de seguridad en todo el mundo, con el único objetivo de realizar el desmantelamiento de las botnet. Como casos puntuales podemos tomar Waledac y Mariposa, donde se desactivaron millones de equipos que se encontraban infectados. Investigaciones de ESET Latinoamérica pudieron determinar, por ejemplo, que equipos infectados por Waledac podían enviar aproximadamente 150.000 correos diarios.

La problemática que presentan las botnets y el crimeware deben ser abordadas en un esfuerzo conjunto entre las entidades privadas y los gobiernos (a través de la legislación y las fuerzas de seguridad), para poder combatir este tipo de delitos informáticos y finalizar sus acciones en la red. Para poder estar protegido ante este tipo de amenazas recomendamos que los usuarios cuenten con una solución antivirus con capacidad de detección proactiva cómo así también una educación en lo que respecta a materia de seguridad.

De esta forma, el caso Rustok se convierte en el primer desmantelamiento de una red botnet importante para este 2011, como ya habíamos pronosticado a finales del último año en nuestro informe “Tendencias 2011: las botnet y el malware dinámico“. Durante el transcurso del año esperamos ver más acciones conjuntas de los organismos de seguridad en contra del ciber crimen, principalmente contra las redes botnet.

Pablo Ramos
Especialista de Awareness & Research

Categories: Botnet, Spam
6 Comments »

Escuchá el resumen mensual de amenazas en formato podcast:

Clip de audio: Es necesario tener Adobe Flash Player (versión 9 o superior) para reproducir este clip de audio. Descargue la versión más reciente aquí. También necesita tener activado Javascript en su navegador.

Compartimos nuevamente con ustedes el resumen mensual de amenazas, dichas amenazas son las que tuvieron gran relevancia durante el mes de febrero. El mes de febrero se caracteriza por la celebración de “San Valentín” la cual logra captar la atención de muchas personas, esto resulta tentador para los creadores de malware ya que con técnicas de Ingeniería Social buscan controlar nuevas víctimas. A continuación les presentamos las noticias más relevantes del mes:

• Como bien se comentaba en la introducción la celebración de “San Valentín” trajo nuevamente varias amenazas a través de distintos medios, se realizo un seguimiento de los términos relacionados con esta celebración y se pudo ver como la cantidad de búsquedas creció durante ese mes. No obstante las redes sociales también se vieron afectadas por la propagación de malware, en este caso la red social Twitter fue la afectada. Desde el área de educación se realizo un resumen donde se puede ver las 5 formas de infectarse en “San Valentín”.
• En el año 2009 Microsoft dio el cierre a 277 servidores, pertenecientes a la botnet Waledac, gracias al Laboratorio de ESET se pudo detectar una nueva campaña de infección la cual presentamos en dos partes I y II. Dicha botnet se caracteriza por la cantidad de spam, que envía a través de sus víctimas.
• Una caso muy curioso se presento desde el blog de ESET en Ingles, el cual detalla como un troyano se estaba propagando a través del servicio de Windows Update (catalogo de actualización de Windows). Dicha actualización de un programa de terceros (en este caso el cargador de baterías de Energizer® DUO USB) estaba descargando un troyano consigo.
• Las amenazas bancarias se encuentran catalogadas como críticas, ya que por el daño que pueden afectar a la información sensible de la víctima, estas puede causarle a más de uno, un gran dolor de cabeza. Durante este mes pudimos reportar distintos casos sobre estas amenazas, tal es el caso que varios servidores de origen Francés fueron comprometido los cuales eran utilizados para propagar un troyano que interceptaba las comunicaciones para el robo de las credenciales. También se reporto otro caso bancario que se encontraba alojado en varios sitios web comprometidos, el cual también robaba las credenciales al ingresar al home banking de la víctima.
• Nuestros compañeros de de Ontinet descubrieron un caso de phishing brasileño, el cual se puede ver como dichos ataques evolucionan a medida que los usuarios toman conciencia de los riesgos en la web.
• Siempre remarcamos que con muy poco tiempo, un atacante puede capturar varias víctimas potenciales. Les presentamos un caso en donde se puede ver que en muy poco tiempo, desde que se expone el ataque los delincuentes logran capturar varias víctimas.

Para obtener mayor información sobre las amenazas destacadas de febrero, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Reportes mensuales
4 Comments »

La semana pasada les contábamos sobre el retorno de la botnet Waledac, donde destacábamos el envío masivo de spam que este realizaba una vez infectado el equipo.

El día de hoy les traemos un análisis estadístico del caudal de spam enviado por un cliente afectado con el nuevo troyano de dicha botnet.

El calculo en cuestión se basa en sacar un valor promedio de la cantidad de correo basura enviado en una determinada ventana de tiempo. En este caso contabilizamos la cantidad de correos que envió el equipo que infectamos intencionalmente en un plazo de 5 minutos. A continuación los resultados de dicho análisis:

• Tiempo de ejecución: 5 minutos – Spam enviado: 200 correos aproximadamente.
• Tiempo de ejecución: 60 minutos – Spam enviado: 2400 correos aproximadamente.
• Tiempo de ejecución: 24 horas – Spam enviado: 57600 correos aproximadamente.

Como se puede observar, el caudal de correos enviados es más que considerable, y más aún si se tiene en cuenta que se trata de una botnet que acaba de resurgir. Ahora consideremos lo siguiente, una botnet esta conformada por varios equipos afectados y no solo por 1, ¿qué sucede si extrapolamos estos número a los de una red zombi real?:

• Tiempo : 24 horas x Cantidad de bots: 100 x Spam por hora: 2400 = 5.760.000 correos basura.
• Tiempo : 24 horas x Cantidad de bots: 1000 x Spam por hora: 2400 = 57.600.000 correos basura.
• Tiempo : 24 horas x Cantidad de bots: 5000 x Spam por hora: 2400 = 288.000.000 correos basura.

Ahora el panorama cambia, ya que estamos hablando de millones de correos por día emitidos desde una sola botnet. Aún así la cantidad de clientes imaginados es considerablemente baja para las que suele contener una botnet real por lo que los números serían aún mayores.

En relación al archivo kb845325.exe el cual también mencionamos en el post anterior, el mismo efectivamente es una actualización del troyano de la botnet, detectado por ESET NOD32 Antivirus por heurística como una variante de Win32/Kryptik.HN.

Podemos observar que no se necesita de una botnet demasiado grande para enviar grandes caudales de spam, permitiéndole al desarrollador malicioso tener un ingreso monetario considerable y constante gracias a la venta de este servicio.

• Costo de 1.000.000 de correos = 100 dolares
• Costo adicional por el envío del spam por 24 hs = 200 dolares

En el caso de que un potencial cliente desee enviar 57.600.000 correos en 24 horas, deberá comprar 57 listas y media más 200 dolares por el envío, que llevan a un total de 5960 dolares por día que gana el botmaster. Lo que significa que estará ganando aproximadamente 178.800 dolares por mes.

Queda más que claro que siempre y cuando siga existiendo mercado, las botnets no solo no van a desaparecer, sino que irán creciendo en cantidad y tamaño.

Joaquín Rodríguez Varela
Malware Lab Engineer

Categories: Análisis de malware, Botnet, Malware en imágenes
3 Comments »