Mega-D, una botnet que genera un tercio de todo el spam

en Noticias de Seguridad Informatica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Seguridad Informatica
Noticias de Seguridad Informatica Noticias de Seguridad Informatica Todas las Noticias de Seguridad Informatica. Alertas y fallos de seguridad.

Mega-D, una botnet que genera un tercio de todo el spam

Compartir

Se publicaron en los últimos días, algunas estadísticas respecto a la actividad de redes de computadoras zombis (botnets), dedicadas a la generación de spam. De ellas, se destaca una en especial denominada "Mega-D", por ser la que mayor cantidad de spam genera por si sola, un 32% del total.

Según el análisis, la red consiste en al menos 35 mil equipos infectados en todo el mundo, (una cifra no muy grande si la comparamos con las botnets que propagan el gusano Storm -o Nuwar para ESET-).

Aunque las últimas estimaciones de máquinas infectadas con Nuwar, parece alcanzar las 85 mil, esta botnet colabora con solamente un 2% de todo el spam generado.

Los datos fueron recabados por TRACE (Threat Research and Content Engineering), un grupo de analistas de seguridad que monitorean constantemente las amenazas de Internet. TRACE es parte de Marshal, un vendedor de soluciones de seguridad para Internet.

La investigación sobre "Mega-D", relata como se localizó la botnet de mando (o sea la red que controla a los demás equipos y a los servidores de descarga), y además describe al malware responsable del envío de spam.

Se trata del Ozdok (detectado por ESET desde enero de 2007, con una última variante agregada el 14/02/08 con el nombre de Win32/Ozdok.D, y una detección genérica con el nombre de Win32/Ozdok).

Sin embargo, durante más de un año, el malware estuvo propagándose en muy pocas cantidades, y en diversas variantes, mientras creaba con paciencia la botnet.

Al no ser un gran peligro, muchos antivirus lo detectaron con nombres genéricos (después de todo lo que importa es detectarlo), pero nadie advirtió que eran parte de un ejército que muy lentamente estaba armando sus naves de guerra.

Para dificultar su detección y eliminación, Ozdok utiliza las propiedades de almacenamiento proporcionadas por el sistema de archivo NTFS (disponible en Windows NT, 2000 y XP). En estos sistemas, los archivos pueden contener diferentes "flujos" de datos. A esto se le llama "file stream", algo así como tener varios archivos dentro de uno solo. Cada stream es accesible como un archivo individual llamado ADS (Alternate Data Stream).

Estos "streams" quedan ocultos cuando se hace un listado de archivos en el explorador de Windows, e incluso a un listado generado desde el shell de comandos (CMD).

Ozdok utiliza además servicios que favorecen su permanencia al reiniciarse el equipo, y que modifican la configuración del cortafuego de Windows para enmascarar su propio tráfico. Para ello, cuando se ejecuta, inyecta su código en el proceso legítimo de Windows llamado "svchost.exe".

Luego, intenta conectarse a la botnet de mando, con un nombre de dominio que suele cambiar.

Aunque los datos son enviados a través del puerto 80 (típicamente usado para tráfico HTTP), en realidad no utiliza HTTP, sino una comunicación encriptada con un algoritmo propio.

Esto hace que aquellos equipos infectados detrás de un proxy HTTP, no sean capaces de establecer contacto y recibir los comandos para sus acciones posteriores.

Luego de algunas comprobaciones, Ozdok descargará una plantilla de spam, para crear los mensajes que comenzará a enviar a una lista de direcciones electrónicas obtenidas también del servidor al que se conectó.

El código del malware está preparado para eludir la protección antispam de algunos servidores, utilizando tiempos de espera variables entre sus mensajes.

También puede optimizar sus envíos, examinando los mensajes de respuesta que pueda recibir de algunos servidores de correo. Esto ayuda a que la botnet mantenga una lista de direcciones electrónicas "limpias".

Ozdok parece instalarse utilizando algunos exploits de conocidos productos, como Flash Player, Acrobat Reader, QuickTime, etc. También se ha detectado en servidores comprometidos.

Lo bien planificada que resulta ser esta red, en la que se ha cuidado hasta el último detalle para que pase desapercibida, demuestra una vez más que detrás de los malwares actuales, se mueven delincuentes que ganan cifras millonarias con cada máquina infectada que agregan a sus redes.

Fuente: Vsantivirus
Compartir
  #1  
Creado: 15-Feb-2008, a las 12:57 Vistas: 531
Categoria: Noticias de Seguridad Informatica
Creado por: Nafer Nafer está desconectado (05-October-2007 | 3.524 Mensajes.)
Respuesta

Etiquetas
botnet, genera, megad, spam, tercio


Temas Similares
» StarCraft II genera problemas de sobrecalentamiento 0
» La división AMOLED de Samsung ya genera ganancias 0
» GIGABYTE Capta Un Tercio de la Cuota de Mercado Global de USB 3.0 0
» Logo Creator MEGA Pack v.5.2 0
» Telmex recorta en un tercio las inversiones para 2009 0
» Botnet que envía más de 60 mil millones de mensajes al día 0
» Un tercio de los móviles japoneses vendidos ya tienen televisión 0
» Con una botnet se pueden ganar miles de dólares 0
» AMD prevé proveer a un tercio del mercado de procesadores 0
» Propietario de botnet es sentenciado a cinco años de cárcel 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 05:25.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4