Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Mega-D, una botnet que genera un tercio de todo el spam
 
VSantivirus No 2641 Año 11, viernes 15 de febrero de 2008

Mega-D, una botnet que genera un tercio de todo el spam
http://www.vsantivirus.com/15-02-08.htm

Por Angela Ruiz
angela@videosoft.net.uy

Se publicaron en los últimos días, algunas estadísticas respecto a la actividad de redes de computadoras zombis (botnets), dedicadas a la generación de spam. De ellas, se destaca una en especial denominada "Mega-D", por ser la que mayor cantidad de spam genera por si sola, un 32% del total.

Según el análisis, la red consiste en al menos 35 mil equipos infectados en todo el mundo, (una cifra no muy grande si la comparamos con las botnets que propagan el gusano Storm -o Nuwar para ESET-).

Aunque las últimas estimaciones de máquinas infectadas con Nuwar, parece alcanzar las 85 mil, esta botnet colabora con solamente un 2% de todo el spam generado.

Los datos fueron recabados por TRACE (Threat Research and Content Engineering), un grupo de analistas de seguridad que monitorean constantemente las amenazas de Internet. TRACE es parte de Marshal, un vendedor de soluciones de seguridad para Internet.

La investigación sobre "Mega-D", relata como se localizó la botnet de mando (o sea la red que controla a los demás equipos y a los servidores de descarga), y además describe al malware responsable del envío de spam.

Se trata del Ozdok (detectado por ESET desde enero de 2007, con una última variante agregada el 14/02/08 con el nombre de Win32/Ozdok.D, y una detección genérica con el nombre de Win32/Ozdok).

Sin embargo, durante más de un año, el malware estuvo propagándose en muy pocas cantidades, y en diversas variantes, mientras creaba con paciencia la botnet.

Al no ser un gran peligro, muchos antivirus lo detectaron con nombres genéricos (después de todo lo que importa es detectarlo), pero nadie advirtió que eran parte de un ejército que muy lentamente estaba armando sus naves de guerra.

Para dificultar su detección y eliminación, Ozdok utiliza las propiedades de almacenamiento proporcionadas por el sistema de archivo NTFS (disponible en Windows NT, 2000 y XP). En estos sistemas, los archivos pueden contener diferentes "flujos" de datos. A esto se le llama "file stream", algo así como tener varios archivos dentro de uno solo. Cada stream es accesible como un archivo individual llamado ADS (Alternate Data Stream).

Estos "streams" quedan ocultos cuando se hace un listado de archivos en el explorador de Windows, e incluso a un listado generado desde el shell de comandos (CMD).

Ozdok utiliza además servicios que favorecen su permanencia al reiniciarse el equipo, y que modifican la configuración del cortafuego de Windows para enmascarar su propio tráfico. Para ello, cuando se ejecuta, inyecta su código en el proceso legítimo de Windows llamado "svchost.exe".

Luego, intenta conectarse a la botnet de mando, con un nombre de dominio que suele cambiar.

Aunque los datos son enviados a través del puerto 80 (típicamente usado para tráfico HTTP), en realidad no utiliza HTTP, sino una comunicación encriptada con un algoritmo propio.

Esto hace que aquellos equipos infectados detrás de un proxy HTTP, no sean capaces de establecer contacto y recibir los comandos para sus acciones posteriores.

Luego de algunas comprobaciones, Ozdok descargará una plantilla de spam, para crear los mensajes que comenzará a enviar a una lista de direcciones electrónicas obtenidas también del servidor al que se conectó.

El código del malware está preparado para eludir la protección antispam de algunos servidores, utilizando tiempos de espera variables entre sus mensajes.

También puede optimizar sus envíos, examinando los mensajes de respuesta que pueda recibir de algunos servidores de correo. Esto ayuda a que la botnet mantenga una lista de direcciones electrónicas "limpias".

Ozdok parece instalarse utilizando algunos exploits de conocidos productos, como Flash Player, Acrobat Reader, QuickTime, etc. También se ha detectado en servidores comprometidos.

Lo bien planificada que resulta ser esta red, en la que se ha cuidado hasta el último detalle para que pase desapercibida, demuestra una vez más que detrás de los malwares actuales, se mueven delincuentes que ganan cifras millonarias con cada máquina infectada que agregan a sus redes.


Relacionados:

Mega-D accounts for 32% of spam
http://www.marshal.com/trace/traceitem.asp?article=510

SecureWorks / Team Cymru solve the mystery of the Mega-D Trojan
http://tinyurl.com/2gy7ej

Ozdok/Mega-D Trojan Analysis
http://www.secureworks.com/research/threats/ozdok








(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2008 Video Soft BBS