1 July, 2011

Crean botnet “indestructible” y lleva 4.5 millones de PC infectadas

Por

Los creadores de malware han desarrollado una botnet que según especialistas de Kaspersky es indestructible porque han mejorado considerablemente las versiones anteriores a TDL-4 y la cual se estima ya ha infectado más de 4.5 millones de computadoras en todo el planeta.

El primer TDL apareció en 2008, sin embargo sus creadores cambiaron el algoritmo que usaban para encriptar el protocolo para cifrar la comunicación entre bots, también ampliaron las funcionalidades del programa al controlar los servidores y asegurar el acceso a las computadoras infectadas, aún cuando los centros de control de la  botnet estuvieran apagados.

“Los dueños de TDL estaban tratando de crear esencialmente una botnet indestructible protegida contra ataques, competidores y compañías antivirus” escribieron Igor Soumenkov y Sergey Golovanov, especialistas de Kaspersky en un blog.

Esta aparente botnet indestructible crea un identificador conocido como bsh parameter que actúa como una clave de encriptación para las conexiones subsecuentes entre el comando y el servidor de control. El comando se activa por medio de una transmisión HTTPS, lo que ayuda a que la botnet corra sin ningún problema, al mismo tiempo detiene a cualquiera que desee tomar el control, explicaron los especialistas.

Una botnet egoísta

Cuando TDL-4 ataca, infecta la computadora desde el inicio maestro por lo que se ejecuta antes que el sistema operativo manteniéndose oculto a los programas antimalware.

Quienes desarrollaron esta cuarta generación de TDL, también se aseguraron que su virus fuera tan potente que eliminara otros archivos maliciosos que pudieran estar almacenado en la computadora y permitir a los usuarios de TDL-4 ejecutarlo.

Los especialistas aseguran que una vez que TDL-4 borró a “la competencia” descarga cerca de 30 programas infectados a la computadora, incluyendo falsos programas antivirus, adware, y el spam Pushdo, ya que también usa la red Kad peer-to-peer para emitir varios comandos, incluyendo la búsqueda de nuevos archivos y publicar otros en Kad.

¿Indestructible? No lo creo

A pesar de lo que Soumenkov y Golovanov dijeron respecto esta botnet hubo quien disintió y escribió al respecto:

“Puedo decirles con seguridad que ninguna amenaza que ha aparecido en la industria antimalware y proveedores de sistemas operativos a la que  no hayan respondido con éxito. Pueden pasar meses o años para terminar con algo, pero al final los buenos hacen algo” publicó Roger Grimes en Infoworld.com, quien se describe como un veterano de 24 años de la guerra contra el malware.

Grimes también considera que hoy existen muchos malware que viven a perpetuidad pero que éstos mueren cuando el proceso de explotación llega a su fin, tal como ocurrió con los virus de arranque en la década de los 80 y 90 que no dejaron de ser una amenaza hasta que se descontinuaron los disquetes y unidades de disco, por ejemplo.

El articulista de Infoworld también basa su dicho en la caída de Conficker, una de las botnets más poderosas, la cual fue detenida dos años después de su creación o por lo menos fue lo que dieron los expertos en seguridad Conficker Working Group.

Conficker es relevante pues se estima que infectó con el gusano alrededor de 15  millones de PC en todo el mundo,  aunque el impacto de un ataque de este virus puede ser alto, en realidad no está vinculado con alguna acción maliciosa de manera directa, a excepción de entregar scareware desde dominios de internet.