El malware coordinado resiste la erradicación

¿Cómo se hace? algo terrible aún peor? Si eres un delincuente que opera una red de bots, una red de ordenadores infectados con malware a menudo expansiva, puedes vincular botnets para formar una gigantesca "red de bots". Y lo haces de una manera que es difícil para un conjunto de antivirus luchar.

Las redes de redes no solo permiten que los delincuentes envíen spam o malware a millones de computadoras a la vez. También representan una infección altamente resistente que usa múltiples archivos. Un intento de desinfección podría eliminar algunos archivos, pero los que quedan atrás a menudo volverán a descargar los depurados.

Los culpables "no son un grupo de nerds sentados en un cuarto oscuro desarrollando estas botnets por diversión", escribe Atif Mushtaq de FireEye, la compañía de seguridad Milpitas, California, que acuñó el término botnetweb. "Estas son personas organizadas ejecutando esto en la forma de un negocio sofisticado".

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

You Scratch My Back …

En el pasado, la competencia entre malware los escritores a veces querían decir que una infección podría buscar la infección de un rival en una máquina y luego eliminarla. Más recientemente, el llamativo gusano Conficker parcheó la vulnerabilidad de Windows que explotaba para infectar máquinas, cerrando efectivamente la puerta detrás de sí mismo para prevenir infecciones por otro malware.

FireEye encontró pruebas no de competencia, sino de cooperación y coordinación entre los principales botnets de spam, que representan un cambio radical en la forma en que funciona el malware. La compañía investigó los servidores de comando y control (C & C) utilizados para enviar órdenes de marcha a los bots, lo que podría incluir la retransmisión de spam o la descarga de archivos maliciosos adicionales. En el caso de las botnets Pushdo, Rustock y Srizbi, descubrió que los servidores de C & C a la cabeza de cada botnet estaban en la misma instalación de alojamiento; las direcciones IP utilizadas para los servidores también cayeron dentro de los mismos rangos. Si las botnets dispares hubieran estado compitiendo, probablemente no se habrían codeado digitalmente.

Una telaraña de botnet que es millones de computadoras fuertes

Más evidencia de botnetwebs provino de Finjan, una compañía de equipos de seguridad de red en California. Finjan informó que encontró un servidor de C & C capaz de enviar spam, malware o comandos de control remoto a la friolera de 1.9 millones de bots.

El servidor de C & C tenía seis cuentas de administrador, más un caché de programas sucios. Ophir Shalitin, director de marketing de Finjan, dice que Finjan no sabe cuál de los programas pudo haber infectado cuál de las PC, o más importante, qué malware fue la infección inicial. La empresa rastreó la (ahora difunta) dirección IP del servidor de C & C a Ucrania, y encontró evidencia de que los recursos de la botnet fueron alquilados por $ 100 por 1000 bots por día.

Según Alex Lanstein, investigador de seguridad senior de FireEye, una colección distribuida de botnets les da a los chicos malos muchas ventajas. Si la policía o una empresa de seguridad cerraran el servidor de C & C para cualquier botnet único, el estafador aún podría obtener ganancias de las botnets supervivientes.

La creación de estos botnets generalmente comienza con el malware "dropper", dice Lanstein, que usa "plain-Jane, vanilla techniques" y ninguna codificación extraña o acciones que puedan levantar una bandera roja para las aplicaciones de antivirus. Una vez que un dropper ingresa a una PC (a menudo mediante una descarga drive-by o un archivo adjunto de correo electrónico), puede ingresar un caballo de Troya, como el malware Hexzone enviado por el servidor encontrado por Finjan. Esa variante de Hexzone fue detectada inicialmente por solo 4 de los 39 motores antivirus en VirusTotal.

Desinfección Whack-a-Mole

Y en estos días, múltiples archivos de malware a menudo están involucrados, lo que hace que un intruso sea mucho más resistente en la cara de intentos de erradicarlo.

En un intento de limpiar el caballo de Troya Zeus por RogueRemover de Malwarebyte, que según Lanstein es un desinfectador generalmente capaz, RogueRemover encontró algunos, pero no todos, los archivos. Después de unos minutos, dice Lanstein, uno de los archivos sobrantes se comunicó con su servidor de C & C y volvió a descargar rápidamente los archivos eliminados.

"Las probabilidades de limpiar todo con solo ejecutar una herramienta antivirus dada son moderadas", dice Randy Abrams, director de educación técnica con el fabricante de antivirus Eset. Abrams, Lanstein y otros gurús de seguridad enfatizan que si su antivirus "elimina" una infección, no debe asumir que el malware se ha ido. Puedes intentar descargar y ejecutar herramientas adicionales, como RogueRemover. Otros, como HijackThis o SysInspector de Eset, analizarán tu PC y crearán un registro para que publiques en sitios como Bleeping Computer, donde voluntarios experimentados ofrecen consejos personalizados.

Una táctica mejor es asegurarte de que tu PC no esté infectada. en primer lugar. Instale actualizaciones para cerrar los agujeros que los sitios drive-by-download podrían explotar, no solo en Windows, sino también en aplicaciones como Adobe Reader. Y para protegerse de archivos adjuntos de correo electrónico envenenados u otros archivos, no abra archivos adjuntos o descargas inesperados; ejecute todo lo que no esté seguro a través de VirusTotal, el mismo sitio de escaneo gratuito que usan muchos expertos.