FireEye se mueve rápidamente para destruir Mega-D Botnet

Una compañía de seguridad informática conocida por combatir botnets se trasladó la semana pasada para intentar cerrar un reproductor de spam persistente.

FireEye, una compañía de California que fabrica dispositivos de seguridad, ha estado rastreando una botnet llamada Mega -D u Ozdok. Mega-D, que es una red de computadoras pirateadas, ha sido responsable de enviar más del 4 por ciento del spam mundial, según M86 Security. Muchas de las computadoras que integran Mega-D son computadoras personales infectadas.

Mega-D es una de varias botnets que han implementado medidas técnicas avanzadas para garantizar que sus propietarios no pierdan el control de las PC pirateadas. Los hackers usan servidores de comando y control para dar instrucciones a las PC zombies, como cuándo ejecutar una campaña de spam.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

En el caso de Mega -D, las PC pirateadas buscarán ciertos nombres de dominio para descargar instrucciones, escribió Atiq Mushtaq de FireEye en el blog de la compañía. Si esos dominios no están activos, a menudo los ISP los cierran si están relacionados con el abuso: las máquinas Mega-D buscarán servidores DNS (Domain Name System) personalizados para encontrar dominios activos.

Si eso también falla, Mega-D está programado para generar un nombre de dominio aleatorio basado en la fecha y hora actual, escribió Mushtaq. Cuando los piratas informáticos registran el nombre de dominio, las máquinas infectadas pueden visitar allí para obtener nuevas instrucciones.

Los mecanismos de Mega-D para garantizar que siga vivo han dificultado las empresas de seguridad. "A menos que alguien se comprometa lo suficiente como para prerregistrar esos dominios, los pastores de bot siempre pueden presentarse y registrar esos dominios y recuperar el control de botnet", escribió Mushtaq.

El último jueves por la noche, FireEye comenzó su asalto, contactando a los ISP tenía máquinas que actuaban como servidores de comando y control para Mega-D. Todos menos cuatro proveedores de servicios cerraron las conexiones para las direcciones IP utilizadas por Mega-D, escribió Mushtaq. FireEye también se puso en contacto con los registradores que controlan los nombres de dominio utilizados para Mega-D.

Como medida final, FireEye registró los nombres de dominio autogenerados con los que las computadoras con las que contacta Mega-D entrarían en contacto si las máquinas no logran alcanzar otro comando-y- nodos de control.

Mushtaq escribió el viernes que unas 264.784 direcciones únicas de IP (Protocolo de Internet) se habían contactado con el servidor "sumidero" de FireEye o un servidor configurado para identificar PC infectadas.

"Datos recolectados del servidor de sumidero los registros se usarán para identificar las máquinas de la víctima ", escribió Mushtaq.

Se espera que los ISP se comuniquen con esos suscriptores y les informen que necesitan ejecutar un análisis antivirus.

Los esfuerzos de FireEye, junto con la cooperación de los ISP y los registradores, parecen haber dominado Mega-D, al menos temporalmente.

El lunes, las estadísticas de M86 Security mostraron que el spam Mega-D casi se había detenido. En un momento anterior, M86 había visto que una sola computadora infectada con Mega-D enviaba hasta 15,000 mensajes de spam por hora.

"Esto muestra claramente que es difícil, pero no imposible, eliminar algunas de las botnets más desagradables del mundo, "Mushtaq escribió.

Pero el indulto puede no durar mucho. FireEye se adelantó a Mega-D registrando dominios que los bots buscarían, pero ese proceso puede ser interminable y costoso. Si FireEye deja de registrar dominios y los robots huérfanos llaman a casa, los hackers podrían cargarles un nuevo código para hacerlos más difíciles de cerrar.

"No estamos seguros de cuánto tiempo podremos mantenernos al día con estos dominios futuros", escribió Mushtaq..