¿Su PC está infestada de bots? He aquí cómo saber

A medida que los fuegos artificiales estallaron el 4 de julio, miles de computadoras comprometidas atacaron los sitios web del gobierno de EE. UU. Una botnet de más de 200,000 computadoras, infectadas con una cepa del virus MyDoom de 2004, intentó negar el acceso legítimo a sitios como los de la Comisión Federal de Comercio y la Casa Blanca. El asalto fue un recordatorio audaz de que las botnets continúan siendo un problema masivo.

Las redes de bots son redes deshonestas de PCs "zombi" comprometidas. Su máquina puede infectarse si visita un sitio y descarga un código contaminado disfrazado como un video, si visita un sitio que ha sido comprometido, o si un virus tradicional u otro tipo de malware ingresa a su sistema. Una vez que un robot infecta su PC, llama a su servidor de comando y control (CnC) para obtener instrucciones. Un bot es similar a un caballo de Troya tradicional; pero en lugar de simplemente instalar un keylogger o un robo de contraseñas (que aún puede hacer de todos modos), un bot funciona con otras PC infectadas, obligándolas a actuar juntas, de alguna manera, como una computadora muy grande.

Los spammers pagan mucho dinero para que un robot envíe su mensaje a miles de máquinas; en particular, el spam farmacéutico canadiense es grande en este momento. Otros usos de los robots incluyen ataques que cierran sitios web comerciales, a menudo combinados con una demanda de rescate. También existe un negocio enérgico en lo que se llama fast flux: Para mantener los sitios web de phishing activos, los operadores cambian de dominio con frecuencia. Las redes de bots brindan un medio rápido y fácil de hacerlo y, según la firma de seguridad Kaspersky, los propietarios de botnets cobran mucho dinero por ese servicio.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

En julio, ShadowServer Foundation, un grupo especializado en compartir información sobre botnets, informó que el número de botnets identificadas creció de 1500 a 3500 en los últimos dos años. Cada una de esas redes 3500 podría contener varios miles de PC comprometidas, y cualquier PC determinada podría ser infectada por múltiples bots.

En números brutos, Estados Unidos y China son los hogares de la mayoría de las máquinas infectadas por bot, dice José Nazario, gerente de investigación de seguridad en Arbor Networks. "Creo que es muy seguro para la mayoría de los usuarios de PC asumir que son parte de una botnet", dice. "Para la mayoría de la gente es una Internet muy peligrosa".

Detectando infecciones

Las redes zombi viven o mueren dependiendo de las comunicaciones con sus servidores CnC. Esas comunicaciones pueden decirles a los investigadores qué tan grande es una botnet. Del mismo modo, la avalancha de comunicaciones dentro y fuera de su PC ayuda a las aplicaciones antimalware a detectar un bot conocido. "Lamentablemente, la falta de alertas antivirus no es un indicador de una PC limpia", dice Nazario. "El software antivirus simplemente no puede mantenerse al día con la cantidad de amenazas. Es frustrante [que] no tengamos soluciones significativamente mejores para el usuario doméstico medio, más ampliamente implementado."

Incluso si sale el control antivirus de su PC limpiar, estar atentos. Microsoft proporciona una herramienta de eliminación de software malintencionado gratuita. Una versión de la herramienta, disponible tanto de Microsoft Update como de Windows Update, se actualiza mensualmente; se ejecuta en segundo plano el segundo martes de cada mes e informa a Microsoft siempre que detecta y elimina una infección. Puede utilizar otra versión de la Herramienta de eliminación de software malicioso, descargable en el sitio de Microsoft, en cualquier momento, y debe ejecutar la utilidad si nota un cambio repentino en el comportamiento de su PC.

La Herramienta de eliminación de software malintencionado obtiene resultados. En septiembre de 2007, Microsoft agregó a la utilidad la capacidad de reconocer el bot de Storm. De la noche a la mañana, el tamaño de la botnet Storm se redujo en hasta un 20 por ciento. Desde entonces, Microsoft ha agregado otras botnets frecuentes a la lista de herramientas, como Conficker y Szribi.

Las opciones proactivas también están disponibles. BotHunter, un programa gratuito de SRI International, funciona con Unix, Linux, Mac OS, Windows XP y Vista. Aunque está diseñado para redes, también se puede ejecutar en equipos de sobremesa y portátiles independientes.

BotHunter escucha pasivamente el tráfico de Internet a través de su máquina y mantiene un registro de intercambios de datos que normalmente ocurren cuando una PC está infectada con malware. Ocasionalmente, para mejorar sus definiciones, BotHunter envía mensajes salientes a una base de datos internacional de SRI de adware, spyware, virus y gusanos. BotHunter reconoció por primera vez los patrones de intercambio de datos de Conficker en noviembre de 2008, mucho antes de que otros proveedores de seguridad detectaran la amenaza.

Future Botnets

Si solo demuestran su resistencia, los bots también han invadido teléfonos celulares recientemente. Trend Micro informó que el malware Sexy View SMS en el sistema operativo móvil Symbian puede comunicarse con un servidor CnC para recuperar nuevas plantillas de spam SMS.

Si bien una botnet en un teléfono móvil puede parecer diferente a una en una PC, la idea de alquilar una red de teléfonos "de propiedad" puede ser viable en el futuro cercano. Independientemente de la forma que adopten los bots, probablemente no podremos erradicar la amenaza; solo podemos aprender a manejar mejor las infestaciones de bots. Pero mientras tanto, limpiemos tantas PC como podamos.