Shadowserver asumirá como Mega-D Botnet Herder

Se están haciendo esfuerzos para limpiar decenas de miles de computadoras infectadas con software malicioso conocido por generar miles de mensajes de spam por hora.

Las computadoras infectadas son parte de una botnet llamada Ozdok o Mega-D, que en un momento estuvo enviando alrededor del 4 por ciento de los mensajes de correo no deseado del mundo.

La semana pasada, el proveedor de seguridad FireEye lanzó un disco para desmantelar el botnet. Las computadoras infectadas reciben instrucciones e información para nuevas campañas de spam a través de servidores de comando y control. FireEye contactó a los proveedores de red que hospedaban esos servidores, y la mayoría se cerraron.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Eso significaba que las personas que controlan las PC pirateadas, conocidas como pastores de botnets, no podían Ya no contactas con la mayoría de sus bots. El spam de Mega-D casi se detiene por completo. FireEye también cortó un segundo mecanismo de redundancia que los pastores programaron en Mega-D.

Si las máquinas infectadas no pueden contactar a un servidor de comando y control, están programadas con un algoritmo que generará un nombre de dominio aleatorio y trata de contactar ese dominio diariamente Los pastores saben cuál será este dominio y pueden cargar allí nuevas instrucciones.

Si esas máquinas infectadas reciben nuevas instrucciones, es probable que FireEye pierda el control y tengan que volver a empezar para intentar cerrar Mega-D. FireEye ha estado registrando esos dominios para evitar que los robots pastores recuperen el control.

Pero FireEye ahora le ha dado el control de esos bots a Shadowserver, una organización administrada por voluntarios que rastrea botnets.

Shadowserver se hizo cargo de la administración de un "sumidero", o una computadora que ejecuta software personalizado que actúa como un servidor de comando y control al que recurrirán los robots Mega-D, dijo Andre 'M. DiMino, cofundador de Shadowserver.

Shadowserver está ahora en el proceso de identificar computadoras individuales infectadas con Mega-D y luego contactar a los proveedores de servicios para esos hosts infectados. El objetivo es que los proveedores de servicios se pongan en contacto con los propietarios de esas computadoras y les pidan que realicen un análisis antivirus para eliminar la infección y erradicar a Mega-D.

"Ciertamente es un desafío para los ISP trabajar hasta el nivel de suscriptor, y entendemos eso ", dijo DiMino. "Lo mejor que podemos hacer en este momento es obtener una identificación lo más granular posible para que el ISP los ayude. Idealmente, el objetivo es limpiar la máquina infectada".

Shadowserver envía regularmente una lista gratuita de máquinas infectadas a proveedores de servicios, pero identificar máquinas no es fácil. Las redes corporativas a menudo solo muestran una dirección IP externa (protocolo de Internet) para cientos de usuarios, y los ISP asignan diferentes direcciones IP a las PC cuando los usuarios encienden y apagan sus computadoras, dijo DiMino.

Reparar esas computadoras podría ser un proceso lento, ya que se estima que hasta 500,000 computadoras en todo el mundo están infectadas con Mega-D, y de ninguna manera es la botnet más grande. Conficker, por ejemplo, se estima que infectó hasta 7 millones de máquinas.

Brasil tiene el 11.5 por ciento del total de infecciones Mega-D, seguido de India y Vietnam, según el blog de FireEye. DiMino dijo que Shadowserver tiene fuertes lazos con los Equipos de Respuesta a Emergencias Informáticas en todo el mundo, incluido Brasil, que pueden ayudar a trabajar con proveedores de redes.

Incluso si Mega-D no puede ser eliminado completamente, "a veces la interrupción es más realista, DiMino dijo.

"Veremos cuál es el efecto", dijo. "El jurado todavía está afuera".