Los spammers recuperan el control de Srizbi Botnet

Las computadoras zombies utilizadas para enviar spam son volver a la vida.

Los vendedores de seguridad dicen que los spammers se están reconectando con las PC pirateadas que se usan para enviar spam, como lo demuestra el creciente número de mensajes de spam que circulan en Internet en los últimos días. Los niveles de spam bajaron repentinamente hace dos semanas después del cierre de McColo, un ISP (Proveedor de Servicios de Internet) deshonesto con sede en San José, California, cuya conectividad se usaba para controlar redes de cientos de miles de computadoras para enviar spam, conocidas como botnets.

Las computadoras que son parte de la botnet Srizbi, que según algunas estimaciones enviaron casi la mitad del spam mundial, aparentemente están volviendo a estar activas nuevamente, según investigadores de FireEye.

[Lectura adicional: cómo eliminar el malware de su Windows PC]

"Srizbi ha vuelto de entre los muertos y ha comenzado a actualizar todos sus bots con un binario nuevo y actualizado", según una publicación del blog de Atif Mushtaq y Alex Lanstein de FireEye. "La actualización mundial comenzó hace apenas unas horas".

Las computadoras de Srizbi estaban controladas por spammers a través de la red de McColo. Cuando se cerró McColo, esas computadoras trataron de devolver la llamada y obtener nuevas instrucciones para enviar correo no deseado. Pero los operadores de botnets son inteligentes y crearon una forma de recuperar esas máquinas si estuvieran varadas.

Los investigadores de FireEye esencialmente hicieron una autopsia del código de Srizbi. Encontraron que los piratas informáticos pusieron un algoritmo que genera dinámicamente un nombre de dominio desde el cual una computadora comprometida podría obtener nuevas instrucciones.

Los hackers podrían registrar ese nombre de dominio y poner instrucciones allí para decirle a la PC comprometida que vaya a un sitio diferente servidor de comando y control - no de McColo - para obtener nuevas instrucciones.

Dado que FireEye descubrió cómo funcionaba el algoritmo, la compañía registró los nombres de dominio galimatías, como "auaopagr.com", que el algoritmo generó. Cuando esas máquinas informaron para el deber, no hubo instrucciones. Pero FireEye no pudo continuar apropiándose de los spammers para siempre comprando nombres de dominio.

Ahora las computadoras comprometidas se están conectando a nombres de dominio registrados por los spammers y obteniendo código actualizado, incluyendo plantillas para nuevas campañas de spam. Los nuevos servidores de comando y control se encuentran en Estonia y los nombres de dominio se compran a un registrador en Rusia, dijo FireEye.

Srizbi llegó a contar en su momento con más de 450,000 PC, y aún está por verse cuántos de esas máquinas tienen código actualizado. Pero otras tres botnets que fueron controladas a través de McColo - Rustock, Cutwail y Asprox - todas parecen estar regresando a la red.

Dmitry Samosseiko, proveedor de seguridad informática, Sophos escribió el miércoles que los niveles de spam repentinamente subieron a principios de esta semana, debido a en parte al resurgimiento de la botnet Rustock.

La conectividad de McColo fue restaurada brevemente por TeliaSonora, y las pocas horas en línea permitieron que los spammers le dijeran a las computadoras infectadas con Rustock dónde buscar nuevas instrucciones.

Proveedor antispam MessagLabs, que fue adquirida recientemente por Symantec, no ha notado un aumento en el spam asociado con Srizbi, dijo Paul Wood, analista sénior en sus oficinas del Reino Unido.

Wood dijo que MessageLabs analiza el spam que termina en las bandejas de entrada de sus 8 millones usuarios y puede ser que Srizbi no esté actualizado o haya cambiado la forma en que se dirige a las personas.

Pero MessageLabs ha notado un repunte en el correo no deseado proveniente de Rustock, Cutwail y Asprox, lo que indicaría que esos botn "Como cualquier empresa, si su mensajero deja de funcionar o se declara en huelga, encuentra un proveedor alternativo", dijo Wood.

Aún así, los niveles de correo no deseado son de alrededor del 40 por ciento de lo que fueron antes de que McColo cayera, dijo Wood.