Los programas maliciosos coordinados se resisten a la desinfección

Los criminales vinculan redes de PC infectadas—y diferentes porciones de programas destructivos—para burlar las aplicaciones de seguridad.

¿Cómo es posible empeorar aún más algo ya grave? Si usted es un criminal que opera una botnet, una red de PC infectadas de programas maliciosos, usted vincula las botnet para formar una “botnetweb” gigantesca. Y lo hace de una manera que dificulta a los conjuntos antivirus ponerle freno.

Las botnetweb no sólo permiten que los malhechores envíen correo indeseado o programas maliciosos a millones de PC al mismo tiempo. También representan una infección altamente resistente que usa múltiples archivos. Un intento de desinfección podría eliminar algunos archivos, pero los que quedan detrás frecuentemente volverán a cargar lo que se borró.

[<img border="0" src="/pcwla2.nsf/0/68057EDCB8D91B9585257605007DC522/$File/66criminalago09.gif">]

Los culpables “no son un grupo de chiquillos sentados en un cuarto oscuro desarrollando estas botnet para entretenerse”, escribe Atif Mushtaq de FireEye, la compañía de seguridad basada en Milpitas, California, que ideó el término botnetweb. “Estas son gente organizada que lo operan como un negocio sofisticado”.

UNA MANO LAVA A LA OTRA

En el pasado, la competencia entre los escritores de programas maliciosos a veces significaba que una infección atacara la infección de un rival en una máquina para entonces quitarla. Más recientemente, el famoso gusano Conficker reparó la vulnerabilidad de Windows que aprovechó para infectar las máquinas, esencialmente cerrando la puerta tras de sí para impedir las infecciones de otros programas maliciosos.

FireEye no encontró evidencia de competición, sino de cooperación y coordinación entre las mayores botnet de correo indeseado, lo cual representa un cambio del modo en que funcionan los programas maliciosos. La compañía investigó los servidores de comando y controló los (C&C) utilizados para enviar ordenes a los robots, que pueden incluir la transmisión de correo indeseado o la transmisión de otros archivos maliciosos. En el caso de las botnet Pushdo, Rustock y Srizbi, descubrió que los servidores de C&C a la cabeza de cada botnet residían en el mismo lugar; las direcciones IP utilizadas para los servidores también eran muy parecidas. Si las botnet estuvieran compitiendo, probablemente no estarían situadas tan cercas unas de otras.

UNA BOTNETWEB QUE CUENTA CON MILLONES DE PC

Otra evidencia sobre las botnetweb vino de Finjan, una compañía de equipos de seguridad de redes basada en California. Finjan reportó haber encontrado un servidor de C&C capaz de enviar correo indeseado, programas maliciosos, o mandos de control remoto a un total de 1,9 millones de robots.

[<img border="0" src="/pcwla2.nsf/0/68057EDCB8D91B9585257605007DC522/$File/67virusaago09.gif">]

El servidor de C&C tenía seis cuentas de administrador, además de un caché de programas sucios. Ophir Shalitin, director de ventas de Finjan, dice que Finjan no sabe cuál de los programas pueda haber infectado a las PC—ni cuál de los programas maliciosos desató la infección inicial. La firma rastreó la dirección IP del servidor de C&C (ahora difunto) hasta Ucrania y halló evidencia de que los recursos de la botnet se alquilaban por US$100 para 1000 robots por día.

Según Alex Lanstein, un investigador de seguridad de FireEye, una colección distribuida de botnet da muchas ventajas a los malhechores. Si una entidad policial o una firma de seguridad cierra el servidor de C&C para cualquier botnet individual, aún así el malhechor obtendrá sus ganancias de las botnet supervivientes.

La creación de estas botnet típicamente comienza con un programa malicioso de “cuentagotas”, dice Lanstein, que usa “técnicas comunes” y no contiene código extraño ni realiza acciones que pudiera levantar sospechas a una aplicación antivirus. Una vez que el cuentagotas entra en una PC (frecuentemente por medio de una descarga furtiva o por un dato adjunto al correo electrónico), puede descargar un caballo de Troya, como el programa malicioso Hexzone enviado por el servidor que Finjan encontró. Esa variante de Hexzone sólo fue detectada inicialmente por 4 de los 39 motores antivirus de VirusTotal (www.virustotal.com).

DESINFECCIÓN POR REFLEJOS

Y hoy en día, la infección casi siempre tiene múltiples archivos diferentes, lo cual hace al intruso mucho más resistente a los intentos de limpieza.

En un intento vigilado de limpiar el caballo de Troya Zeus por el RogueRemover de Malwarebyte, que Lanstein dice es una herramienta de desinfección muy capaz, RogueRemover encontró solamente algunos de los archivos. Después de unos minutos, explica Lanstein, uno de los archivos restantes se comunicó con su servidor de C&C y volvió a cargar todos los archivos borrados.

“Las probabilidades de limpiarlo todo ejecutando una herramienta antivirus determinada son moderadas”, dice Randy Abrams, director de educación técnica del fabricante de programas antivirus Eset. Abrams, Lanstein y otros expertos de seguridad enfatizan que si su antivirus “quita” una infección, no debería suponer que el programa malicioso ha desaparecido. Usted puede descargar y ejecutar otras herramientas, como RogueRemover (find.pcworld.com/63051). Otros, como HijackThis (find.pcworld.com/63052) o Eset SysInspector (find.pcworld.com/63053), analizarán su PC y crearán un registro que puede colgar en sitios como Bleeping Computer (www.bleepingcomputer.com), donde voluntarios expertos le ofrecerán consejos.

Una táctica mejor es asegurar que su PC no se infecte. Instale actualizaciones para cerrar los agujeros que las descargas furtivas pudieran aprovechar—no solamente en Windows, sino también en aplicaciones como Adobe Reader. Y para protegerse contra datos adjuntos envenenados de correo electrónico u otros archivos, no abra ni descargue ningún dato adjunto que no esperaba recibir; examine los archivos sospechosos con VirusTotal, el mismo sitio gratuito de exploración que usan muchos expertos.

-Por Erik Larkin

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.