Mostrando mensaje 1693     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No 2641 Año 11, viernes 15 de febrero de 2 008 Fecha: Viernes, 15 de Febrero, 2008  01:18:28 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No 2641 Año 11, viernes 15 de febrero de 2008 _____________________________________________________________ Mega-D, una botnet que genera un tercio de todo el spam _____________________________________________________________ http://www.vsantivirus.com/15-02-08.htm Mega-D, una botnet que genera un tercio de todo el spam Por Angela Ruiz angela@videosoft.net.uy Se publicaron en los últimos días, algunas estadísticas respecto a la actividad de redes de computadoras zombis (botnets), dedicadas a la generación de spam. De ellas, se destaca una en especial denominada "Mega-D", por ser la que mayor cantidad de spam genera por si sola, un 32% del total. Según el análisis, la red consiste en al menos 35 mil equipos infectados en todo el mundo, (una cifra no muy grande si la comparamos con las botnets que propagan el gusano Storm -o Nuwar para ESET-). Aunque las últimas estimaciones de máquinas infectadas con Nuwar, parece alcanzar las 85 mil, esta botnet colabora con solamente un 2% de todo el spam generado. Los datos fueron recabados por TRACE (Threat Research and Content Engineering), un grupo de analistas de seguridad que monitorean constantemente las amenazas de Internet. TRACE es parte de Marshal, un vendedor de soluciones de seguridad para Internet. La investigación sobre "Mega-D", relata como se localizó la botnet de mando (o sea la red que controla a los demás equipos y a los servidores de descarga), y además describe al malware responsable del envío de spam. Se trata del Ozdok (detectado por ESET desde enero de 2007, con una última variante agregada el 14/02/08 con el nombre de Win32/Ozdok.D, y una detección genérica con el nombre de Win32/Ozdok). Sin embargo, durante más de un año, el malware estuvo propagándose en muy pocas cantidades, y en diversas variantes, mientras creaba con paciencia la botnet. Al no ser un gran peligro, muchos antivirus lo detectaron con nombres genéricos (después de todo lo que importa es detectarlo), pero nadie advirtió que eran parte de un ejército que muy lentamente estaba armando sus naves de guerra. Para dificultar su detección y eliminación, Ozdok utiliza las propiedades de almacenamiento proporcionadas por el sistema de archivo NTFS (disponible en Windows NT, 2000 y XP). En estos sistemas, los archivos pueden contener diferentes "flujos" de datos. A esto se le llama "file stream", algo así como tener varios archivos dentro de uno solo. Cada stream es accesible como un archivo individual llamado ADS (Alternate Data Stream). Estos "streams" quedan ocultos cuando se hace un listado de archivos en el explorador de Windows, e incluso a un listado generado desde el shell de comandos (CMD). Ozdok utiliza además servicios que favorecen su permanencia al reiniciarse el equipo, y que modifican la configuración del cortafuego de Windows para enmascarar su propio tráfico. Para ello, cuando se ejecuta, inyecta su código en el proceso legítimo de Windows llamado "svchost.exe". Luego, intenta conectarse a la botnet de mando, con un nombre de dominio que suele cambiar. Aunque los datos son enviados a través del puerto 80 (típicamente usado para tráfico HTTP), en realidad no utiliza HTTP, sino una comunicación encriptada con un algoritmo propio. Esto hace que aquellos equipos infectados detrás de un proxy HTTP, no sean capaces de establecer contacto y recibir los comandos para sus acciones posteriores. Luego de algunas comprobaciones, Ozdok descargará una plantilla de spam, para crear los mensajes que comenzará a enviar a una lista de direcciones electrónicas obtenidas también del servidor al que se conectó. El código del malware está preparado para eludir la protección antispam de algunos servidores, utilizando tiempos de espera variables entre sus mensajes. También puede optimizar sus envíos, examinando los mensajes de respuesta que pueda recibir de algunos servidores de correo. Esto ayuda a que la botnet mantenga una lista de direcciones electrónicas "limpias". Ozdok parece instalarse utilizando algunos exploits de conocidos productos, como Flash Player, Acrobat Reader, QuickTime, etc. También se ha detectado en servidores comprometidos. Lo bien planificada que resulta ser esta red, en la que se ha cuidado hasta el último detalle para que pase desapercibida, demuestra una vez más que detrás de los malwares actuales, se mueven delincuentes que ganan cifras millonarias con cada máquina infectada que agregan a sus redes. * Relacionados: Mega-D accounts for 32% of spam http://www.marshal.com/trace/traceitem.asp?article=510 SecureWorks / Team Cymru solve the mystery of the Mega-D Trojan http://tinyurl.com/2gy7ej Ozdok/Mega-D Trojan Analysis http://www.secureworks.com/research/threats/ozdok (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Mantenga actualizado su programa antivirus. De poco vale tener un antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. De todos modos, hoy en día las actualizaciones de la mayoría de los fabricantes son diarias y automáticas. Si tiene un producto que no se actualiza automáticamente, piense seriamente en cambiarlo. 2) No abra ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Tampoco haga clic en enlaces sugeridos en aquellos correos o mensajes instantáneos que no solicitó. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Manténgase informado de cómo operan los virus, y de las novedades sobre éstos, alertas y anuncios críticos, en sitios como el nuestro. 4) No descargue nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceda como con los archivos adjuntos. Cópielos a una carpeta y revíselos con su antivirus debidamente actualizado, antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.eset.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No 2641 Año 11, viernes 15 de febrero de 2008