 |
En los últimos tres meses más de 4 millones de computadores han sido afiliadas en una nueva y aparentemente indestructible botnet, una red de computadoras infectadas por grupos criminales que las usan.
Es la cuarta versión del virus informático conocido como TDL que afecta a máquinas con sistema Windows y, según los expertos, se hace cada vez más difícil de identificar y por tanto de eliminar. Se multiplica y reproduce por todo internet, y ya se informa que es imparable, y más una vez instalado en tu PC.
Cerca de un tercio de las víctimas están en Estados Unidos. También se ha reportado en cantidades importantes en países que incluyen a India, Reino Unido, Francia, Alemania o Canadá.
Es la cuarta versión del virus informático conocido como TDL que afecta a máquinas con sistema Windows y, según los expertos, se hace cada vez más difícil de identificar y por tanto de eliminar. Se multiplica y reproduce por todo internet, y ya se informa que es imparable, y más una vez instalado en tu PC.
Cerca de un tercio de las víctimas están en Estados Unidos. También se ha reportado en cantidades importantes en países que incluyen a India, Reino Unido, Francia, Alemania o Canadá.
Que es una botnet?
Una botnet es una red de computadoras caseras que han sido infectadas por un virus que permite a técnicos-criminales operarlas remotamente sin conocimiento del propietario. Los operadores de la botnet roban información de las computadoras de las víctimas o las usan para distribuir spam o realizar ataques informáticos.
El TDL se esparce mediante sitios web trampa e infecta las máquinas. El virus se ha encontrado medrando en sitios que ofrecen pornografía, películas piratas o en sitios que permiten a los usuarios guardar video y fotografía.
Básicamente eso es TDL-4, solamente que a una escala de magnitud muy grande. En tan solo 3 meses han infectado más de 4.5 millones de máquinas, y van por más.
Amenaza de ultima tecnologia
"El virus puede difundirse de muchas maneras, pero la más común es mediante los llamados paquetes explosivos", explicó Liam Murchu, director de operaciones de Symantec.
"El virus puede difundirse de muchas maneras, pero la más común es mediante los llamados paquetes explosivos", explicó Liam Murchu, director de operaciones de Symantec.
"Los paquetes explosivos son páginas web que se enmascaran en tu computadora cuando visitas algún sitio aparentemente limpio, pero que ha sido infectado ya por los creadores del TDL. Así que las computadoras se pueden infectar simplemente navegando Internet".
Los códigos del virus que "secuestran" a la computadora se ocultan luego en lugares en los que los programas de seguridad y limpieza no los detectan.
El virus establece su propio sistema de codificación para proteger las comunicaciones entre los que controlan la red, lo que hace más complejo vigilar el tráfico entre las computadoras secuestradas y los operadores de la botnet.
Además el TDL-4 envía instrucciones a las máquinas infectadas usando una red de usuario a usuario en vez de recurrir a un comando centralizado.
Esto también limita las posibilidades de vigilancia pues quita la necesidad de servidores de mando para comunicarse regularmente con las máquinas "esclavizadas".
Esos cambios han hecho al TDL-4 la amenaza mas sofisticada que existe hoy, según la investigación hecha por Sergey Golovanov e Igor Soumenkov, dos investigadores de Laboratorios Kaspersky.
Expertos en seguridad informática aseguran que los recientes cierres de botnets ha hecho que los diseñadores y controladores del TDL hayan reforzado sus precauciones para evitar ser detectados.
"Nosotros podemos detectarlos pero los atacantes están continuamente lanzando nuevas versiones a diario, hasta dos veces al día. Es una batalla constante", afirma Liam Murchu.
De acuerdo con Symantec, el éxito de productos como los que desarrolla su compañía y el trabajode las autorizadades en el mundo entero han permitido una caída de los llamados correos basura o "spam", una de las principales vías por las que se infectan las computadoras.
"El consejo que damos es que las personas mantengan sus programas anti-virus actualizados y sus sistemas Windows también, de manera que se aseguren que tienen colocada la mejor protección", dijo Murchur.
Sin embargo, la sofisticación de TDL-4 podría también ayudar en su caída, dijeron los investigadores de Kaspersky, que encontraron errores en el complejo código.
Porque es tan poderoso?
Se instala en el exterior del sistema operativo de la PC, lo que dificulta su detección. Se instala en el MBR (Master Boot Record) o sector cero con lo que siempre se ejecuta con prioridad mayor a la del propio sistema operativo.
Una vez establecida en un sistema puede modificar los resultados de búsqueda, publicidad en internet y DNS.
Caracteristicas
Usa un cifrado propio que permite comunicarse sin ser detectada via Internet, entre un centro de control y las botnets, mientras evita ser identificada mediante los análisis convencionales de red.
Infecta máquinas con Windows a través de sitios web que explotan vulnerabilidades del sistema, por ejemplo, es muy común encontrarlo en sitios que alojan porno, torrents, y sitios no seguros de descarga directa. Estas webs, exprésamente distribuyen sin que el usuario se enter, el programa cliente que luego de corroborar la versión del SO, descarga automáticamente e instala TDL-4. Por cada mil instalaciones, los sitios reciben entre 20 y 200 dólares, según donde se encuentren las victimas.
Accede a redes P2P. En particular, a la red KAD a través de la cuál transmite órdenes a todas las máquinas de la botnet.
Los centros de control cambian dinámica y constantemente.
Tienen la habilidad de atacar en conjunto miles de máquinas a la vez, para ataques de DoS (Denial of Service), entre otros.
Porque es tan poderoso?
Se instala en el exterior del sistema operativo de la PC, lo que dificulta su detección. Se instala en el MBR (Master Boot Record) o sector cero con lo que siempre se ejecuta con prioridad mayor a la del propio sistema operativo.
Una vez establecida en un sistema puede modificar los resultados de búsqueda, publicidad en internet y DNS.
Caracteristicas
Usa un cifrado propio que permite comunicarse sin ser detectada via Internet, entre un centro de control y las botnets, mientras evita ser identificada mediante los análisis convencionales de red.
Infecta máquinas con Windows a través de sitios web que explotan vulnerabilidades del sistema, por ejemplo, es muy común encontrarlo en sitios que alojan porno, torrents, y sitios no seguros de descarga directa. Estas webs, exprésamente distribuyen sin que el usuario se enter, el programa cliente que luego de corroborar la versión del SO, descarga automáticamente e instala TDL-4. Por cada mil instalaciones, los sitios reciben entre 20 y 200 dólares, según donde se encuentren las victimas.
Accede a redes P2P. En particular, a la red KAD a través de la cuál transmite órdenes a todas las máquinas de la botnet.
Los centros de control cambian dinámica y constantemente.
Tienen la habilidad de atacar en conjunto miles de máquinas a la vez, para ataques de DoS (Denial of Service), entre otros.
El consejo que damos es que las personas mantengan sus programas anti-virus actualizados y sus sistemas Windows también, de manera que se aseguren que tienen colocada la mejor protección"Liam Muchur, Symantec
0 comentarios:
Publicar un comentario