Aumentan las botnet en el año 2007.

[RaKi0N]

Aumenta la actividad de las redes de computadoras zombies
sábado, 08 de septiembre de 2007
Las botnets son redes de computadoras zombies, equipos que se operan en forma remota por delincuentes para
cometer todo tipo de ataques informáticos.


Según un ránking privado difundido esta semana, las botnets son el código malicioso con mayor presencia.

De acuerdo al informe de detecciones de agosto generado por la empresa ESET a través del servicio estadístico
ThreatSense.Ne t, la tendencia más destacada durante agosto pasado es el constante crecimiento en las detecciones
de troyanos del tipo bot.

Estos virus son los encargados de generar redes de equipos zombies, es decir, que cada equipo infectado es utilizado
por el creador del código malicioso en forma remota para enviar correo basura ("spam") o cualquier tipo de amenaza
informática.

Los datos de ThreatSense.Ne t son enviados desde más de 10 millones de equipos únicos, que recolectan estadísticas
sobre más de 20 mil distintos tipos y familias de códigos maliciosos activos durante el último mes.

Redes criminales
Cristian Borghello, Technical & Educational Manager de Eset para Latinoamérica, explicó que se envían 100 billones de
mensajes de correo al día, y que el 80% (o más) del correo actual es considerado spam y el 80% (o más) del mismo es
generado por los mismos usuarios que lo reciben.

Un bot (palabra proveniente de robot) es un programa informático cuya función fundamental es realizar tareas,
generalmente repetitivas y automáticas, simulando al ser humano.

Son utilizados por aplicaciones y sistemas tan dispares como pueden ser los canales de chat, automatización de
instalaciones, la enciclopedia virtual Wikipedia, juegos en línea, programas de administración remota y otras aplicaciones.
Dependiendo del contexto de uso, su nombre puede variar (bot, borg, crpg) pero el concepto de realización de tareas
automáticas se mantiene.

Origen de las botnets
Borghello recordó que cuando el negocio del spam y los problemas asociados, como la distribución de malware y phishing,
lograron alcanzar niveles de rentabilidad suficiente para los cyberdelicuent es actuales, los mismos tenían un problema
importante entre manos.

"Los servidores vulnerables secuestrados hasta el momento y aquellos que se descubrían a diario, ya no eran suficientes
para los objetivos de estas personas. El problema entonces, radicaba en lograr la distribución de más correos para llegar
a más usuarios y así maximizar sus ganancias. La solución llegó de la mano del poder de cómputo distribuido", señaló.

¿Cómo aprovechar el equipo del usuario para que él mismo "done" su sistema con fines delictivos? La solución es instalar
un cliente en el equipo del usuario para que funcione de nexo con el malhechor.

La forma de instalar estos programas clientes es crear troyanos/gusanos que infecten al usuario, haciendo que su
equipo interactúe en la red que se forma y sin que el usuario se entere de lo sucedido. Así, el equipo infectado se acaba
de convertir en un zombi o robot haciendo cosas mecánicamente como si estuviera privado de voluntad, dijo el
especialista.

El conjunto de equipos (usuarios) infectados trabajando en red recibe el nombre de botnet.

OberaOnline :: Actualidad con mirada Obereña
http://oberaonline.com.ar/portal Potenciado por Joomla! Generado: 29 October, 2007, 09:19
Aquí, un gráfico disponible en la Wikipedia que explica en forma concisa el funcionamiento descrito:



1. El operador de la botnet manda virus/gusanos/etc a los usuarios.
2. Las PCs entran en el IRC o se usa otro medio de comunicación.
3. El spammer le compra acceso al operador de la Botnet.
4. El spammer manda instrucciones vía un servidor de IRC u otro canal a las PC infectadas.
5. Causando que éstos envíen spam al los servidores de correo.
Funcionamiento
El primer objetivo es distribuir el malware suficiente para lograr la mayor cantidad de equipos infectados con el troyano -
cliente que conecta a los usuarios con el/los botmaster/s responsable/s de la botnet-.

Esta distribución por supuesto se realiza mediante mensajes masivos por los cuales muchos usuarios son engañados.
Títulos como "la muerte de Fidel", "muertos en una tormenta que arrasa Europa", "Saddam Hussein vive" llaman la
atención como para que miles de equipos sean infectados y comiencen a servir de base para nuevas olas de ataques.

Una vez que la red ha sido convenientemen te armada (con 10 o miles de equipos), el botmaster (responsable) puede
decidir con total libertad, remotamente y en cualquier parte del mundo qué hacer con la misma pudiendo, por ejemplo:



- Enviar spam.

- Realizar ataques de denegación de servicio distribuido.

- Construir servidores para alojar software warez, cracks, seriales, etc.

- Construir servidores web para alojar material pornográfico y pedofílico.

- Construir servidores web para ataques de phishing.

- Redes privadas de intercambio de material ilegal.

- Sniffing de tráfico web para robo de datos confidenciales .

- Distribución e instalación de nuevo malware.

- Abuso de publicidad online como adsense.

- Manipulación de juegos online.



El control de la red, indica Borghello, puede llevarse a cabo de diversas maneras: puede controlarse la red totalmente o
en forma segmentada por canales de IRC, depender de DNS gratuitos que aseguran su movimiento permanente, cifrar
el canal para evitar su rastreo, identificación o intromisiones de otras personas ajenas a la red.

La forma más común de llevar este paso es obtener el control de uno o varios servidores IRC para enviar las ordenes
de los demás nodos de la red. Este servidor denominado Comando y Control (C&C) es el punto más débil de la red,
ya que si el mismo es identificado puede darse de baja, aislando al botmaster de su red.

Para solventar este problema, se han implementado redes P2P que permiten al botmaster cambiar de servidor a gusto,
que el rastreo se dificulta e incluso, si la red es descubierta, la misma no podrá ser destruida en su totalidad por la alta
redundancia de nodos. Estas redes aún se encuentran en un estadío de estudio y perfeccionamie nto, por lo cual aún
no son masivamente utilizadas, pero que sin duda marcan el futuro de las botnets.

Alquilado de redes
OberaOnline :: Actualidad con mirada Obereña
http://oberaonline.com.ar/portal Potenciado por Joomla! Generado: 29 October, 2007, 09:19
Una vez que la red está perfectamente construida y controlada, señaló el especialista, sólo basta alquilarla o venderla al
mejor postor. La persona que adquiera el "servicio" podrá utilizar la red para las actividades que desee y que ya se
enumeraron.

A modo de ejemplo, un spammer podrá alquilar la red para enviar sus correos, una organización podría realizar
publicidad en forma masiva, una empresa podría atacar a su competidor y sacar sus servicios web del aire, un pedófilo
podría distribuir su material anónimamente...

Toda la red de delincuentes involucrados se beneficia de esta red:



- El creador de malware vende su "producto/servicio" al creador de la botnet.

- El botmaster alquila/vende la red.

- El spammer distribuye más correo con publicidad.

- Las empresas venden los productos publicitados.

- Cualquiera de ellos distribuye más malware infectando más equipos y retroalimentan do el sistema



Ranking
Si bien la detección de los troyanos cuyo objetivo es la creación de botnets ocupa un amplio porcentaje del total, aparecen
otros códigos maliciosos en el ranking de Eset:





- El Win32/Obfuscated, el malware que lidera el ranking con el 7,58 por ciento del total de detecciones.

- En la segunda posición aparece el Win32/Agent con el 3,40 por ciento de las detecciones. Este malware es un troyano
utilizado para crear botnets que también puede presentarse, en algunos casos, con propiedades de backdoor y
keylogger. La distribución de esta amenaza se desarrolla, principalmente, mediante mensajes de correo electrónico
enviados masivamente, tales como el spam.

- En la tercera posición, y luego de encabezar el ranking durante un semestre, se ubica el
Win32/TrojanDownloader.Ani.Gen con el 2,90 por ciento del total. Esta amenaza aprovecha una vulnerabilidad (ya
corregida por Microsoft) en los archivos .ANI (aquellos que brindan la posibilidad de contar con cursores e íconos
animados en Windows) para descargar otros códigos maliciosos como troyanos, gusanos o ladrones de contraseñas.

- En el cuarto lugar y con el 2,33 por ciento de las detecciones, aparece el Win32/Agent.ARK, una variante de la familia
Agent cuyo objetivo también es la creación de botnets, y se ha distribuido a través del Spam.

- El Win32/Adware.Virtumonde se mantiene en la quinta posición con el 2,20 por ciento del total de detecciones. Este
malware es un adware utilizado para enviar propaganda de distintos productos a los usuarios infectados.

- En el sexto lugar se mantiene el Win32/Adware.Ezula con el 1,99 por ciento de las detecciones. Esta amenaza es un
adware con capacidades de troyano, ya que descarga y ejecuta, sin el consentimiento del usuario, otros malware en el
equipo infectado.

- El INF/Autorun desciende a la séptima posición con el 1,88 por ciento del total, el cual es una detección genérica de
ESET NOD32 para entradas maliciosas en archivos Autorun.inf. Este tipo de archivos es utilizado para ejecutar y
proponer acciones automáticamente cuando un medio externo como un CD, un DVD o un dispositivo USB, es leído por
el equipo informático.

- En los últimos lugares se encuentran códigos maliciosos muy variados, como el Win32/RJump.A, el tradicional
Win32/Agent.AB y el Win32/Pacex.Gen; sumando más del cinco por ciento del total.



Prevención
La gran diversidad de códigos maliciosos que aparecen este mes da cuenta de las múltiples variantes en las técnicas
OberaOnline :: Actualidad con mirada Obereña
http://oberaonline.com.ar/portal Potenciado por Joomla! Generado: 29 October, 2007, 09:19
utilizadas por los creadores de malware. Si bien en agosto se mantiene la tendencia hacia la explotación y utilización de la
ingeniería social como principal técnica de propagación, la presencia en el ranking de troyanos bot con tan altos niveles
de detección, sreafirma una clara tendencia ya evidenciada hacia el uso de los recursos de equipos infectados trabajando
en redes zombies para ampliar el número de infectados en pos de fines maliciosos y con el objetivo de estafar a los
usuarios.

Debido a esto, es de vital importancia que el usuario se capacite y utilice software antivirus y de seguridad con
capacidades de protección proactiva. (Infobae)


Para ver este enlace Registrate o Inicia Sesion

http://oberaonline.com.ar/portal/index2.php?option=com_content&do_pdf=1&id=6661

[Polk22]

MMMmmm que interesante, siempre quise tener una bot net pero apesar que lei tu y otros manuales nunca pude ¬¬    :  :  :     

[RaKi0N]

MMMmmm que interesante, siempre quise tener una bot net pero apesar que lei tu y otros manuales nunca pude ¬¬    :  :  :     

Pues por que no lees bien xD

[Polk22]

Mmm creo que primero deveria aprender a leer, Xdd

  :-[

[-Plaga-]

Que bueno, mas compatriotas con botnet's jejejeje. El tuto de RaKi0N estaba mas que explicado, era sencillisimo de entender, no se porque no entendiste. xD

[ÄìmBòt]

si la verdad , qe personalmente en este año TODO EL AÑO con Ddos,, :S estan a full con los bot pero a full,, che aflojen un toke por favor 

[WaesWaes]

si mal no recuerdo la botnet mas grande se llama Team USA con mas o menos 80.000 máquinas

y en segundo lugar Peruvian Power de unos tipos argentinos con 75.000 maquina aproximadament e

cuantos bots!!!

[RaKi0N]

Ya me gustaría a mi tener 80.000 xDDDD

Lo malo es... ¿Dónde los metes? para que la quieres tan grande si serás pillado xD