Te hacemos fácil la tecnología

4000000 botnet P2P Alureon fuerte “prácticamente indestructible”

Los investigadores de los Laboratorios Kaspersky análisis de los 4,5 millones de efectivos Alureon botnet (también conocido como TDL y TDSS) han calificado como “prácticamente indestructible”. Las fuerzas del orden han tenido algún éxito recientemente en interrumpir y derribar botnets, con Coreflood , Rustock y Waledac todo éxito interrumpido. El diseño del rootkit TDL subyacente se va a hacer una acción de represalia similares mucho más difícil de sacar de.

TDL-4 ha sido diseñado específicamente para evitar la destrucción, ya sea por aplicación de la ley, el software anti-virus, o redes de bots de la competencia. Durante la instalación, TDL-4 elimina rootkits otros, un acto que priva a los operadores de la competencia de los ingresos y reduce la posibilidad de que el usuario se dará cuenta de que su sistema se comporta de forma extraña e intentar repararlo. El objetivo de un rootkit es no ser detectados, y eso incluye a darse cuenta de que un equipo simplemente no se comporta correctamente.

Para que este escondite más eficaz, el rootkit infecta el sistema de registro de inicio maestro (MBR), que forma parte de un disco duro que contiene el código crítico para arrancar el sistema operativo. Infectar el MBR significa que el código de rootkit se carga incluso antes de que el sistema operativo (por no hablar de software anti-virus) puede funcionar, es otro paso para hacer que el rootkit más difícil de detectar y eliminar. El software también encripta todo el tráfico de red para prevenir el espionaje y el secuestro por otros propietarios de las botnets.

Intercambio de archivos spam

La característica más significativa, sin embargo, es la inclusión de la tecnología peer-to-peer en la última versión del código de la botnet. El rootkit se utiliza el Kad peer-to-peer, intercambio de archivos eMule utilizado por el software, para la comunicación entre los nodos. Usando Kad, el botnet crea su propia red de ordenadores infectados, lo que permite que las máquinas se comuniquen entre sí sin depender de un servidor central.

Esto tiene un propósito: para que sea mucho más difícil de tomar por la red. Anterior derribos botnet éxito ha dependido de las fuerzas del orden hacerse cargo o hacer inaccesibles los centralizada de comando y control de los servidores utilizados para difundir instrucciones para la red. Estos servidores cuentan la botnet que de spam para enviar, que los sitios de destino con un ataque de denegación de servicio, y así sucesivamente. Por lo general, son relativamente pocos en número-una docena o dos-y por lo tanto representan una importante debilidad en la infraestructura de red de bots. A pesar de TDL-4 utiliza más el mando y el control de servidores que es típico-alrededor de sesenta en lo que va de año es la red peer-to-peer que realmente hace que sea difícil de combatir. Con esta red, el dueño de la botnet puede mantener el control de la red, incluso si las máquinas infectadas no pueden llegar a los servidores.

Los rootkits se han utilizado peer-to-peer antes, pero el uso de una red tan grande, el público es muy inusual. Se da la botnet un sistema de comunicación extremadamente robusto que será casi imposible de alterar o dominar, y las mismas técnicas que han sido tan poderosos contra los botnets otros puede ser impotente contra TDL-4.

El programa malicioso se propaga principalmente a través de intercambio de archivos y sitios web de pornografía. A principios de este mes otro método de distribución se encuentran: el malware crea un servidor DHCP que a su vez hace uso de máquinas de un servidor DNS malicioso. Este servidor DNS se redirigir a los usuarios de la red de páginas web que contienen el malware.

Además de el spam común y la negación de las tareas de servicio que los botnets se utilizan habitualmente para los operadores de la botnet incluyen un componente de servidor proxy interesante. Por alrededor de $ 100 al mes, usted puede utilizar un PC en el botnet como un proxy para el tráfico de Internet, con lo que tiene anonimizar el tráfico de Internet. Incluso tienen un plugin de Firefox para que sea fácil de usar el sistema de puja.

Aplicación de la ley se podrá acabar con la botnet? No es seguro que va a ser fácil. Si lo hace, podría requerir aprovechando propio código de la botnet, los investigadores ya han descubierto servidores MySQL que realizan un seguimiento de los sistemas dentro de la botnet mediante el envío de comandos especialmente diseñada para las máquinas infectadas. Este enfoque puede proporcionar una clave para desmantelar toda la red.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s