19 feb 2010

FAQ: la botnet Kneber revelada

El proveedor de seguridad NetWitness recientemente tuvo acceso a los registros de un servidor de comando-y-control de una red zombie (botnet) que denominaron Kneber, que ha infectado al menos a 75.000 computadoras en 2.500 empresas y agencis de gobierno en todo el mundo. Aquí hay algunas respuestas a preguntas frecuentemente realizadas sobre la botnet.

¿Exactamente, qué es la botnet Kneber?
Es una botnet descubierta el 26 de enero de 2010 por NetWitness que compromete 74.000 computadoras mediante el Troyano ZeuS y que recoge los datos de ingreso y contraseña de los mismos. NetWitness anunció su descubrimiento el jueves.
¿De donde proviene su nombre?
El nombre proviene de quien registró el dominio originalmente usado para reunir varios componentes de la botnet -- [email protected].

¿Qué tan antigua es?
La primera actividad registrada es del 25 de marzo de 2009.

¿Ahora está fuera de servicio?
No. Después que un servidor comando-y-control fuera rastreado hasta Alemania, su URL ha cambiado, y está funcionando tal como lo hacía cuando fue descubierta. La información recogida del servidor se ha entregado a las agencias de aplicación de la ley y se notificó a las principales compañías con empleados cuyas computadoras son zombies parte de la red.

¿Qué daño puede hacer?
Los individuos cuya información personal fue minada podrían sufrir pérdidas financieras si los criminales usan la información para transferir fondos a sus propias cuentas.

¿Exactamente, qué es el Troyano ZeuS?
ZeuS, también llamado Zbot, es una herramienta de ciber-crimen muy efectiva que es actualizada rutinariamente, haciéndose más sofisticada y más sigilosa (poco detectable). Puede presentar un perfil diferente en cada computadora que infecta, haciendo difícil que pueda ser atrapado usando firmas.

¿Para qué lo usan los ciber-criminales?
Usualmente es usado para conseguir credenciales de ingreso (usuario y contraseña), y para inyectar sus propios campos en páginas web buscando información más detallada sobre la identidad del usuario. Pero tambien puede robar cualquier información de la computadora, puede habilitar el control remoto de las máquinas comprometidas y puede descargar otros malware. También sube periodicamente lo que recoge a los servidores de comando-y-control.

¿Qué tan peligroso es?
Está calificado como el tipo de botnet en operaciones más peligroso por la firma de seguridad Damballa, y ZeuS Tracker ha identificado 1.313 servidores de comando-y-control ZeuS. Una botnet ZeuS fue usada una vez para robar registros de personas que buscaban trabajo mediante Monster.com.

¿Por qué está hace tanto tiempo?
El creador del bot está actualizándolo constantemente para que sea menos detectable y más flexible. Esta cifrado y adopta características de rootkit para ocultarse en las máquinas infectadas. Se vende por alrededor de u$s 4.000 por copia, y hay varias ciber-bandas criminales que lo usan para crear botnets que usan para sus actividades ilícitas.

¿Hay alguna esperanza en poder detenerlo?
La competencia puede ayudar. Un troyano llamado SpyEye hace casi lo mismo que ZeuS y viene con un desinstalador de ZeuS, de modo que si cae en una máquina que ya está enrolada en una red ZeuS, patea fuera a ZeuS y reclama la máquina para si. Por supuesto, la computadora sigue siendo un zombie, sólo que con un comandante distinto.

Traducción: Raúl Batista - Segu-Info
Autor: Tim Greene
Fuente: Network World

Suscríbete a nuestro Boletín

2 comentarios:

  1. como se si mi ordenador esta infectado...es decir como seria el comportamiento de un ordenador infectado?...gracias!!!!!!!!

    ResponderBorrar
  2. y que puedo hacer para eliminarlo!!!!!!!!

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!