11 jun 2014

Verifica si formas parte de la botnet #GameOver Zeus (GOZ)

Hace unos días leía un comunicado publicado por el FBI donde anunciaban la interrupción de una botnet P2P llamada GameOver y basada en el famoso troyano bancario Zeus. Hoy la empresa F-Secure ha dado a conocer una sencilla herramienta que no requiere de ninguna instalación y que permite verificar rápidamente si nuestra computadora se encuentra infectada con este malware.
Las botnets P2P son conocidas desde hace muchos años y presentan varias ventajas frente a las típicas botnets donde hay un centro de control desde el cual se le envían órdenes a todas las computadoras infectadas. Una de ellas es que no tienen un C&C (command and control) único que las controle a todas y por ello son más difíciles de desmantelar.

Gameover Zeus (GOZ) buscaba hacer dinero instalando otros malwares y robando datos bancarios. Y una de las acciones que realizaba era infectar los navegadores para modificar los sitios web localmente agregando nuevos campos en los formularios. Algo típico de los troyanos bancarios.

Esto justamente es lo que aprovechó el equipo de F-Secure para crear la herramienta, lo que hacen es cargar mediante un iframe una página que ellos controlan para que GameOver -si estuviera presente en el equipo- piense que se está entrando a una URL legítima de la cual puede robar información e inyecte códigos extras para modificarla.

La herramienta verifica si estas modificaciones se hacen o no y así determina si el equipo se encuentra infectado con GameOver. Es una idea muy sencilla que funciona con las versiones del malware conocidas hasta ahora y que sirve para verificar rápidamente si nuestro equipo forma parte de esta botnet P2P.

Fuente: Spamloco

Suscríbete a nuestro Boletín

3 comentarios:

  1. Buen articulo como todos en esta web.
    Se puede saber que pasa con las botnets y los sistemas GNU/Linux, y en tal caso como escanearlos?.
    Gracias!.

    ResponderBorrar
  2. Anonimo,

    En realidad no cambiar nada segun el SO q tengas. Las medidas de seguridad son las mismas, usar un AV y un FW y en cualquier caso detectaras los archivos del malware o de las conexiones entrantes/salientes del bot.

    Cristian

    ResponderBorrar
    Respuestas
    1. Gracias por la respuesta Cristian!.
      Muy buenos tus aportes :)

      Borrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!