• Tweet

Los investigadores esperan obtener una mejor comprensión de las botnets después de inspeccionar una parte de Pushdo, una de las cinco más distribuidas y causante de hackear computadoras a través del envío de spam en el mundo.

Thorsen Holz, un asistente de profesor de ciencias de la computación en la Universidad de Ruhr, Bochum, Alemania, dijo que su grupo está trabajando en un documento académico centrado en métodos para averiguar qué tipo de software malicioso se propaga en una computadora que envió un determinado spam.

Se observaron varias redes importantes de bots de spam, incluyendo Mega-D, Lethic, Rustock, y también Pushdo y Cutwail, dos tipos de malware que en ocasiones aparecen trabajando juntos como parte de la misma botnet.

Holz dijo que también encontraron que Pushdo tenía una característica especial en la que casi la mitad de sus servidores de comando y control estaban concentrados dentro de una misma empresa de alojamiento. Las botnets usan servidores de comando y control para dar instrucciones a la PC infectada, tales como: descargar plantillas de spam y enviar el correo no deseado a direcciones electrónicas.

Cerca de 15, de los 30 servidores de Pushdo se encontraban con el mismo proveedor de alojamiento, el cual ahora ha puesto fuera de línea aquellos servidores y ha compartido los datos contenidos en ellos con Holz y su equipo.

Su análisis está todavía en desarrollo, pero han descubierto 78 Gb de texto plano de direcciones de correo electrónico, y que hasta el 40% de las computadoras infectadas eran de la India, un hallazgo sorprendente, dijo Holz.

Otros datos en estos servidores deberían arrojar mayor información sobre cómo funciona Pushdo. “Vamos a analizar todos los datos de registro que poseemos, porque creo que pueden proporcionar una nueva visión en conjunto de una nueva operación del moderno spam”, declaró Holz.

De los ocho proveedores de alojamiento que tienen los servidores de comando y control de Pushdo, seis fueron tomados para cerrar a Pushdo. Sin embargo, dos de estos proveedores con sede en China no respondieron a las solicitudes de correo electrónico para apagar Pushdo, e incluso no reconocieron la denuncia, apuntó Holz. Aunque el volumen de spam enviado por Pushdo ha disminuido, es probable que sus operadores sean capaces de reactivarlo otra vez.

Pero Holz y su equipo saben ahora qué computadoras están infectadas con Pushdo. Están en el proceso de contactar a los Proveedores de Servicio de Internet (ISPs) para contactar a estas computadoras a través de la Web. Entonces los ISPs podrán notificar a sus clientes que sus equipos están infectados y seguirán las recomendaciones para limpiarlos, señaló Holz.

Aunque es probable que operadores de Pushdo sean capaz de utilizar los servidores restantes que aún están en línea para la reconstitución de la botnet, "si podemos notificar a las víctimas de los equipos en peligro y limpiarlas, esto todavía tiene un impacto a largo plazo", dijo Holz.

Identificar qué equipos están infectados y luego remediarlas es visto como crucial para la lucha contra las botnets. En Alemania, el gobierno ha puesto en marcha una iniciativa que involucra la colaboración de ocho de los principales ISP para enviar correos electrónicos a sus clientes notificándoles que sus máquinas pueden estar infectadas con el código de botnet, refirió Holz.

Holz colabora también como analista senior de amenazas en LastLine, una firma de seguridad iniciada por académicos del Instituto Eurocom en Francia, de las Universidades de California y Santa Bárbara, entre otros investigadores.

La compañía tiene diversos productos destinados a analizar malware y localizar infecciones de botnet. LastLine mantiene una "enorme" base de datos sobre el contenido malicioso en Internet y un sistema que puede, por ejemplo, identificar infecciones Pushdo en los servidores y enviar automáticamente notificaciones de abuso a los proveedores de alojamiento.

También produce un feed de datos que pueden ser integrados en Cisco a equipos de redes y se utilizan para bloquear el acceso a los servidores infectados, puntualizó Holz. Otra herramienta que los proveedores de alojamiento puede utilizar para identificar las máquinas infectadas del cliente y automáticamente enviar notificaciones "para que puedan mantener su red limpia", indicó Holz.

LastLine compite con otras empresas de seguridad especializadas en seguridad Web y botnets, como Websense y Dambala. Holz dijo que LastLine competirá con sus sólidas credenciales académicas y de investigación.

"Creo que podemos innovar con mayor rapidez", finalizó Holz.