Botnet controlada desde grupos de noticias

Publicado el 14-9-2009 a las 15:30 por Franco Catrin

Symantec anuncia que ha descubierto la primera botnet de troyanos controlada desde grupos de noticias o newsgroups. Antes ya se habían detectado troyanos distribuyéndose por grupos de noticias, pero es la primera vez que se ve el uso de este medio para controlarlos remotamente.

Para los programadores de troyanos, mantener un mecanismo de control confiable es un aspecto prioritario.  Cuando este mecanismo de control se basa en el uso de medios de comunicación confiables, se hace altamente complejo identificar y luego eliminar esos mecanismos de control.

El mecanismo usado en esta ocasión es bastante simple y efectivo.  El troyano es una DLL para Windows que al activarse, se conecta a Google Groups y accede a un grupo de noticias privado.  En este grupo de noticias se van subiendo instrucciones como si fueran artículos, por lo tanto el troyano las descarga y ejecuta.

De acuerdo a las estadísticas que el troyano registra en el mismo grupo de noticias y producto de la revisión de su código, ha sido posible deducir los motivos del atacante.  Se puede ver que es una implementación de prueba, para comprobar la factibilidad de usar un grupo de noticias como mecanismo de control.  Además el troyano está programado para actuar con gran sigilo, de tal forma que pueda recolectar información de cada computador sin que el usuario detecte nada anormal.

Link: Google Groups Trojan (blog de Symantec)

Compartir Compartir
Publicado por Franco Catrin el 14 de September 2009 en la categoría Software con los tags , , , , . Tiene 38 comentarios.

38 Comentarios

Botnet controlada desde grupos de noticias

Deja tu Comentario ↓

Ver Todos Páginas: [1] 2 Próximos 30 Comentarios →

supreme

DesaprobarAprobar-3supreme dijo el 14-9-2009 a las 15:31:

1

Cáda vez los virii se ponen más ingeniosos :)
El arte del virii me parece apasionante y un reto, por eso el “:)”.

yo

DesaprobarAprobar0yo dijo el 14-9-2009 a las 15:34:

2

me late que el viri verde es el jefe… aunque el morado tiene más cara de malo

Ver Comentario... Showtimus dijo el 14-9-2009 a las 15:35 ...

Don Media+Center

DesaprobarAprobar-16Don Media+Center dijo el 14-9-2009 a las 15:40:

4

No va a faltar quien diga “Con Linux no pasa esto”………

NadaPU

DesaprobarAprobar11NadaPU dijo el 14-9-2009 a las 15:41:

5

@supreme no virus no son los ingeniosos….
Los ingeniosos son los hackers.. que siempre se reinventan

Ya no puedo ver ni pagar la cuenta del gas tranquilo!

owis

DesaprobarAprobar7owis dijo el 14-9-2009 a las 15:42:

6

uff que suerte

El troyano es una DLL para Windows que al activarse, se conecta a Google Groups y accede a un grupo de noticias privado.

DLL para Windows

Mis palabras favoritas para decir que no corro peligro ^^

Fido

DesaprobarAprobar30Fido dijo el 14-9-2009 a las 15:43:

7

@Don Media+Center

de lo que si estoy seguro es que en Windows si pasa xD

NadaPU

DesaprobarAprobar24NadaPU dijo el 14-9-2009 a las 15:43:

8

@Don Media+Center toda la razon pero… es verdad…. ya es hora que windows cambie de forma radical su Kernel para pasar a otra era….

SeGaTo

DesaprobarAprobar30SeGaTo dijo el 14-9-2009 a las 15:44:

9

@Don Media+Center

“Con Linux no pasa esto” .. XD

Franz

DesaprobarAprobar27Franz dijo el 14-9-2009 a las 15:48:

10

@Don media+center
con gnu/linux tampoco =D

Felipe Díaz

DesaprobarAprobar-3Felipe Díaz dijo el 14-9-2009 a las 15:50:

11

ufff, ojalá que estas pruebas que están haciendo los hackers no les resulte, sino, muchos vamos a sonar como guatapique.

LaLo

DesaprobarAprobar3LaLo dijo el 14-9-2009 a las 15:58:

12

Pero si ya se habia descubierto lo mismo atravez de twitter con mesajes codificados en Base64…

Gustavo Morales

DesaprobarAprobar18Gustavo Morales dijo el 14-9-2009 a las 16:13:

13

@Don media+center
Con Mac tampoco!!! XD

Luis

DesaprobarAprobar-6Luis dijo el 14-9-2009 a las 16:28:

14

@@
Bueno, para todos…. En Linux tambien sucede….

Linux webserver botnet pushes malware
http://www.theregister.co.uk/2009/09/12/linux_zombies_push_malware/

Brian

DesaprobarAprobar10Brian dijo el 14-9-2009 a las 16:29:

15

DLL? pfff de esos archivos siempre se han aprovechado los virus y existen desde el primer windows. No sería bueno replantear las cosas a nivel de kernel para evitar esta situación?

Claro de hacerlo quebrarian las empresas de antivirus, todo forma parte de una conspiración

Camilo

DesaprobarAprobar0Camilo dijo el 14-9-2009 a las 16:39:

16

RT: @@
Bueno, para todos…. En Linux tambien sucede….

Linux webserver botnet pushes malware
http://www.theregister.co.uk/2009/09/12/linux_zombies_push_malware/

//
Owned!

TurboMAC

DesaprobarAprobar0TurboMAC dijo el 14-9-2009 a las 16:50:

17

Que brigido!! Hasta donde ha llegado la tecnologia que sirve para hacer daño…

ZAGA

DesaprobarAprobar11ZAGA dijo el 14-9-2009 a las 17:00:

18

@Don Media+Center

“Con Linux no pasa esto”………

-sapodrilo-

DesaprobarAprobar2-sapodrilo- dijo el 14-9-2009 a las 17:28:

19

en que momento perdimos la guerra contra la seguridad…..???

larois

DesaprobarAprobar0larois dijo el 14-9-2009 a las 17:29:

20

esta wea las hacen las mismas empresas de antivirus, para mantenerse con vida…

Franco Catrin

Franco Catrin dijo el 14-9-2009 a las 17:36:

22

@Luis

El titular es engañoso.

Se trata efectivamente de una botnet de servidores Linux, pero en ellos no se encontraron problemas de seguridad y es aqui en donde recordamos uno de los principios claves de la seguridad: Es como una cadena, porque es tan fuerte como su eslabón más débil.

En el artículo que describe originalmente el problema dice:

It just occurred to me that hackers may simple have root passwords from those hacked servers. After all this iframe attack uses stolen FTP passwords to inject hidden iframes into legitimate web sites. So the chances are local computers of the server administrators were infected with spyware that steals FTP credentials, and the admins were dumb enough to use the root account for (S)FTP operations and even dumber to store their root passwords in FTP program settings. Having a database of thousands of stolen FTP credentials, hackers just need to search for entries with username “root“. And if the law of big numbers works, they should be able to find quite a few root credentials

Basicamente (y leyendo el artículo entero) dice que no se encontró evidencia de cómo esos servidores resultaron con otro webserver instalado, y que se usaron passwords de FTP robadas que luego fueron usadas para acceder a los servidores con otros privilegios.

Cómo lograron robar las passwords? tuvieron que usar otros computadores de la red local para instalar un sniffer. Qué sistema operativo tenían esos computadores? No dice, pero si también fueran Linux, entonces no habría necesidad de robar passwords para llegar a los servidores Linux.

Nos podemos imaginar cuál fue el eslabón más debil en esas redes.

Ver Comentario... Mr. X dijo el 14-9-2009 a las 18:02 ...

Ver Comentario... Mr. X dijo el 14-9-2009 a las 18:03 ...

Luis

DesaprobarAprobar-5Luis dijo el 14-9-2009 a las 18:11:

25

@Franco
No veo que el titular sea engañoso… lo que vale es que se descubrio una botnet que funciona en Servidores Web Apache sobre distintos tipos de Linux.

No estamos discutiendo como o porque estas maquinas se infectaron y terminaron siendo parte de esta red.

Lo mismo pasa con el articulo que publicaste… solo se habla de una botnet que puede ser controlada desde newsgroups.. pero no se discute el como las maquinas windows estaban siendo infectadas.

Si estoy de acuerdo contigo que todo es parte de una cadena, pero esto aplica en ambos casos.. ya que no sabemos cual es el eslabon mas debil.

Eso si.. en el articulo original de las botnet en linux, solo se habla de una hipotesis el hecho de que hayan robado las password de ese modo… Tampoco lo tienen claro…. y tambien parece una prueba de concepto para luego implementar algo a mayor escala…

Satanas

DesaprobarAprobar-1Satanas dijo el 14-9-2009 a las 18:46:

26

El lector de MapleWayer es muy estupido, no entiende los articulos con un nivel un poquito mas elevado,

Slds.

LaComay

DesaprobarAprobar0LaComay dijo el 14-9-2009 a las 18:52:

27

@Luis

Retirate con dignidad… Jajaja

LaComay

DesaprobarAprobar1LaComay dijo el 14-9-2009 a las 19:00:

28

@Satanas

No creo que sea el lector de “MapleWayer”,
creo que es solo Luis.

Pepin

DesaprobarAprobar3Pepin dijo el 14-9-2009 a las 19:41:

29

la unica forma de en que windows no suceda es dejando la pc apagada :P

Tomás Alejandro Del Bianco

DesaprobarAprobar1Tomás Alejandro Del Bianco dijo el 14-9-2009 a las 20:50:

30

me encantan las botnets, algun dia programare una y la usare para algo divertido xD

Ver Todos Páginas: [1] 2 Próximos 30 Comentarios →

Deja tu Comentario

XHTML: Puedes usar: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

Previsualizar comentario?