Cibercriminales invierten 250.000 dólares en expansión de red zombi

Según Kaspersky, el análisis de los datos obtenidos muestra que tan sólo en los tres primeros meses de 2011, TDL-4 ayudó a infectar más de 4,5 millones de PC en todo el mundo.

Diario Ti: Programas de software malicioso como TDSS (otro acrónimo para referirse a los TDL), tal y como detectaron los productos de Kaspersky Lab, son las herramientas más avanzadas y perfeccionadas de las que, en la actualidad, disponen los cibercriminales.

Gracias a su potente componente rootkit y a otras capacidades TDL, permite a su autor crear una red botnet de millones de ordenadores personales. Los expertos de Kaspersky Lab investigaron el comportamiento de una versión del programa malicioso TDL-4, evaluando sus nuevas capacidades, que incluyen el uso de redes peer-to-peer para controlar ordenadores infectados, y funciones para abrir un servidor proxy.

El análisis del TDL-4 realizado por los expertos de Kaspersky Lab Sergey Golovanov e Igor Sumenkov les ha permitido determinar las nuevas capacidades del programa y estimar el número de PCs infectados. Los cambios del TDL-4 se han centrado en desarrollar un botnet más difícil de detectar por la competencia y empresas de antivirus, que, en teoría, ofrezca acceso a las máquinas infectadas aun cuando se hayan cerrado los centros de comando.

En particular, esta versión de TDL-4 puede borrar cerca de 20 de los productos más populares de detección en la máquina infectada, algunos tan populares como Gbot, ZeuS y Optima, entre otros. Además, el mismo TDSS instala cerca de 30 utilidades en un PC, incluyendo programas antivirus falsos, y sistemas tanto para incrementar el tráfico publicitario como para distribuir spam. Una de las nuevas características más importantes de TDL-4 es la posibilidad de infectar sistemas operativos de 64-bits. Por primera vez, para controlar el botnet – aparte de los servidores de comando – se recurre a la red pública de intercambio de archivos Kad. Otra función nueva de TDL-4 es la posibilidad de abrir un servidor proxy. Los cibercriminales ofrecen servicios de acceso anónimo a través de ordenadores infectados, cobrando cerca de 100 dólares al mes por el servicio.

Al igual que versiones anteriores, TDL-4 se distribuye principalmente mediante los llamados programas partner. Los desarrolladores del malware no expanden la red de ordenadores infectados personalmente, sino que pagan a terceros para que lo hagan. En función de los términos y condiciones particulares, los partners reciben entre 20 y 200 USD por la instalación de 1000 programas maliciosos.

A pesar de las medidas de protección existentes en los servidores de control, los expertos de Kaspersky Lab pudieron obtener datos generales sobre el número de ordenadores infectados. EL análisis de los datos obtenidos muestra que tan sólo en los tres primeros meses de 2011, TDL-4 ayudó a infectar más de 4,5 millones de ordenadores en todo el mundo, de los cuales un alto porcentaje está en EEUU. Teniendo en cuenta los precios mencionados anteriormente para la distribución de malware, es posible estimar que el gasto aproximado de los cibercriminales para la creación del botnet de usuarios de los Estados Unidos: alrededor de 250.000 dólares.

“No nos cabe ninguna duda de que el desarrollo de TDSS continuará,” comentaron los responsables de la investigación. “El malware y los botnets de conexión de ordenadores infectados seguirán siendo una fuente desagradable de problemas para los usuarios finales y los especialistas en seguridad informática. Reelaboraciones activase del código TDL-4, rootkits para sistemas de 64-bits, el lanzamiento de un nuevo sistema operativo, el uso de exploits del arsenal Stuxnet, el uso de tecnologías p2p y “antivirus” propietarios, entre muchos otros recursos, convierten al programa malicioso TDSS en uno de los más avanzados tecnológicamente y más difíciles de analizar.”

 Fuente