Como saber si tu ordenador es un ZOMBIE

El conocido laboratorio Kaskersky Lab ha publicado (en ingles) un articulo para saber si nuestros ordenadores pertenecen a la red Zombie de mas de 1.000.000 ordenadores que estan infectados sin saberlo, siguiendo el manual podemos desinfectar nuestro sistema:

Artículo Español

Artículo Ingles

Instrucciones para la localización y eliminación de software malintencionado de Sombra bot.

Instructions prepared by: Vitaly Kamluk, Kaspersky Lab Instrucciones preparado por: Vitaly Kamluk, Kaspersky Lab
Date: 06.08.2008 Fecha: 06.08.2008
MD5 of analyzed sample: 9e2ef49e84bc16c95b8fe21f4c0fe41e MD5 de la muestra analizada: 9e2ef49e84bc16c95b8fe21f4c0fe41e

Locating malware (with security software) Acceso a los programas maliciosos (con software de seguridad)

Kaspersky Anti-Virus has been able to detect malware which supports the Shadow botnet since 30th of January 2008. Kaspersky Anti-Virus ha sido capaz de detectar malware que apoya la Sombra botnet desde el 30 de enero de 2008. Detection names may vary from version to version. Detección de nombres pueden variar de versión a versión. The malware is detected under the following names: El programa malicioso se detecta con los siguientes nombres:

  • Backdoor.Win32.IRCBot.bit
  • Backdoor.Win32.IRCBot.biy
  • Backdoor.Win32.IRCBot.bjd
  • Backdoor.Win32.IRCBot.bjh
  • Backdoor.Win32.IRCBot.cja
  • Backdoor.Win32.IRCBot.cjj
  • Backdoor.Win32.IRCBot.ckq
  • Backdoor.Win32.IRCBot.cow
  • Backdoor.Win32.IRCBot.czt
  • Backdoor.Win32.IRCBot.ekz
  • Rootkit.Win32.Agent.aet
  • Trojan-Downloader.Win32.Injecter.pj
  • Trojan.Win32.DNSChanger.azo
  • Trojan.Win32.DNSChanger.bao
  • Trojan.Win32.DNSChanger.bck
  • Trojan.Win32.DNSChanger.bfo
  • Trojan.Win32.DNSChanger.bjh
  • Trojan.Win32.DNSChanger.bji
  • Trojan.Win32.DNSChanger.bjj
  • Trojan.Win32.DNSChanger.bmj
  • Trojan.Win32.DNSChanger.bnw
  • Trojan.Win32.DNSChanger.bqk
  • Trojan.Win32.DNSChanger.bsm
  • Trojan.Win32.DNSChanger.buu
  • Trojan.Win32.DNSChanger.bwi
  • Trojan.Win32.DNSChanger.bxd
  • Trojan.Win32.DNSChanger.bxe
  • Trojan.Win32.DNSChanger.bxv
  • Trojan.Win32.DNSChanger.cap
  • Trojan.Win32.DNSChanger.ccg
  • Trojan.Win32.DNSChanger.cei
  • Trojan.Win32.DNSChanger.cem
  • Trojan.Win32.DNSChanger.eag
  • Trojan.Win32.DNSChanger.gvb
  • Trojan.Win32.Restarter.e
  • Trojan.Win32.Restarter.f
  • Trojan.Win32.Restarter.g
  • Trojan.Win32.Restarter.h

The current sample was detected on 6th August 2008 as Trojan.Win32.DNSChanger.gvb La actual muestra se detectó el 6 de Agosto 2008 como Trojan.Win32.DNSChanger.gvb

Locating malware (manually) Acceso a los programas maliciosos (manualmente)

As the bot doesn’t copy its body to the system, the name of the malicious file can vary. A medida que el robot no copiar su cuerpo al sistema, el nombre del archivo malicioso puede variar. The name of the malicious file depends on the installer used to infect the system with the bot. El nombre del fichero dañino depende de que el instalador utilizado para infectar el sistema con el bot. However, it is possible to detect the presence of the bot by checking the system registry. Sin embargo, es posible detectar la presencia del bot de control el registro del sistema.

Users can check the system registry by running regedit.exe and checking the following registry value: Los usuarios pueden comprobar el registro del sistema ejecutando regedit.exe y comprobar la siguiente valor del registro:

HKEY_CLASSES_ROOT\.htc\Content Type HKEY_CLASSES_ROOT \. HTC \ Tipo de Contenido

System administrators of large networks can do this remotely using the reg.exe command as shown below: Los administradores de sistemas de grandes redes puede hacer esto forma remota utilizando el comando reg.exe como se indica a continuación:

The default system registry value (checked on Windows XP Pro SP2) for HKEY_CLASSES_ROOT\.htc\Content Type is “text/x-component”. El sistema por defecto el valor de registro (comprobado en Windows XP Pro SP2) para HKEY_CLASSES_ROOT \. HTC \ tipo de contenido es “text / x-componente”. If there is a different value such as “{space}” in the registry, this may mean the machine is infected with Shadow bot malware. Si hay un valor diferente, como “espacio ()” en el registro, esto puede significar que la máquina está infectada con malware Shadow bot.

Continuar leyendo “Como saber si tu ordenador es un ZOMBIE”

España, los novenos del mundo en número de sistemas zombi

Via HispaSec

Según G Data, España ocupa el noveno puesto mundial en número de sistemas zombi, casi en empate técnico con Estados Unidos y Rusia. Lo que además, quiere decir que somos grandes productores de spam, una de las funciones más importantes de los sistemas secuestrados. Aun así, se siguen ofreciendo los mismos consejos de hace años para paliar la plaga.

El informe está realizado por G Data según la geolocalización de las direcciones IP. El número de zombis utilizados cada día ronda una media de 350.000, con momentos en los que se utilizan hasta 700.000 ordenadores para los distintos fines de estas botnets. De los diez países más infectados, la mayoría pertenece a Europa. Según el informe, es el continente que goza de líneas de conexión más rápidas y mayor número de ordenadores.

Los países con más ordenadores zombi se reparten así:

  • Alemania: 10 %
  • Italia: 10 %
  • Brasil: 8 %
  • Turquía: 8 %
  • China: 6 %
  • Polonia: 6 %
  • Estados Unidos de América: 5 %
  • Rusia: 5 %
  • España: 5 %
  • India: 4 %

Continuar leyendo “España, los novenos del mundo en número de sistemas zombi”

Security Adiction

Via Meneame he visto este interesante post con una entrevista a un operador de redes zombis, la verdad es que se aprende bastante leiendo lo que contesta este admin, ademas la pagina en si de SecurityAdiction tiene otros articulos que merecen la pena leer.

Gusano Storm Worm

Gigantesca red zombi está lista para atacar

La red zombi más grande del mundo está compuesta por 1,7 millones de computadoras, que esperan un comando de activación para iniciar el ataque en línea más grande de la historia.

En algún lugar del mundo hay una persona con su dedo puesto sobre el botón rojo que activará el mayor ataque DDos (Distributed Denial of Service) visto hasta ahora. Normalmente, el primer paso para realizar un ataque de este tipo consiste en asumir el control de un gran número de computadoras, que son convertidas en “zombis” sin voluntad, o “bots”, que pueden ser controlados a distancia por intrusos. Si todas las computadoras son activadas simultáneamente para bombardear un sitio web o servidor simultáneamente, el acceso al sitio es bloqueado totalmente. En el peor de los casos, un ataque de tales características puede afectar a un país completo, como ocurrió en un ataque realizado contra Estonia hace algunos meses (ver artículo de referencia).

Normalmente, una red zombi incluye 10-20.000 computadoras infectadas, que pueden ser controladas remotamente y ser usadas, por ejemplo, para extorsionar a propietarios de sitios web.

Sin embargo, la red Storm Worm parece ser diferente. El gusano ha tenido una enorme propagación durante el último semestre, parcialmente como archivo adjunto a correo electrónico y parcialmente induciendo a usuarios descuidados a hacer en clic en enlaces hacia sitios malignos. Storm Worm se propaga, por ejemplo, mediante correo electrónico con el texto “Your system is infected, please click on this link” (su sistema está infectado, por favor haga clic en este enlace).

Solo durante las últimas dos semanas de julio se han registrado más de 415 millones de correo spam con el gusano Storm Worm. Si el sistema es infectado se instala en este un rootkit que es muy difícil de detectar y eliminar. El rootkit escucha en Internet, a la espera de un comando que lo haga entrar en acción.

Sin embargo, lo curioso con Storm Worm es que el comando en cuestión no ha sido enviado. Según Future Zone, actualmente habría 1,7 millones de PC infectados con Storm Worm en todo el planeta, esperando el comando que les activará como zombies. Según la fuente, una pequeña parte del “ejército de zombis” está siendo usado para propagar el gusano, en tanto que otra parte, igual de reducida, realiza ataques de prueba contra sitios anti-spam. Todo indica que se trata de ensayos previos a un inminente gran ataque.

Por ahora se desconoce quién controla la gigantesca red de zombis, ni cual es su objetivo. Sin embargo, si las 1,7 millones de computadoras son activadas para un ataque simultáneo, se trataría del mayor acto de sabotaje cibernético visto hasta ahora.

Fuente: DiarioTI