Botnet controlada desde grupos de noticias

Symantec anuncia que ha descubierto la primera botnet de troyanos controlada desde grupos de noticias o newsgroups. Antes ya se habían detectado troyanos distribuyéndose por grupos de noticias, pero es la primera vez que se ve el uso de este medio para controlarlos remotamente.

Para los programadores de troyanos, mantener un mecanismo de control confiable es un aspecto prioritario.  Cuando este mecanismo de control se basa en el uso de medios de comunicación confiables, se hace altamente complejo identificar y luego eliminar esos mecanismos de control.

El mecanismo usado en esta ocasión es bastante simple y efectivo.  El troyano es una DLL para Windows que al activarse, se conecta a Google Groups y accede a un grupo de noticias privado.  En este grupo de noticias se van subiendo instrucciones como si fueran artículos, por lo tanto el troyano las descarga y ejecuta.

De acuerdo a las estadísticas que el troyano registra en el mismo grupo de noticias y producto de la revisión de su código, ha sido posible deducir los motivos del atacante.  Se puede ver que es una implementación de prueba, para comprobar la factibilidad de usar un grupo de noticias como mecanismo de control.  Además el troyano está programado para actuar con gran sigilo, de tal forma que pueda recolectar información de cada computador sin que el usuario detecte nada anormal.

Link: Google Groups Trojan (blog de Symantec)