Botnet P2P logra escapar de plan para deshacerse de ella

Botnet P2P logra escapar de plan para deshacerse de ella

Symantec intentó destruir una botnet aprovechando una vulnerabilidad en el malware.

Una botnet muy resistente conocida como ZeroAccess logró sobrevivir a un cierre definitivo planeado por los expertos de Symantec. Se estima que esta red es capaz de generar USD$700.000 anuales con publicidad fraudulenta, generando unos 1.000 clics falsos al día por máquina en unos 1,9 millones de equipos que controlaba.

ZeroAccess también utilizó el poder computacional de las máquinas infectadas para minar Bitcoins. Symantec intentó tomar control sobre el mecanismo del centro de comando y control, a través del cual los dueños del botnet envían y reciben datos de los bots individuales.

Sin embargo, ZeroAccess usa una arquitectura P2P diseñada para resistir este tipo de intentos de destrucción. A diferencia de otras botnets que usan un número relativamente pequeño de servidores para comunicarse con los equipos infectados, esta red intercambiaba datos con cientos de pares, que a su vez intercambiaban datos con cientos de pares. La organización descentralizada significa que no es sencillo “cortarle la cabeza” a ZeroAccess al tomar control de las IP o dominios que los bots usan para recibir instrucciones y actualizaciones de software.

Symantec descubrió una falla grave en la forma en que ZeroAccess implementó su actualización vía P2P: Cada bot mantenía una lista de solo 256 pares. Si los investigadores lograban contaminar esa lista de pares, podrían tomar control de toda la red. Una segunda vulnerabilidad permitía enviar comandos a la botnet para insertar sus propias IP en el sistema.

Pero ocurrió que los controladores de ZeroAccess actualizaron su malware para reparar estos problemas, y las nuevas versiones tienen acceso a una lista de 16 millones de pares. Symantec intentó infiltrar la parte de la red que todavía no había sido actualizada, con lo que habrían derribado entre 40% y 45% de la botnet. El resto sigue bajo el comando de los controladores.

El escape de ZeroAccess es desafortunado por la cantidad de recursos que utiliza de usuarios infectados. Si un computador promedio estuvo encendido 24 horas al día, la operación de minar bitcoins de ZeroAccess puede haber ocupado unos 3,45 millones de kilowatt / hora al día. Suficiente para energizar unas 111.000 casas diariamente. Por razones que se desconocen, la botnet dejó de minar bitcoins hace algunos meses.

Sin embargo, la red sigue utilizando ancho de banda para hacer clic en avisos.

Link: ArsTechnica