Un tipo de malware "tecnológicamente más sofisticado" utiliza inteligentes trucos de comunicaciones y de cifrado para evitar ser interrumpido.
Un nuevo tipo de botnet-una red de PCs infectados con malware-se comporta menos como un ejército y más como una red terrorista descentralizada, según los expertos. Puede sobrevivir a los ataques de decapitación, evadir las defensas convencionales, e incluso acabar con la redes criminales de la competencia.La resistencia de la botnet se debe a una pieza súper sofisticada de software malicioso conocida como TDL-4, que en los tres primeros meses de 2011 infectó a más de 4,5 millones de ordenadores en todo el mundo, alrededor de un tercio de ellos en los Estados Unidos.
La aparición del TDL-4 muestra que el negocio de la instalación de códigos maliciosos en los ordenadores está creciendo. Este tipo de código se utiliza para llevar a cabo campañas de spam y diversas formas de robo y fraude, tales como el desvío de contraseñas y otros datos delicados. También ha sido utilizado en una epidemia de estafas de antivirus falsos valorada en mil millones de dólares.
"En última instancia, el TDL-4 es simplemente una herramienta para mantener y proteger una plataforma de fraude en peligro", señala Eric Howes, analista de malware para GFI Software, una empresa de seguridad. "Es parte de la economía negra de servicios del malware, que ha madurado considerablemente en los últimos cinco años y sobre la que realmente es necesario arrojar mucha más luz".
A diferencia de otras botnets, la red TDL-4 no se basa en unos pocos servidores centrales de "comando y control" para transmitir instrucciones y actualizaciones a todos los ordenadores infectados. En vez de eso, los ordenadores infectados con TDL-4 se pasan las instrucciones entre sí utilizando redes peer-to-peer públicas. Esto constituye una "botnet descentralizada y sin servidor", escribió Sergey Golovanov, investigador de malware en la empresa de seguridad Kaspersky Lab, con sede en Moscú, eneste blog en el que se describe la nueva amenaza.
"Los dueños de la TDL están esencialmente tratando de crear una botnet 'indestructible' que esté protegida contra ataques, competidores, y compañías antivirus", escribió Golovanov. Añadió que "es uno de los tipos de malware más sofisticados tecnológicamente, y más complejos de analizar".
La botnet TDL-4 también abre un nuevo camino mediante el uso de un algoritmo de cifrado que oculta las comunicaciones frente a las herramientas de análisis de tráfico. Esta es una respuesta aparente a los esfuerzos de los investigadores por descubrir máquinas infectadas y desactivar botnets mediante el control de sus patrones de comunicación, en lugar de simplemente identificar la presencia de los códigos maliciosos.
En una demostración de la falta de honor entre los escritores de programas maliciosos, el TDL-4 busca y elimina 20 de las formas más comunes de malware de la competencia, por lo que puede mantener todas las máquinas infectadas para sí mismo. "Es interesante mencionar que las características se orientan en general hacia lograr ser perfectamente sigilosos, resistentes, y a deshacerse del malware de la 'competencia'", afirma Costin Raiu, otro investigador de malware de Kaspersky.
Distribuido por criminales freelance llamados afiliados, que reciben entre 20 y 200 dólares por cada 1.000 máquinas infectadas, el TDL-4 se esconde en los sitios de pornografía y algunosservicios de video y almacenamiento de archivos, entre otros lugares, donde se puede instalar automáticamente utilizando vulnerabilidades en el navegador o sistema operativo de una víctima.
Una vez que el TDL-4 infecta a un ordenador, descarga e instala hasta 30 piezas de software malicioso-incluyendo bots para el envío de spam, y programas para robar contraseñas. "Existen otros grupos por ahí dedicados a escribir código malicioso, pero la banda detrás de éste se dirige específicamente a la distribución de malware de alta tecnología con fines de lucro", explica Raiu.
FUENTE :http://www.laflecha.net/canales/seguridad/noticias/malware-sofisticado