os investigadores de Symantec han logrado socavar un total de más de medio millón de bots de la botnet ZeroAccess. Podrían haber sido capaces de desmontar aún más, pero los ciberdelincuentes hicieron algunos cambios a la amenaza para hacerla más resistente.

ZeroAccess es una de las botnets más grandes del mundo, con aproximadamente 1,9 millones de bots. La botnet está diseñada para entregar cargas a los ordenadores infectados, minería de Bitcoin y fraudes por clic.

Lo que hace que ZeroAccess sea interesante, además de su tamaño, es el hecho de que utiliza una infraestructura de comunicaciones de comando y control peer-to-peer (P2P). Esto hace que sea más difícil de interrumpir.

Los investigadores de Symantec han estado analizando la botnet desde marzo de 2013 en un esfuerzo por identificar una forma de socavarla. El 29 de junio, cuando los expertos idearon una teoría sobre cómo lograr su objetivo, los ciberdelincuentes lanzaron una nueva versión de ZeroAccess.

El vector de ataque pensado inicialmente por Symantec ya no funcionaba en esta nueva variante del malware. Es posible que el lanzamiento de la nueva versión haya sido provocado por un documento de investigación publicado en mayo, que analizaba las debilidades del mecanismo de P2P.

Los investigadores decidieron seguir adelante con su plan y desmontar el mayor número posible de bots antes de que la nueva versión fuera implementada completamente.

"Esta operación resultó rápidamente en la eliminación de más de medio millón de bots y disminuyó considerablemente el número de bots controlados por el botmaster. En nuestras pruebas, fueron necesarios unos cinco minutos de actividad P2P para que un nuevo bot de ZeroAccess fuera socavado", señaló Symantec.

Detalles adicionales sobre esta operación serán presentados por Ross Gibbs y Vikram Thakur de Symantec en la próxima Conferencia Virus Bulletin en Berlín. También se publicará un libro blanco.

http://news.softpedia.es/Mas-de-medio-millon-de-bots-de-ZeroAccess-han-sido-socavados-por-Symantec-387474.html