1

¿Está su PC infestada de robots? Aquí le explicamos cómo

Las botnet son grandes, dañinas y extensas—pero si su sistema está infectado, hay varios pasos a seguir para limpiarlo y mantenerse seguro.

Mientras los fuegos artificiales estallaban durante la celebración del cuarto de julio, miles de computadoras infectadas atacaban diversos sitios de la Web del gobierno estadounidense. Una botnet de más de 200.000 computadoras, infectada con una estirpe del virus MyDoom del 2004, intentó negar el acceso legítimo a sitios como los de la Comisión Federal de Comercio y de la Casa Blanca. El ataque fue un recordatorio audaz de que las botnet todavía son un problema enorme.

[<img border="0" src="/pcwla2.nsf/0/F405751E7F569CC38525763E0012A287/$File/58robotoct09.gif">]

Las botnet son redes de PC “zombie” infectadas. Su máquina puede infectarse si visita un sitio y descarga código corrompido que se ha camuflado como un vídeo, si visita un sitio que en sí está comprometido, o si un virus tradicional u cualquier porción de programa malicioso entra en su sistema. Una vez que un robot infecta su PC, llama a su servidor de comando y control (CnC) para recibir instrucciones. Un robot es parecido a un caballo de Troya tradicional; pero en vez de instalar un monitor de actividades de teclas o un ladrón de contraseñas (que todavía podría hacer de cualquier manera), un robot trabaja con otras PC infectadas, obligándolas a actuar todas juntas, de cierta forma como una computadora muy grande.

Los spammer pagan mucho dinero por hacer que un robot transmita su mensaje a millares de máquinas; en particular, el correo indeseado de los farmacéuticos canadienses ahora mismo está de moda. Otro usos para los robots incluyen los ataques que bloquean los sitios comerciales de la Web, frecuentemente acompañados por una demanda de rescate. También existe un gran negocio en lo que se conoce como flujo rápido: para mantener activos los sitios de phishing de la Web, los operadores cambian de dominio frecuentemente. Las botnet proveen un método rápido y fácil de hacerlo y, según la firma de seguridad Kaspersky, los propietarios de botnet cobran bastante dinero por ese servicio.

En julio, la ShadowServer Foundation, un grupo especializado en compartir información sobre las botnet, informó que el número de botnet identificadas creció de 1.500 a 3.500 en los últimos dos años. Cada una de esas 3.500 redes puede contener varios miles de PC—y cualquier PC determinada puede estar infectada por múltiples robots.

En números netos, el mayor número de máquinas infectadas con robots está en Estados Unidos de América y en China, dice Jose Nazario, gerente de investigaciones de seguridad en Arbor Networks. “Yo creo que casi todos los usuarios de PC deben asumir que son parte de alguna botnet”, asegura él. “Es una Internet muy peligrosa para la mayoría”.

DETECTANDO LAS INFECCIONES

Las botnet viven o mueren dependiendo de las comunicaciones con sus servidores CnC. Esas comunicaciones pueden indicarle a los investigadores el tamaño de una botnet. Igualmente, la inundación de comunicaciones que entran y salen de su PC ayudan a las aplicaciones anti malware a detectar un robot conocido.

“Lamentablemente, la falta de alertas antivirus no es un indicador de que la PC esté limpia”, dice Nazario. “El software antivirus simplemente no puede mantenerse al ritmo del número de amenazas. Es frustrante no tener soluciones significativamente mejores y más extensas para el usuario doméstico promedio”.

Aún cuando el antivirus de su PC diga que el equipo está limpio, siga vigilante. Microsoft provee una Malicious Software Removal Tool gratuita. Una versión de la herramienta, disponible en Microsoft Update y en Windows Update, se actualiza mensualmente; ejecuta en un segundo plano el segundo martes de cada mes y reporta a Microsoft cada vez que encuentra y quita una infección. Usted puede usar otra versión en cualquier momento, la cual está disponible en find.pcworld.com/63436, y debería ejecutar la herramienta si nota un cambio súbito en el comportamiento de su PC.

La Malicious Software Removal Tool recopila los resultados. En septiembre de 2007, Microsoft agregó a la herramienta la capacidad de reconocer el robot Storm. De un día para otro el tamaño de la botnet Storm fue reducido en un 20 por ciento. Desde entonces Microsoft ha agregado otras botnet frecuentes a la lista de la herramienta, como Conficker y Szribi.

Las opciones proactivas también están disponibles. BotHunter (find.pcworld.com/63434), un programa gratuito de SRI Internacional, trabaja con Unix, Linux, Mac OS, Windows XP y Vista. Aunque diseñado para las redes, también puede ejecutar en escritorios autónomos y portátiles.

BotHunter escucha pasivamente al tráfico de Internet entre su máquina y mantiene un registro de los cambios en los datos que típicamente ocurren cuando una PC se infecta con programa malicioso. Ocasionalmente y para mejorar sus definiciones, BotHunter envía mensajes de salida a una base de datos de SRI International de programas publicitarios, programas de espionaje, virus y gusanos (find.pcworld.com/63435). BotHunter reconoció los patrones de datos de Conficker en noviembre de 2008, mucho antes de que otros productores de seguridad reconocieran la amenaza.

Las Botnet futuras

Aunque sólo fuera para demostrar su persistencia, los robots también invadieron los teléfonos móviles recientemente. Trend Micro informó que el programa malicioso sexy View SMS en el OS móvil de Symbian puede llamar a un servidor CnC para recibir nuevas plantillas de correo SMS indeseado.

Aunque una botnet en un teléfono móvil puede lucir diferente a la de una PC, la idea de alquilar una red de teléfonos “apropiados” parece ser viable en el futuro próximo. Independientemente de la forma que puedan tomar los robots, probablemente no podremos erradicar la amenaza; sólo podremos aprender a administrar mejor las infecciones de robots. Pero entretanto, limpiemos todas las PC que podamos.

Las pruebas recientes de Virus Bulletin revelan que incluso las aplicaciones antimalware mejores y las más populares no pueden detectar las amenazas emergentes. Entérese de los resultados de las pruebas en find.pcworld.com/63438.

-Por Robert Vamosi

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *