4.5 millones de PC conforman TLD4, la botnet más sofisticada de la que se tenga memoria, tal es así que investigadores de Kaspersky Labs la han calificado como indestructible.
No se trata únicamente de sus dimensiones, que de por sí representan una amenaza mayúscula, sumemos (¿multipliquemos?) a la complejidad de esta inmensa máquina de malware las siguientes características:
Usa un mecanismo de cifrado hecho de forma expresa para sus propios propósitos. Este permite la comunicación cifrada vía Internet entre un centro de control y las botnets, al tiempo que evita su indentificación mediante análisis de red e impide que otros tomen el control.
Accede a redes P2P. En particular, a la red KAD a través de la cuál transmite órdenes a todas las máquinas de la botnet.
Infecta máquinas Windows a través de sitios web que explotan vulnerabilidades del sistema. Vive allí oculto, irremovible con técnicas normales.
Se encuentra en sitios que alojan porno, contenidos de descarga directa y torrents. Ellos distribuyen el programa cliente. Como tal, una vez que revisa la versión del sistema operativo descarga e instala TLD4. Los sitios afiliados reciben entre 20 y 200 dólares por cada mil instalaciones en función de la ubicación de la víctima.
Se instala a sí mismo en una área especial del disco duro llamada MBR (Master Boot Record).
Es capaz de modificar resultados de búsqueda, publicidad en internet y DNS.
Los centros de control de la botnet cambian constantemente.
Pfff, no acabaría de listar las capacidades de TLD4. Les remito al artículo original de Kaspersky Labs, les aseguro que se quedarán con la boca abierta con las sofisticación de esta botnet. Los detalles de ingeniería son exquisitos para los estudiosos del tema.
Kasperky Labs dice que 28% de las víctimas (o participantes de la botnet) radican en los EE. UU., 7% en India, y 5% en Reino Unido. Ellos le han dado un seguimiento profundo al temas desde su aparición en 2008. El nombre TLD4 indica que es la cuarta generación de TLD. Por decir algo, en el estudio que realizaron en diciembre de 2010 sobre TLD4, mencionan:
No hay duda de que TLD4 está “armado hasta los dientes” y representa una amenaza muy seria para los usuarios. Aún peor, continúa en evolución. Las empresas fabricantes de antivirus deben actualizar urgentemente sus componentes anti rootkit, porque una vez infectada la máquina poco se podrá hacer al respecto.
Los virus evolucionan, los informáticos también. La organicidad que muestran en impresionante, es como si la Internet fuese un ente viviente y que TLD4 una red de agentes malignos tomando el control de sus células en silencio. Es convertir, poco a poco, toda la Internet en un zombie. Pero vamos, quizá estoy exagerando. El hecho es esto no va a detenerse.
Imagen: Alex Dragulescu
Joder, esa red esta muy bien preparada… para una ciber guerra y luego dicen que la Skynet no existe, que son puras fantasías de un terminator.
Desgraciadamente tanta capacidad humana malgastada en malware por mencionar algo, sí tan solo invirtieran semejante monstruosidad de botnet en algoritmos cientificos para el bien de la humanidad, pero bueno.
Como sabes que no lo hacen ???
Por que recae todo en los antivirus y no en el sistema de microsoft que es el que crea windows
1.- el MBR se puede formatear 2.- Afecta máquinas con MS WOS, que Windows significa ventanas.
Lo mismo estaba pensando, si se instala en el MBR lo único que hay que hacer es vigilarlo, cuando cambie pq se instala el bot se sobreescribe con el original y listo. Es más, por qué tiene acceso al MBR? No debería el SO protegerlo?
En teoría Windows 7 sí, tiene un nivel de kernel especial para el SO y las aplicaciones, pero Windows Vista y XP (el más usado) no.
skynet
Pero sigan Usando Windows… en software libre aunque cayerán estos tipos de amenazas a nuestros sistemas, con la participación comunal se elimina.
Niki, si linux o mac tuvieran el mismo nivel de usuarios de windows, estate tranquilo que también tendrian sus propios virus y/o troyanos, pero como en todo, aqui lo que prima es el dinero que se puede ganar. Y, si windows tiene el 80-90% de los usuarios mundiales, digo yo que se ganará mas dinero atacando a ese sistema operativo que no a los mac o linux, no crees?
Que si, como usuario también de linux y mac, se que por defecto los niveles para modificar cualquier cosa son mas estrictos, pero no veas como se pone un user tipo bajo (la mayoria en windows) si le pones el UAC para que bloquee todo lo que intente instalarse cada dos por tres.
Exacto!! Al fin alguien con sentido común! Que al parecer es el menos común de los sentidos!
Yo no se cuantas veces hay que decir lo mismo. Parace que @Javier V y @Niki no entan enterados de como es eso de los virus o se hacen los pendejos solo por atacar a Windows.
Para muestra lo que esta pasando con Android.
Aún así Ethereal, si un virus, troyano e incluso un intruso toma control de mi linux elimino el usuario del que se apoderó y listo. Si acaso tomó a root es que no tenés nada de conocimiento en seguridad y es mejor pasarte a Windblows
Este argumento que he leido muchas veces está absolutamente errado. Es cierto que Windows tiene una parte importante de los usuarios mundiales (aún cuando es menor al 65%) estos son simplemente usuarios. Desarrollar virus / troyanos u otro tipo de aplicaciones maliciosas para Linux / Unix podría darle muchos más beneficios a su creador ¿por qué? Por que Linux / Unix son dominantes en cuanto a servidores se refiere. Incluyendo a coroporaciones como la Nasa, Wall Street, Google, etc, etc. Entonces ¿por qué no crear aplicaciones maliciosas que podrían literalmente dominar el mundo?
Justificaciones: 1.- La complejidad que esto tiene. 2.- La estupides del usuario final que siempre es descuidado y permite cualquier cosa en sus equipos. 3.- La manera en que los OS de Microsoft en general manejan la seguridad, es simplemente ridícula.
@ernest y eso que tiene que ver si el virus también se puede eliminar de windows…
@Alberto la respuesta a su pregunta está implícita en el mismo contenido del mensaje, lo que importa es el usuario.
los virus se abren paso en los sistemas gracias al usuario, el nivel de los administradores de servidores está lejos del que tienen los usuarios domésticos.
@Alberto: No es tan difícil troyanizar un Linux/GNU como crees y es cierto que crear un paquete troyanizado afectaría a un gran numero de servidores… Pero un admin de un servidor no enchufa un pendrive y carga desde allí un binario, para ello estan los repositorios, y subir un paquete troyanizado allí es otro rollo…
Aunque admito que con un ataque de DNS Spoof, MITM, ARP Poisoning se podría infectar… En fin de todo se puede en esta vida… :D
Para muestra un boton: Android tiene mas de 120’000 usuarios infectados de malware proveniente por medio de phishing en repositorios oficiales de Google.
Casos de malware en Ubuntu se han incrementado, de igual forma usando ingenieria social. OSX (basado en UNIX) tuvo una epidemia de malware con MacDefender.
Microsoft publica semanalmente boletines de seguridad, y ofrece soluciones a problemas como este (mediante Microsoft Malware Protection Center). En este caso indican como reparar la MBR evitando la necesidad de reinstalar el sistema.
Sencillo, no usen windows!!!!
mitcoes - como conseguirías que un usuario de calle que solo usa su PC para leer mails y navegar, pille que esta infectado… ni pensar preguntarle como esta su MBR XD
“Si,pues mi MBR se puso malito pero ya le di su medicina y parece que está mejorando, ¿Cómo va el tuyo?”
Aunque uses Windows, Linux ó Mac: si eres tonto, algo haras mal, si no pues no pasa nada.
De hecho, hay rootkits para sistemas Unix (http://es.wikipedia.org/wiki/Rootkit). No sé de ninguno que haya sido efectivo (somos tan poquitos, que no somos apetitosos para esos condenados), pero me gustaría saber cómo es que llegan a afectar a las máquinas. Digo, es un error del usuario (estoy seguro) y de qué modo pudieron evitarlo.
no creo que usar gnu - linux te aga inmune a los virus…
saludos (uso ubuntu).
¡Muy buen post! ¡Lo que no puede hacer esta gigantesta botnet!
No utilizaste ni una sola vez una referencia a SkyNet … y llaman a esto la guía del geek … #FAIL :P
Si es sarcasmo, lo aplaudo. Si lo dices en serio… Bueno.
Jajajaja … si es sarcasmo, de hecho yo más bien diría que es broma :P ALT1040 rulea :P … aunque eso si, se hubiera visto más cool la entrada con una imagen apocaliptica de terminator xD
xD
skynet esta cerca
Esto no es nada todos los que usan windows son espiados por micrsoft=gobierno usa=fbi=cia=skynet ja :) mientras que no usen software libre no podran estar asalvo preguntenselo a los chinos que quitaron de sus mauinas gubernamentales cualquier rastro de linux….. Mientras que skynet sigue invadiendo al mundojaja esperare a entrar al consultro del seguro (imss)
jaja Skynet no es mas que un dulce bebe en pañales comparado con lo que en verdad está por venir. En este mundo cyberpunk la muerte será el menor de los males.
jajaja cálmate AM..(no tengo boca y debo gritar)
Pues formateo el MBR y ya, ¿no?; aunque si hay que ser medio ñoño y paranoico para tener un backup del mbr guardado jaja
backup del mbr ???? #Fail !!
—> google . com . mx / #q= mbr+backup <— Si se puede escribir, leer y editar: entonces se puede hacer backup tambien ;-)
Windows tiene la capacidad de restaurar la MBR mediante un Disco de Recuperacion que puede ser creado mediante Windows mismo o por medio del disco de instalacion.
La ÑONGA, pues valla haciendolo (de tener windows).
En realidad es algo tan sencillo hacer un backup del MBR, pero pues todo esta en el usuario, es increíble que aun existen muchas personas que se compran una computadora y creen que son mágicas (me recuerdan cuando Homero Simpson compra su primer PC), no toman en cuenta el respaldar su información, actualizar el software, comprar un buen antivirus, etc, Una computadora no es como comprante una licuadora o algún otro electrodoméstico, hay que dedicarle un tiempo al mantenimiento.
Hay un detalle técnico que olvidaron los fanboys (de los 3 sistemas operativos) y es que el mbr es completamente independiete del so que se use
Una cosa es donde se instala y otra muy distinta que sistema operativo necesita para su funcionamiento y si Ventanas es lo que me viene a la mente.
Aquí tienes una forma de deshacerte del problema, no solo tienes que formatear el MBR, hay una serie de ficheros que tienes que eliminar (librerías dll donde las he visto a sí en Windows) para que no se autoreplique y vuelva a la carga. Pero como todo en la vida precaución y eso de instalar sin mirar pues se lo dejamos a los monos con pistola.
P.D.: Por lo que estoy viendo es tan garrapata como el antivirus de Symatec.
Pues hace mucho tiempo solo era necesario FDISK /MBR para repararlo y quitar cualquier virus o simplemente un metodo de reparacion.
(hay mis dias de tecnico)
por cierto la nota me recordó el argumento de Terminator 3, será que Skynet por fin se manifiesta?
Pues en efecto, la gente que hace estas cosas busca atacar en dónde haya más usuaruios, y Microsoft es en dónde más hay pero, hay que tomar en cuenta el crecimiento de Apple con iOs como con Mac OSX, es algo muy estrepitoso, y no dudemos que dentro de poco existan este tipo de cosas tambien. Lástima, yo soy usuario de Mac y de Linux.
Exacto, el día que OSX llegue al nivel de Windows… zas! Pues MacOSX es lo más inestable y con mas agujeros que he utilizado… :/ Sino, mirad que mientras W7 lleva un SP1, macOSX lleva 8 Combo Updates, sin contar que fué el primero en caer en la última concentración de hackers, etc… Que conste, que uso OSX y Linux.
FAlLETERNO, explicame como habiendo 100 millosnes de androides, otra millonada en iOS y BB, tienen ni de forma microscopica una pisca de lo que le pasa a windows?
Creo que obviáis el dato de facilidad de escalada de privilegios con demasiada condescendencia.
Si bien es cierto, que el numero mayoritario de usuarios es un factor a favor, así como la homogeneidad del mismo (básicamente son todos iguales) y eso ayuda a tu ataque. La facilidad del mismo también es un factor a tener en cuenta. SI escalar privilegios en Windows, fuera realmente difícil, te hirias a por sistemas más críticos, total puestos a perder tiempo que sea por algo que merece la pena el esfuerzo.
Con los usuarios para sacar rendimiento debes infectar un gran, gran numero de equipos, es decir se necesita tiempo, paciencia e incluso teniendo una gran cantidad de equipos eso no te garantiza el éxito, cuanto más te expandes más tarde o más temprano das con alguien que sepa de tu existencia y de la alarma o la solución. Si atacas un servidor importante puedes conseguir lo mismo con menos tiempo.
Claro que si pones en una balanza facilidad y además gran numero ignorantes informáticos, contra complejidad y especialistas, pues tomas el camino lento pero seguro.
Yo lo tengo claro si atacar a un usuario fuera la mitad de costoso que un gran servidor, yo voy a por el gran servidor, de dos usuarios a no ser que tenga suerte no voy a sacar el mismo rendimiento que un gran servidor que da servicio a miles. Así que eso de por ser el más usado solo me vale a medias.
Que horror, esos que hablan del software libre son como los Testigos de Jehova en tu puerta los domingos… no hagan caso, ignórenlos.
Por otra parte, me pregunto si una formateada integral servirá de algo ya que es algo común en las PC’s que cada tanto se restaure por completo la instalación de Windows. En fin… lo mejor es ser prudente al navegar y descargar…
Muy de acuerdo y eso que uso Linux/GNU haha
Tienes que formatear el MBR, si vuelves a instalar sin formatearlo, es decir recuperando la instalación o borrando la partición de windows no lo eliminas, si solo formateas el MBR y no eliminas ficheros como kdcom.dll, volverás a tenerlo.
Si formateas completamente el ordenador no tendrás problemas lo habrás eliminado, pero este rootkit es muy gracioso ya que se autoreplica en muchos ficheros (kdcom.dll es un sitio confirmado donde se encuentra), así que cuidado con las copias de respaldo puede que te lo lleves puesto.
Alguna vez tuve un maestro de programacion que decia, “No importa cuan bien diseñes un algoritmo, no importa cuantas validaciones que pongas al sistemas, no importa el nivel de seguridad que pongas, siempre va a haber un usuario que trabe tu programa”, y eso me remite al famoso error PEBKAC (Problem Exists Betwen Keyboard and Chair), El problema existe entre el teclado y la silla, y remitiendome a Skynet, esta solo pudo liberarse hasta que un usuario le dio autorizacion, asi que el destino del mundo depende despues de todo al factor “Error humano”….
+1 PEBKAC es el mayor problema de seguridad que la informática tiene.
Yo siempre culpaba a la inferface que está despues del mouse.