• Tweet

Más de cuatro millones de PCs han sido insertadas a una botnet que un experto en seguridad describe como casi "indestructible".

La botnet, conocida como TDL, afecta a sistemas Windows y es difícil de detectar y eliminar.

El código que se apodera del control de la PC se esconde en lugares que el software de seguridad raramente considera para sus búsquedas, y la botnet se controla utilizando cifrados propios del o los desarrolladores.

Los investigadores de seguridad indican que las recientes acciones para dar de baja otras botnets han forzado a los desarrolladores de TDL a fortalecer la botnet contra investigaciones.

Las 4.5 millones de PCs infectadas se han convertido en víctimas a lo largo de los últimos tres meses, después de la aparición de la cuarta versión del virus TDL.

Los cambios introducidos en TDL-4 la hace "la más sofisticada amenaza actual", escribieron los investigadores de Kaspersky Labs, Sergey Golovanov e Igor Soumenkov en un análisis detallado del virus.

"Los dueños de TDL están intentando, esencialmente, crear una botnet 'indestructible' que esté bien protegida contra ataques, competidores y compañías antivirus", escribieron los investigadores.

Los recientes éxitos de compañías de seguridad y agencias policiacas contra las botnets han provocado que los niveles de spam se reduzcan 75% en promedio, de acuerdo un análisis de Symantec.

Una botnet es una red de computadoras (domésticas o de trabajo) que han sido infectadas con un virus; este virus permite a criminales controlarlas remotamente. Usualmente. los controladores de botnets roban información de las PCs de las víctimas, o utilizan sus equipos para enviar spam o realizar otros ataques.

El virus TDL se replica mediante sitios web maliciosos, e infecta la computadora explotando vulnerabilidades sin corregir. El virus se ha encontrado en sitios que ofrecen contenido pornográfico, descarga ilegal de películas, y/o almacenamiento gratuito de imágenes y video.

El virus se instala a sí mismo en un archivo de sistema de Windows conocido como el sector de arranque (en inglés, <em>master boot record</em>).

La mayoría de las víctimas (28%) están en los Estados Unidos, pero se han encontrado números significativos de infección en India (7%) y el Reino Unido (5%). Cifras más pequeñas de infección se han encontrado en Francia, Alemania y Canadá (3%).

Sin embargo, escribieron los investigadores, es la manera en que opera la botnet lo que la hace tan difícil de enfrentar y desactivar.

Los creadores de TDL-4 han desarrollado su propio sistema de cifrado para proteger las comunicaciones entre los que controlan la botnet. Esto hace difícil realizar cualquier tipo de análisis de tráfico de red, una forma que los investigadores de seguridad utilizan para detectar estos equipos.

Además, TDL-4 envía instrucciones a los equipos infectados utilizando una red de peer-to-peer distribuida, en vez de utilizar servidores de comando centralizados. Esto también afecta al análisis, porque elimina la necesidad de que los equipos infectados contacten regularmente a los controladores.

"A todas luces, [TDL-4] es muy díficil de eliminar", dijo Joe Stewart, Director de Investigación de Malware en Dell SecureWorks a Computerworld. "Es definitivamente una de las más sofisticadas botnets que existen".

No obstante, la sofisticación de TDL-4 podría ayudar a derrotarlo, señalaron los investigadores de Kaspersky al encontrar errores en el complicado código. Esto les permitió consultar bases de datos que registran cuántas infecciones TDL-4 se han logrado, y les ha ayudado a mejorar su investigación de los creadores.