El nuevo año acaba de empezar y una nueva red zombi está creciendo. Tiene algunas similitudes con la terrible red zombi Waledac que Microsoft logró derrotar con mucho esfuerzo a principios del año pasado. El código base de este nuevo bot es diferente, pero utiliza la misma estrategia para propagarse y parece que también tiene una infraestructura “multi-relay” (o peer-to-peer), similar a la de su predecesora. Nuestros amigos de ShadowServer han publicado una excelente entrada en su blog donde explican esta nueva amenaza y su relación con los bots anteriores.
Estamos analizando la nueva familia y confirmamos que tiene un comportamiento similar al de una red peer-to-peer. Cuando se inicia, el bot carga una lista de 500 peers incrustados en el código fuente del programa. Cada uno tiene una identidad única, la dirección IP del peer y el puerto TCP que está espiando:
d9d04244-2f07-464c-b5c9-ad78e6319546 69.204.140.0:80
89787e02-6de4-4385-ae5f-5eaca64a3fe0 112.204.169.0:80
…
El bot se conecta a uno de estos hosts cada 10 minutos para descargar una lista de otros 10 peers que incluye en la suya. Cada dato del peer que se descarga contiene el tiempo en línea del bot correspondiente:
61410ab9-aa16-441c-84b9-6a8d1257b8da, 202.144.33.227:80 lst_act=03.01.201115:40:23 live_tm: d1.h23.m25.s59
085a9416-1a0b-403f-abb2-88b2600e9c51, 114.249.53.47:80 lst_act=03.01.2011 15:40:02 live_tm: d0.h0.m6.s49
…
La red zombi está alojándose en una red de flujo rápido que todo el tiempo remite a los visitantes de 12 dominios publicitados en campañas de spam a uno de los ordenadores infectados. Estos equipos propagan una copia del archivo malicioso. Consultamos 5 de los dominios por un periodo de 5 horas y contamos el número de direcciones IP diferentes que respondieron por minuto (en el eje Y).
El gráfico muestra que los dominios tienen una correlación muy fuerte, lo que demuestra que es posible que el mismo grupo de ordenadores esté controlando todos los dominios. El gráfico también ilustra la típica tendencia de disminuir cuando los ordenadores se desconectan y no son parte del grupo de flujo rápido, lo que se contrarresta agregando nuevos hosts.
Las muestras que vemos que se están propagando tienen sumas de verificación diferentes, pero todas pesan 485.888 bytes. Detectamos esta amenaza como una versión de Trojan-Downloader.Win32.FraudLoad.
Nueva red zombi p2p toma fuerza