Autores
Como escribimos ayer, la red zombi Kido ha instalado otro conocido gusano en los equipos infectados: Iksmas, también conocido como Waledac.
Iksmas se descarga del servidor goodnewsdigital.com, un recurso que no es nuevo para los investigadores y es una de las principales fuentes de distribución de Iksmas.
Utilizando tecnología heurística, Kaspersky Anti-Virus detectó de forma proactiva la variante de Iksmas que descarga Kido como HEUR:Worm.Win32.Generic. La nueva versión de Kido (Worm.Win32.Kido.js) también se detectó como un programa nocivo utilizando esta tecnología.
Decidimos mantener la red vigilada para ver qué haría el gusano Iksmas después de instalarse en los ordenadores infectados.
En un periodo de 12 horas, Iksmas se conectó con sus centros de control en todo el mundo varias veces y recibió comandos para enviar correos spam. Todos los mensajes spam que la red zombi envió anoche ofrecían productos farmacéuticos. Estos son algunos ejemplos traducidos de estos mensajes:
Noticias Novedosas que te interesarán http://ie.hipraputt.com/
Asunto: Agrega potencia a la herramienta de tu hombre
Distribuimos productos pornográficos desde 1972. ¡Prueba las píldoras azules y mantente despierto junto a todas tus mujeres! ^M
http://bv.relaxkind.com/
Asunto: Una vida ardiente: recibe nuestra ayuda. ¡Asegura tu resistencia hoy mismo!
La solución para los miembros pequeños http://bj.jilfawris.com/
Asunto: ¡Soluciones perfectas para tenerla dura como una piedra!
Tu único y preferido farmacéutico en línea http://zer.jilfawris.com/
Asunto: ¡Soñará contigo día y noche!
Ámala donde y cuando quieras. http://lrmt.jilfawris.com/
En sólo 12 horas, un solo zombi envió 42.298 mensajes spam.
Como pueden haber notado, los mensajes contienen enlaces a dominios de la red. Básicamente cada correo contiene un dominio único. Los delincuentes hicieron esto para evitar que los filtros de spam detectaran los correos masivos utilizando métodos que analizan la frecuencia en la que se envía un dominio específico.
Detectamos 40.542 dominios de tercer nivel y 33 de segundo nivel. Todos pertenecían a spammers y a las empresas que contrataron sus servicios para que las publicitaran.
Aquí hay algunas capturas de pantalla de los sitios:
Esta es la lista completa de los dominios de segundo nivel que se utilizaron en los correos:
calmchic.com
crisppride.com
cykduhdao.com
deblanf.com
eslihos.net
fabjust.com
fadvyil.com
fadvyil.net
faynetr.com
goodcure.at
gooddoctoronline.at
gooddoctorscare.at
gooddoctorsite.at
gooddoctorworld.at
gooddruginfo.at
gooddrugonline.at
gooddrugsite.at
gooddrugworld.at
goodearthlawncare.at
gotbake.net
hereftu.net
hipraputt.com
jilfawris.com
kepiseu.com
kepiseu.net
multinew.com
plumppeak.com
relaxkind.com
uljyelsel.com
vapshei.net
yuleaware.com
zwefopcyn.com
Casi todos estos sitios se encuentran en China y están registrados bajo varios nombres, posiblemente inventados.
Un cálculo simple muestra que un robot de Iksmas envía alrededor de 80.000 correos electrónicos en 24 horas. Asumiendo que existen 5 millones de ordenadores infectados, la red podría enviar alrededor de 400.000.000.000 (¡400.000 millones!) de mensajes spam en un período de 24 horas.
Autores
De los mismos autores
En la misma categoría
Vigilando la red zombi