Un destacado investigador de seguridad dijo que duda que la eliminación de la botnet Waledac por parte de Microsoft tenga algún impacto en los niveles de spam, como afirmó la compañía.
“Waledac no es un spammer enormemente prolífico”, dijo Joe Stewart, director de análisis de malware en SecureWorks y un destacado investigador de botnets. “Así que no creo que vaya a afectar el spam [volume]. Lo que hace últimamente … para lo que se usa es instalar un antivirus falso “.
El servicio antispam con sede en el Reino Unido Spamhaus se hizo eco de Stewart hoy. “Si [Microsoft’s take-down] afectó el spam, no nos hemos dado cuenta “, dijo Richard Cox, el director de información de Spamhaus. Al igual que Stewart, Cox también rechazó la amenaza de Waledac como un motor de spam.
“Waledac no era una gran amenaza, es menos que 1% del tráfico de spam “, dijo Cox.” Lo que nos preocupa es Zeus, que es una botnet mucho más dañina, que está creando una cantidad sustancial de spam “.
Postini, la firma de seguridad y filtrado de mensajes propiedad de Google, también dijo que no había detectado ninguna caída en el correo no deseado. “El equipo no ha visto ningún cambio hasta ahora”, dijo el portavoz de Google Jay Nancarrow.
El día de hoy, Microsoft dijo que la red de bots Waledac, que según afirma controla cientos de miles de PC infectadas, es un “importante distribuidor de spam a nivel mundial”. Microsoft también dijo que sus investigadores habían arrebatado unas 60,000 máquinas de la red de bots.
Stewart tampoco estaba viendo ninguna evidencia de esas afirmaciones. “No he visto ninguna disminución en [Waledac’s] actividad, dijo el investigador. “Para mí, parece un negocio como siempre”.
El miércoles por la noche, Microsoft anunció que había ganado una orden de la corte federal que cortaba 277 dominios .com asociados con la botnet, y dijo que al eliminar esos sitios de Internet, interrumpiría seriamente la operación de Waledac. “Esta acción ha cortado de manera rápida y efectiva el tráfico a Waledac a nivel de ‘.com’ o de registro de dominio, cortando la conexión entre los centros de comando y control de la botnet y la mayoría de sus miles de computadoras zombies en todo el mundo”, Tim Cranton , un abogado general asociado de Microsoft, dijo ayer en una entrada de blog.
Pero Stewart dijo que es muy poco probable que el movimiento haya paralizado la red de bots. “Waledac utiliza un protocolo de igual a igual para su comando y control”, dijo, refiriéndose al mecanismo que los comandantes de PC zombies más avanzados técnicamente utilizan para controlar sus ejércitos. “Pero los bots realmente no [depend] en esos nombres de dominio para comunicarse “.
De hecho, dijo Stewart, los bots Waledac podrán comunicarse “indefinidamente” utilizando las direcciones IP (Protocolo de Internet) que están codificadas en el troyano bot. Para eliminar una botnet como Waledac, Microsoft habría tenido que apuntar no solo a los dominios que hacía, sino también a todas las direcciones IP posibles codificadas en el malware. “No veo cómo puedes matar una botnet como esta”, dijo Stewart. “No hay un solo punto de falla para estas botnets”.
Aun así, aplaudió el movimiento de Microsoft. “… Este es un buen comienzo, es un buen paso en la dirección correcta”, dijo Stewart, ofreciendo otras formas en que los recursos de la compañía podrían haberse gastado mejor. “Hay muchas otras redes de bots donde este enfoque podría funcionar, cualquiera que dependa de un servidor centralizado de comando y control”.
Waledac fue creado por, y es mantenido por, hackers que previamente inundaron Internet con el troyano bot Storm. Las personas detrás de esta botnet no son novatos, dijo Stewart. “Estamos tratando con las mismas personas detrás de Storm, y definitivamente conocen los entresijos”.
Con toda probabilidad, agregó, la maniobra de Microsoft no detendrá una red de bots establecida como Waledac. “Están atacando el extremo frontal de todo el esquema del bot”, dijo.
Microsoft reconoció que su trabajo no está hecho. “[This] “no es una bala de plata para deshacer todo el daño que creemos que Waledac ha causado”, dijo Cranton. “Aunque los zombis ahora están en gran medida fuera del control de los pastores de bots, todavía están infectados con el malware original”.
Las compañías de seguridad de mensajes que monitorean el pulso del spam, incluidos los MessageLabs de Symantec y Postini de Google, no pudieron encontrar de inmediato datos para mostrar si la supuesta desaparición de Waledac, como Microsoft afirmó, ha deprimido los niveles de spam.
Microsoft ha apuntado a Waledac antes. En abril de 2009, la compañía emitió una versión de su Herramienta de eliminación de software malicioso (MSRT) que eliminó el malware de los infectados por Waledac Windows PC En la segunda mitad del año pasado, MSRT y otro software de Microsoft, en particular el programa antivirus gratuito Microsoft Security Essentials, limpiaron 96,000 sistemas de Waledac, se jactó hoy de Jeff Williams, director del Centro de Protección contra Malware de Microsoft.
Williams, quien instó a los usuarios a ejecutar MSRT y mantener actualizado su software antivirus, también insinuó que Microsoft tenía más en Waledac de lo que había revelado. “No hemos terminado”, dijo. “Manténganse al tanto.”
Fuente de noticias: Microsoft
