¡La eliminación de la botnet de Microsoft no detendrá el spam!

¡La eliminación de la botnet de Microsoft no detendrá el spam! 1

Un destacado investigador de seguridad dijo que duda que la eliminaci√≥n de la botnet Waledac por parte de Microsoft tenga alg√ļn impacto en los niveles de spam, como afirm√≥ la compa√Ī√≠a.

“Waledac no es un spammer enormemente prol√≠fico”, dijo Joe Stewart, director de an√°lisis de malware en SecureWorks y un destacado investigador de botnets. “As√≠ que no creo que vaya a afectar el spam [volume]. Lo que hace √ļltimamente … para lo que se usa es instalar un antivirus falso “.

El servicio antispam con sede en el Reino Unido Spamhaus se hizo eco de Stewart hoy. “Si [Microsoft’s take-down] afect√≥ el spam, no nos hemos dado cuenta “, dijo Richard Cox, el director de informaci√≥n de Spamhaus. Al igual que Stewart, Cox tambi√©n rechaz√≥ la amenaza de Waledac como un motor de spam.

“Waledac no era una gran amenaza, es menos que 1% del tr√°fico de spam “, dijo Cox.” Lo que nos preocupa es Zeus, que es una botnet mucho m√°s da√Īina, que est√° creando una cantidad sustancial de spam “.

Postini, la firma de seguridad y filtrado de mensajes propiedad de Google, tambi√©n dijo que no hab√≠a detectado ninguna ca√≠da en el correo no deseado. “El equipo no ha visto ning√ļn cambio hasta ahora”, dijo el portavoz de Google Jay Nancarrow.

El d√≠a de hoy, Microsoft dijo que la red de bots Waledac, que seg√ļn afirma controla cientos de miles de PC infectadas, es un “importante distribuidor de spam a nivel mundial”. Microsoft tambi√©n dijo que sus investigadores hab√≠an arrebatado unas 60,000 m√°quinas de la red de bots.

Stewart tampoco estaba viendo ninguna evidencia de esas afirmaciones. “No he visto ninguna disminuci√≥n en [Waledac’s] actividad, dijo el investigador. “Para m√≠, parece un negocio como siempre”.

El mi√©rcoles por la noche, Microsoft anunci√≥ que hab√≠a ganado una orden de la corte federal que cortaba 277 dominios .com asociados con la botnet, y dijo que al eliminar esos sitios de Internet, interrumpir√≠a seriamente la operaci√≥n de Waledac. “Esta acci√≥n ha cortado de manera r√°pida y efectiva el tr√°fico a Waledac a nivel de ‘.com’ o de registro de dominio, cortando la conexi√≥n entre los centros de comando y control de la botnet y la mayor√≠a de sus miles de computadoras zombies en todo el mundo”, Tim Cranton , un abogado general asociado de Microsoft, dijo ayer en una entrada de blog.

Pero Stewart dijo que es muy poco probable que el movimiento haya paralizado la red de bots. “Waledac utiliza un protocolo de igual a igual para su comando y control”, dijo, refiri√©ndose al mecanismo que los comandantes de PC zombies m√°s avanzados t√©cnicamente utilizan para controlar sus ej√©rcitos. “Pero los bots realmente no [depend] en esos nombres de dominio para comunicarse “.

De hecho, dijo Stewart, los bots Waledac podr√°n comunicarse “indefinidamente” utilizando las direcciones IP (Protocolo de Internet) que est√°n codificadas en el troyano bot. Para eliminar una botnet como Waledac, Microsoft habr√≠a tenido que apuntar no solo a los dominios que hac√≠a, sino tambi√©n a todas las direcciones IP posibles codificadas en el malware. “No veo c√≥mo puedes matar una botnet como esta”, dijo Stewart. “No hay un solo punto de falla para estas botnets”.

Aun as√≠, aplaudi√≥ el movimiento de Microsoft. “… Este es un buen comienzo, es un buen paso en la direcci√≥n correcta”, dijo Stewart, ofreciendo otras formas en que los recursos de la compa√Ī√≠a podr√≠an haberse gastado mejor. “Hay muchas otras redes de bots donde este enfoque podr√≠a funcionar, cualquiera que dependa de un servidor centralizado de comando y control”.

Waledac fue creado por, y es mantenido por, hackers que previamente inundaron Internet con el troyano bot Storm. Las personas detr√°s de esta botnet no son novatos, dijo Stewart. “Estamos tratando con las mismas personas detr√°s de Storm, y definitivamente conocen los entresijos”.

Con toda probabilidad, agreg√≥, la maniobra de Microsoft no detendr√° una red de bots establecida como Waledac. “Est√°n atacando el extremo frontal de todo el esquema del bot”, dijo.

Microsoft reconoci√≥ que su trabajo no est√° hecho. “[This] “no es una bala de plata para deshacer todo el da√Īo que creemos que Waledac ha causado”, dijo Cranton. “Aunque los zombis ahora est√°n en gran medida fuera del control de los pastores de bots, todav√≠a est√°n infectados con el malware original”.

Las compa√Ī√≠as de seguridad de mensajes que monitorean el pulso del spam, incluidos los MessageLabs de Symantec y Postini de Google, no pudieron encontrar de inmediato datos para mostrar si la supuesta desaparici√≥n de Waledac, como Microsoft afirm√≥, ha deprimido los niveles de spam.

Microsoft ha apuntado a Waledac antes. En abril de 2009, la compa√Ī√≠a emiti√≥ una versi√≥n de su Herramienta de eliminaci√≥n de software malicioso (MSRT) que elimin√≥ el malware de los infectados por Waledac Windows PC En la segunda mitad del a√Īo pasado, MSRT y otro software de Microsoft, en particular el programa antivirus gratuito Microsoft Security Essentials, limpiaron 96,000 sistemas de Waledac, se jact√≥ hoy de Jeff Williams, director del Centro de Protecci√≥n contra Malware de Microsoft.

Williams, quien inst√≥ a los usuarios a ejecutar MSRT y mantener actualizado su software antivirus, tambi√©n insinu√≥ que Microsoft ten√≠a m√°s en Waledac de lo que hab√≠a revelado. “No hemos terminado”, dijo. “Mant√©nganse al tanto.”

Fuente de noticias: Microsoft