Proxy web ruso con puertas traseras, distribución de malware

Empresa de antivirus Symantec ha detectado una campa√Īa maliciosa en la que los piratas inform√°ticos lograron enga√Īar a miles de personas presuntamente firmadas por un servicio proxy pagado. Exponen que cientos de miles de usuarios que se suscriben a un servicio proxy barato y supuestamente leg√≠timo han terminado descargando malware y siendo atrapados en una botnet.

Hace tres meses, los investigadores de Symantec comenzaron una investigación sobre un malware llamado Backdoor.Proxybox que se conoce desde 2010, pero recientemente ha mostrado una actividad creciente.

El malware es Backdoor.Proxybox, y nuestra investigaci√≥n ha revelado toda una operaci√≥n de sombrero negro, brind√°ndonos informaci√≥n interesante sobre el funcionamiento y el tama√Īo de esta botnet, y llev√°ndonos a informaci√≥n que puede identificar al autor real del malware, “Symantec.

El servicio, ProxyBox, supuestamente proporciona acceso a su lista completa de miles de servidores proxy por solo $ 40 al mes, lo que obviamente es un precio demasiado barato para que el proveedor alcance el punto de equilibrio.

El malware es un programa troyano con funcionalidad de rootkit que transforma la computadora en un servidor proxy. El componente rootkit utiliza una técnica novedosa para evitar el acceso a otros archivos del malware y aumentar la persistencia del malware en el sistema.

Sin embargo, el aspecto más interesante de este ataque es cómo los atacantes utilizan realmente las computadoras infectadas. Las botnets son una de las principales herramientas utilizadas por los ciberdelincuentes porque son versátiles. Se pueden usar para enviar correo electrónico no deseado, lanzar ataques distribuidos de denegación de servicio, resolver desafíos de CAPTCHA en sitios web, realizar fraudes bancarios en línea o hacer clic en fraudes y muchas otras actividades.

En este caso particular, los operadores de la botnet lo est√°n utilizando para alimentar un servicio proxy comercial llamado Proxybox.name. Debido a que pueden ocultar la direcci√≥n IP (Protocolo de Internet) real de un usuario, los servidores proxy se usan com√ļnmente para evadir los intentos de censura en l√≠nea, eludir las restricciones de acceso al contenido basadas en la regi√≥n o, en muchos casos, participar en varias acciones ilegales.

Proxy web ruso con puertas traseras, distribución de malware 1

La supervisi√≥n del servidor de comando y control en los √ļltimos meses ha sugerido que el controlador de botnet intenta mantener el tama√Īo de alrededor de 40,000 usuarios activos en l√≠nea en cualquier momento. El controlador ha utilizado varios medios para la distribuci√≥n, incluidos los exploits de Blackhole Web

Seg√ļn el sitio web de Proxybox, por $ 25 al mes, los clientes pueden obtener acceso a 150 servidores proxy de los pa√≠ses que deseen, mientras que por $ 40 pueden obtener acceso a un n√ļmero ilimitado de servidores proxy. Los operadores de servicios prometen no mantener ning√ļn registro de acceso, lo que hace que estos servidores sean perfectos para uso criminal porque no habr√° registros para que las autoridades soliciten y revisen.

Instrucciones de eliminación manual de Backdoor.Proxybox paso a paso:

Paso 1. Presione CTRL + ALT + SUPRIMIR para abrir el Windows Administrador de tareas. Luego detenga todos los procesos.

Paso 2. Haga clic en la pesta√Īa Procesos, busque Trojan Defiler G, luego haga clic con el bot√≥n derecho y seleccione la tecla Finalizar proceso.

Paso 3. Haga clic en el botón Inicio y seleccione Ejecutar. Escriba regedit en el cuadro y haga clic en Aceptar para continuar. Una vez que el Editor del registro esté abierto, busque las claves de registro y bórrelas.

Paso 4. Busque archivos infectados y elimínelos manualmente.

Los archivos asociados y las entradas de registro que deben eliminarse se enumeran a continuación:

  • % CommonAppData% . Random
  • % Temp% random.tlb
  • % System% drivers random.sys
  • % System% random.exe
  • % System% random.dll
  • %Windows% system32 [random].exe
  • C: Usuarios [User Name] AppData Roaming [random]
  • c: Usuarios [User Name] AppData Local Temp [random]
  • HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Enum Root LEGACY_19AB4
  • HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Enum Root LEGACY_19AB4 0000
  • HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Enum Root LEGACY_74BA50F462E26657
  • HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Enum Root LEGACY_74BA50F462E26657 0000 Control
  • HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Services 74ba50f462e26657
  • HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Enum Root LEGACY_19AB4 0000 Control
  • HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Enum Root LEGACY_74BA50F462E26657
  • HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Enum Root LEGACY_74BA50F462E26657 0000 Control
  • HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services 74ba50f462e26657

La extracción manual es la forma más efectiva y completa de deshacerse de esta molesta amenaza Backdoor.Proxybox si posee un buen conocimiento de la computadora.