Se trata del primer intento de controlar una red de bots desde Twitter. En todo caso, se ve que algunos aspectos son aún experimentales. Así, el creador no ha protegido sus bots contra la ingeniería inversa ni contra procesos de detección. No obstante, esto no lo hace menos peligroso.

Un aspecto interesante es que hay una cuenta de usuario de Twitter (@korrupt) asociada por defecto a la herramienta y que podría enviar comandos a todos los ordenadores zombies controlados desde la misma. Sin embargo, no presenta de momento ninguna actividad.

“Es cierto que para los ciberdelincuentes controlar una red de bots desde una cuenta de Twitter presenta algunas desventajas. Por ejemplo, si la cuenta es anulada por Twitter, la red se queda sin usuario desde el que recibir órdenes. Pero, por otro lado, también tiene sus ventajas: con una simple frase en Twitter publicada desde un teléfono móvil, los ciberdelincuentes podrían lanzar un ataque de denegación de servicio en toda regla”, explica Raúl García, Responsable de Marketing de BitDefender en España.

La nueva red de bots interrogará constantemente el perfil de Twitter especificado para recibir órdenes. Para evitar confusiones, los comandos soportados tienen que comenzar de alguna de las siguientes maneras:

1.  El comando .VISIT acepta dos parámetros separados por un asterisco, tipo: .VISIT*URL*1 o .VISIT*URL*0. Este comando haría al bot visitar la web especificada en el comando. El parámetro numérico dice al bot si debe visitar la página en una ventana visible (1) o invisible (0).

2.  El comando .SAY sólo toma un parámetro e inicia el motor Microsoft Text-To-Speech para leer el parámetro específico, por ejemplo: SAY*Something to say

Hasta aquí, el bot parece ser más o menos inofensivo, pero la introducción de los siguientes comandos lo hace realmente peligroso:

3.  El comando .DOWNLOAD toma una URL como primer parámetro y un 0 o un 1 como segundo. DOWNLOAD*URL/somefile.exe*0 o .DOWNLOAD*URL/somefile.exe*1. La URL dice la bot desde que web tiene que descargarse un archivo mientras que el parámetro numérico le dice si éste debe ejecutarse o no cuando haya sido descargado del todo.

4. El comando .DDOS*IP*PORT permite lanzar un ataque de inundación UDP (User Datagram Protocol) contra la IP indicada en el puerto especificado (contra un ordenador, router o servidor)

5.  .STOP asegura que los ordenadores controlados detienen las acciones repetitivas como visitar web de recursos o atacar una IP para causar un problema de denegación de servicio.

6.  El comando .REMOVEALL sirve para ordenar a los bots que se desconecten de la cuenta de Twitter y permanezcan inactivos hasta el próximo reinicio. Este comando prácticamente elimina el tráfico entre el bot y la web, así, hace menos invisible la infección y dificulta la detección del bot.

Los bots que permiten el control de los ordenadores a través de esta herramienta han sido detectados por BitDefender como Trojan.TweetBot.A. BitDefender cuenta con una herramienta específica para eliminar esta amenaza disponible en http://www.malwarecity.com/files/Anti-TweetBot-EN.rar.

Fuente:

http://www.atodochip.com

http://www.pcworld.com.mx

]]> http://www.enhacke.com/2010/05/18/primera-botnet-controlada-desde-twitter/feed/ 0 http://www.enhacke.com/2010/01/26/un-codigo-de-virus-puede-danar-el-hardware/ http://www.enhacke.com/2010/01/26/un-codigo-de-virus-puede-danar-el-hardware/#comments Tue, 26 Jan 2010 23:52:40 +0000 Editor http://www.enhacke.com/?p=790 BitDefender identificó una nueva amenaza que combina el comportamiento destructivo de un virus con el mecanismo de difusión de un gusano. Hay dos nuevas variantes de este virus, el cual ingresa a la computadora como una inofensiva prueba de IQ.

Una vez ejecutada el gusano crea entre siete y nueve copias de si mismo dependiendo de la variante en areas críticas del sistema Windows.

Win32.Worm.Zimuse.A es un peligroso código malicioso. A diferencia del gusano, Win32.Worm.Zimuse. A puede llevar a perder data porque sobreescribe los primeros  50 KB del Master Boot Record que es una zona importante del disco duro.

Para ejecutarse en cada inicio de Windows, el gusano establece el siguiente registro:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun]“Dump”=”%programfiles%DumpDump.exe

Esto también crea dos archivos, nombrados:

%system%driversMstart.sys and %system%driversMseu.sys

Desde las versiones de 64-bits de Windows Vista y Windows 7 se requiere drivers firmados digitalmente,e l gusano no podría instalarse.

Desafortunadamente, en estos escenarios, el gusano hará casi imposible que los usuarios sepan que fueron víctimas de esta amenaza. Si un cierto número de días pasan desde la infección (40 idas para la variable A y 20 dias para la variente B), la computadora recibe un mensaje de error en el cual se menciona que un problema  ha ocurrido debido a un contenido malicioso de un paquete desde una IP. Luego se pide al usuario recuperar el sistema presionando OK. Después de este mensaje, el siguiente reinicio causa que el disco duro de la computadora  se dañe comprometiendo el sector de booteo.

A continuación les dejamos un video que describe el ataque de este malware: