Related Posts Plugin for WordPress, Blogger...

Qué es un BOTNET y como eliminarlo.


"DESCARGAS AL FINAL DE LA ENTRADA"

En Internet, las guerras no se combaten con rifles y cañones, sino con virus y conexiones de alta velocidad. ¿El arma más dañina? Los DDoS o ataques de denegación de servicio, un “pisoteo” coordinado capaz de tumbar casi cualquier sitio web en cuestión de horas. El ejemplo más célebre es la Operación Payback, en defensa de la polémica web WikiLeaks, que consistió en ataques contra las webs de MasterCard y PayPal, entre otras.


¿Y el ejército? Son ordenadores infectados por un tipo especial de malware, los virus de botnet. Troyanos de este tipo convierten el PC en un robot dirigido por control remoto, carnaza para batallas cuyos capitanes son vándalos de poca monta, los script-kiddies. Defenderse es muy difícil, pero sí es posible evitar formar parte de la armada zombi. Antes, sin embargo, hay que descubrir una cosa: ¿has sido infectado?

Botnet es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota. Es creado por y para requerimientos de capacidad de cálculo y se usan para diversas actividades criminales y también para investigaciones científicas. Existen algunos botnets legales tanto como ilegales.

En los sistemas Windows y Mac OS la forma más habitual de expansión de los "robots" suele ser en el uso de cracks y archivos distribuidos descargados con algún tipo de cliente P2P. Este tipo de software suele contener malware el cual, una vez el programa se ejecuta, puede escanear su red de área local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de Windows, etc.

En otros entornos como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH por medio del sistema prueba-error: probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de forma sistemática o bien mediante ataques a bugs muy conocidos, que los administradores pueden haber dejado sin enmendar.

Usando una Botnet para enviar Spam.
1.El operador de la botnet manda virus/gusanos/etc a los usuarios.
2.Los PC entran en el IRC o se usa otro medio de comunicación.
3.El Spammer le compra acceso al operador de la Botnet.
4.El Spammer manda instrucciones vía un servidor de IRC u otro canal a los PC infectados...
5... causando que éstos envíen Spam al los servidores de correo.


Las Botnets normalmente usan servicios gratuitos de DNS para IP's dinámicas como DynDns.org, No-IP.com, & Afraid.org para apuntar a unsubdominio al cual el creador puede conectarse en caso que le cierren el servidor de IRC.[cita requerida] En muchas ocasiones basta con avisar a estos proveedores para que cancelen su cuenta y de esta manera desarticular la Botnet completa.

Afortunadamente la estructura de servidores de la botnet tiene vulnerabilidades inherentes a su arquitectura. Por ejemplo, si se encuentra el servidor de IRC y el canal, se tiene acceso a la botnet completa, con lo cual al servidor de IRC le basta con cerrar el canal o poner una g-line o k-line a las ips que intenten entrar a dicho canal.

No obstante existen construcciones más refinadas de estas botnets que tienen una lista de servidores alternativos en caso que pase esto. Otras veces, en cambio, los bots están configurados con un dominio, el cual puede cambiar fácilmente de destinación (IP) para guiar al botnet al server preferido en ese momento, sin depender de configuraciones anteriores.

El control de la botnet se hacía normalmente a través del IRC, pero nuevas versiones de estas botnets han evolucionado hacia control medianteHTTP, con lo que la detección de estas redes es más compleja. Esto hace que las redes de empresas sean más vulnerables también, ya que el tráfico de IRC queda bloqueado.2

Adicionalmente algunos spammers tienen su propio servidor de IRC donde son los dueños y, posiblemente, haga falta ser operador de la red para ver los canales, hacer whois, o ver alguna información útil. Cabe decir que en muchos casos estos servidores suelen funcionar en el equipo de una de las víctimas pero teniendo el control total el atacante.


¿Formas parte de una botnet?

Las vías para convertir el propio PC en un zombi son variadas, pero casi todas pasan por la ejecución de código malicioso de forma inadvertida, especialmente en ordenadores que no han aplicado los últimos parches de seguridad. Algunas de las modalidades de infección más comunes son:

-Parches o cracks para desproteger programas comerciales
-Malware oculto en aplicaciones Java, controles ActiveX o descargas casuales
-Troyanos (falsos antivirus y aplicaciones P2P)
-Virus en archivos adjuntos a correos electrónicos
-Gusanos que aprovechan conexiones sin cortafuegos

Para llevar a cabo sus ataques, las botnets necesitan ordenadores siempre encendidos y con acceso libre a Internet, así que las infecciones son difíciles de detectar. La compañía de antivirus ESET ha compilado una lista de síntomas (similar a la de Microsoft); si tu situación encaja con la descrita, es posible que tu PC sea un zombi.

-El ordenador se activa sin intervención humana
-Problemas al apagar o apagado defectuoso
-Lentitud inusual al navegar y enviar correos
-Disminución importante del rendimiento
-Imposibilidad para actualizar el antivirus
-Aparición de mensajes extraños

Tras la infección, muy discreta, un proceso oculto se queda a la espera de órdenes del “pastor”, el maleante que hay detrás de la red de zombis. Sus comandos sólo pueden alcanzar la máquina si está encendida, conectada y sin cortafuegos de por medio.

Programas como TCPView o CurrPorts te ayudarán a descubrir procesos ocultos que estén usando la conexión a Internet; uno de ellos podría ser el virus. Otra excelente herramienta de diagnóstico -muy avanzada- es BotHunter, especializada en la detección de botnets y disponible para Windows, Mac y Linux.


El exterminador de bots: RUBotted

A veces, un antivirus estándar no es suficiente para liberar el ordenador de su estado de esclavitud, aunque su activación y actualización, así como el uso de un cortafuegos (por ejemplo, el incluido en Windows), son medidas preventivas muy recomendables. Si quieres una vacuna específica, prueba Trend Micro RUBotted.

RUBotted controla la actividad de red y los procesos en ejecución en busca de patrones sospechosos. En caso de detectar actividad maligna, avisa al usuario y ofrece opciones para su eliminación. Entre las alternativas a RUBotted están la Herramienta de Eliminación de Software Malintencionado de Microsoft y demás vacunas gratuitas.


Prevención: sé la oveja negra del rebaño

Eliminar la infección te servirá de muy poco si tu ordenador sigue siendo una casa confortable para troyanos y scripts maliciosos. Las cinco medidas que presentamos a continuación deberían bastar para aumentar la seguridad de tu equipo y evitar así que se convierta en un zombi al servicio de ciber-gamberros:
-Mantén al día tu sistema operativo, antivirus y antiespías
-Descarga un cortafuegos gratuito o activa el de Windows
-Activa el cortafuegos en tu router para evitar intrusiones
-Usa un navegador seguro y sigue estas recomendaciones
-Desconecta el ordenador de Internet cuando no lo estés usando




DESCARGAS: (Si no funcionan los enlaces, contacta con Twitter@juAMApro y te facilitara un enlace nuevo.)

- Herramienta de diagnóstico -muy avanzada- es BotHunter, especializada en la detección de botnets y disponible para Windows, Mac y Linux.
- Programas como TCPView o CurrPorts te ayudarán a descubrir procesos ocultos que estén usando la conexión a Internet.
- El exterminador de bots: RUBotted. Trend Micro RUBotted.

No hay comentarios:

Publicar un comentario

Compartir English Portuguese Spain