Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2014  
ene feb mar
abr may jun
jul ago sep
oct    
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 

  Home / Bitácora

Bitácora del analista antivirus

Confirmada la existencia de la red zombi Flashfake para Mac OS X


  Igor Sumenkóv        9 abril 2012 | 13:29  MSK

Comentar  

Esta semana, Dr.Web anunció que había descubierto una red zombi para Mac OS X llamada Flashback (o Flashfake). Según sus datos, esta red zombi está compuesta por más de 500.000 ordenadores Mac infectados.

Hicimos un seguimiento del caso con un análisis de la última variante de este bot, Trojan-Downloader.OSX.Flashfake.ab.

Se está distribuyendo en sitios web infectados como un applet de Java que se hace pasar por una actualización para Adobe Flash Player. El applet de Java ejecuta un downloader que después descarga e instala el componente principal del troyano. El componente principal es un troyano descargador (Trojan-Downloader) que se conecta con frecuencia a uno de sus servidores de comando y control y espera a que aparezcan nuevos componentes para descargarlos y ejecutarlos.

El bot ubica sus servidores C&C de acuerdo a sus nombres de dominio, y esos nombres se generan utilizando dos algoritmos. El primero depende de la fecha actual, el segundo utiliza varias variables que se guardan en el cuerpo del troyano y se codifican con el hardware UUID del ordenador utilizando el cifrado RC4.

Utilizamos ingeniería inversa en el algoritmo de generación del primer dominio y pusimos la fecha actual, 04/06/2012, para generar y registrar un nombre de dominio, “krymbrjasnof.com”. Después de registrarlo, comenzamos a recibir las solicitudes de los bots. Como cada solicitud contiene un UUID único del hardware, pudimos calcular la cantidad de bots activos. Nuestros registros indican que se conectaron a nuestro servidor más de 600.000 bots únicos en menos de 24 horas. En total, utilizaron más de 620.000 direcciones IP externas. Más del 50% de los bots se conectó desde los Estados Unidos.


Distribución geográfica de los bots Flashfake activos


No sabemos con certeza si todos los bots que se conectaron a nuestro servidor utilizaban Mac OS X. Los bots sólo se pueden identificar por una variable única en su encabezado HTTP de User-Agent llamado "id", el troyano controla el resto del User-Agent de forma estática. Mira el ejemplo de abajo:

"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1; sv:2; id:9D66B9CD-0000-5BCF-0000-000004BD266A) Gecko/20100101 Firefox/9.0.1"

Utilizamos técnicas pasivas de OS fingerprinting para hacer un cálculo aproximado. Es probable que ordenadores con Mac OS X hayan enviado más del 98% de los paquetes entrantes de redes. Aunque esta técnica se basa en heurística y no es fiable por completo, sirve para calcular la magnitud en general. Por lo tanto, es muy probable que la mayoría de los ordenadores que ejecutan el Flashfake bot sean Macs.


Distribución aproximada de los sistemas operativos que se utilizan para conectarse a nuestro servidor

 

Copyright © 1996 - 2014
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com