| Informe de inteligencia de...

La lucha contra la amenaza Rustock

| Informe de inteligencia

de seguridad Edición especial

Enero de 2010 hasta mayo de 2011

La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial 1

La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición

especial

Este documento se publica exclusivamente a título informativo. MICROSOFT NO GARANTIZA,

NI EXPLÍCITA, NI IMPLÍCITA NI LEGALMENTE, LA INFORMACIÓN CONTENIDA EN EL

PRESENTE DOCUMENTO.

Este documento se presenta ―tal cual‖. La información y las opiniones contenidas en el mismo,

incluyendo las direcciones URL y otras referencias a sitios web de Internet, pueden cambiar sin

previo aviso. El lector asume el riesgo de utilizarlo.

Copyright © 2011 Microsoft Corporation. Reservados todos los derechos.

Los nombres de las empresas y productos reales aquí mencionados pueden ser marcas comerciales

de sus respectivos titulares.

Autores David Anselmi – Unidad de Delitos Digitales de Microsoft

Richard Boscovich – Unidad de Delitos Digitales de Microsoft

T.J. Campana – Unidad de Delitos Digitales de Microsoft

Samantha Doerr – Unidad de Delitos Digitales de Microsoft

Marc Lauricella – Trustworthy Computing de Microsoft

Tareq Saade – Centro de Protección contra el Malware de Microsoft

Holly Stewart – Centro de Protección contra el Malware de Microsoft

Oleg Petrovsky – Centro de Protección contra el Malware de Microsoft

Director del programa Frank Simorjay – Trustworthy Computing de Microsoft

2 La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial

Introducción

Este documento presenta un panorama general de la familia Win32/Rustock de troyanos de

puerta trasera activados por rootkits. El documento analiza los antecedentes de Win32/Rustock, su

funcionalidad y forma de actualización, y presenta datos y análisis de la telemetría de la amenaza

desde el año natural 2010 hasta mayo de 2011. Además, el documento detalla las medidas jurídicas

y técnicas utilizadas para frenar el robot Rustock, cómo detectarlo y cómo eliminar la amenaza

mediante los productos antimalware de Microsoft.

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Rustock


Prólogo

Microsoft y el robot Rustock

El 16 de marzo de 2011, Microsoft anunció que su Unidad de Delitos Digitales de Microsoft (DCU,

por sus siglas en inglés), en cooperación con expertos del sector y del mundo académico,

consiguieron desactivar el robot Win32/Rustock. Hasta ese momento, se estima que Rustock tenía

en torno a un millón de equipos infectados funcionando bajo su control, y se sabía que era capaz de

enviar miles de millones de mensajes de correo electrónico no deseado cada día, incluyendo avisos

falsos de sorteos de Microsoft y falsas —y potencialmente peligrosas— ofertas de medicamentos

bajo receta.

La captura del Rustock fue la segunda de un robot orquestada por Microsoft mediante una

iniciativa conjunta de la DCU, el Centro de Protección contra el Malware de Microsoft (MMPC) y

Trustworthy Computing de Microsoft, conocido como Proyecto MARS (siglas, en inglés de Respuesta

Activa de Seguridad de Microsoft). El Proyecto MARS se inició como método para detectar y

desactivar robots y las infraestructuras delictivas que sustentan, así como para ayudar a sus víctimas

a recuperar el control de sus equipos infectados. La primera desactivación de un robot en el marco

del Proyecto MARS se produjo en la primavera de 2010, una iniciativa denominada ―Operación

b49‖, que desactivó al robot Waledac. La Operación b49 fue una especie de demostración del

concepto de desactivación de robots de Microsoft, y fue seguida por la caza de un robot mucho

mayor y más dañino, conocido como Rustock, a principios de 2011. Al igual que Waledac, la

desactivación de Rustock (cuyo nombre clave fue Operación b107) se basó en la aplicación

novedosa de técnicas jurídicas y técnicas para romper la conexión entre la estructura de comando y

control del robot Rustock de una parte, con los equipos infectados por el malware bajo su control de

la otra, para interrumpir los continuos daños provocados por el robot.

Las desactivaciones de robot a gran escala, como en estos casos, no son tareas que puedan realizarse

aisladamente. Requieren un alto grado de colaboración entre expertos del sector, investigadores

académicos, organismos de seguridad pública y gobiernos de todo el mundo. En este caso específico,

Microsoft colaboró con Pfizer, el proveedor de redes de seguridad FireEye y los expertos de

seguridad de la Universidad de Washington. FireEye aportó importante asistencia técnica para el

análisis de Rustock; los tres presentaron declaraciones ante un tribunal federal acerca de los peligros

que suponía el robot Rustock y sus repercusiones en la comunidad de Internet. Microsoft también

colaboró con la Unidad de Delitos de Tecnología Punta de la policía holandesa para ayudar a

desmantelar la estructura de comando del robot que operaba fuera de EE.UU. Además, Microsoft

http://www.microsoft.com/presspass/presskits/DCU/

http://blogs.technet.com/b/microsoft_blog/archive/2010/09/08/r-i-p-waledac-undoing-the-damage-of-a-botnet.aspx

http://blogs.technet.com/b/microsoft_blog/archive/2010/09/08/r-i-p-waledac-undoing-the-damage-of-a-botnet.aspx


trabajó con CN-CERT para bloquear en China el registro de dominios que Rustock podría haber

utilizado para futuros servidores de comando y control.

La principal lección que hemos aprendido de todas estas iniciativas de lucha contra los robots es que

la cooperación en las tareas de bloqueo preventivo es fundamental para el éxito.

Richard Boscovich

Abogado, Unidad de Delitos Digitales de Microsoft


Cómo actúa Win32/Rustock

Win32/Rustock una familia de troyanos de puerta trasera activados por rootkits formada por

varios componentes, históricamente desarrollados para ayudar a distribuir correo electrónico no

deseado. Las primeras detecciones de Rustock datan de principios de 2006. A partir de 2008,

Rustock comenzó a aparecer en cantidades importantes, y hacia mediados de 2010 se había

convertido en una de las amenazas informáticas más generalizadas del mundo Figura 1. Las recientes

variantes parecen estar asociadas a programas de seguridad fraudulentos.

Figura 1. Detecciones de Win32/Rustock por soluciones antivirus de Microsoft, octubre de 2008–mayo de 2011

Componentes e instalación

Rustock consta de tres componentes diferenciados que se cifran utilizando tecnologías

personalizadas y de terceros. Aunque Rustock ha evolucionado en los últimos cinco años, se basa en

gran medida en utilidades de compresión de códigos y de ofuscación, como aPLib y UPX, así como

en el algoritmo de cifrado RC4.

En los siguientes párrafos describimos los tres componentes y su participación en el proceso de

infección de Rustock:


1. El lanzador se ejecuta en modo de usuario y es

responsable de descifrar y de introducir el

componente de controlador de rootkit. (El

componente lanzador también es responsable de

ponerse en contacto con el servidor de comando y

control (C&C) de Rustock para determinar si hay

actualizaciones disponibles.)

Antes de intentar infectar el equipo, el lanzador

verifica el registro para comprobar si el rootkit de

Rustock ya está presente. Lo hace buscando la

presencia de determinadas claves de ―eventos

globales‖ que Rustock añade al registro del

equipo una vez plenamente instalado. Si el rootkit

está presente y activo, el lanzador no intenta

volver a infectar el equipo.

El código del componente lanzador es complejo; es deliberadamente difícil y no está

optimizado. Emplea saltos polimórficos y no tiene cadenas estáticas. Se cifra con el

algoritmo RC4, tras lo cual se empaqueta con la biblioteca de compresión aPLib.

2. El componente instalador del controlador se ejecuta en modo kernel, disfrazado de

controlador del sistema Windows. Este componente intenta ocultarse sustituyendo un

controlador como beep.sys o null.sys con una copia de sí mismo, y sustituyéndolo una vez

que se ha iniciado. Si este intento no tiene éxito, normalmente el instalador utiliza un

nombre de archivo preprogramado o generado aleatoriamente, en función de cuál sea la

variante de Rustock. Entre algunos ejemplos de nombres de archivos preprogramados se

incluyen glaide32.sys y lzx32.sys; 7005d59.sys es un típico nombre de archivo aleatorio

que los investigadores han descubierto.

Las variantes más antiguas de Rustock empleaban varias técnicas alternativas para

instalarse como controlador del sistema y evitar ser detectadas. Los investigadores han

observado variantes que intentan instalarse para anular archivos compartidos (por ejemplo,

\\127.0.0.1\admin$\system32\drivers\nombreunidad.sys), soltando el instalador como

flujo de datos alternativo (como System:lzx32.sys, entre otros). Las versiones más modernas

de Rustock utilizan el enganche del servicio del sistema para cargar ocultamente este

componente.

3. El componente controlador de rootkit se ejecuta en modo kernel, al igual que el instalador

del controlador. Este componente representa el lado del modo kernel de la carga

destructiva de Rustock. El cliente del robot en modo de usuario se comunica con el rootkit

usando interrupciones INT 2Eh.

Figure 2. Win32/Rustock schematic diagram


Este componente contiene todo el código que administró la funcionalidad de intrusión por

puerta trasera, como comunicarse con el servidor de C&C y ejecutar las instrucciones enviadas

por los operadores de Rustock (normalmente, el envío de mensajes de correo no deseado).

Al igual que los demás, este componente empieza por descifrarse a sí mismo y, a continuación, se

autoinyecta una copia de su código descifrado antes de transferir el control a la copia de

reciente instancia.

Para ocultar su presencia, el componente rootkit engancha una variedad de funciones de la

Tabla de despacho de servicios del sistema (SSDT), incluyendo ZwCreateEvent, ZwCreateKey

y ZwOpenKey, para pasar el filtro de cualquier petición que contenga su propio nombre.

También oculta sus operaciones de disco y de red enganchando funciones en ntoskrnl.dll y

ntdll.dll, así como en controladores de red como tcpip.sys y wanarp.sys.

Además de las técnicas de protección antes descritas (cifrado de RC4, código no optimizado y

con saltos), Rustock busca la presencia de depuradores de kernel, como WinDBG, Syser y

SoftICE. También intenta mantener la continuidad del código comprobándose continuamente

en busca de modificaciones utilizando sumas de comprobación CRC32, y explorándose para

detectar puntos de ruptura de software (0xCC).

Correo no deseado

Una vez que Rustock se ha instalado y disfrazado cuidadosamente en el equipo del usuario, está

preparado para conectarse y comunicarse con sus servidores de C&C. Antes de la desactivación,

estos servidores enviaban información de los equipos infectados con Rustock e instrucciones para

enviar mensajes de correo no deseado sin el conocimiento, autorización ni participación de los

usuarios.

La estructura del componente de correo basura ha variado. En algunos casos está integrado en el

componente de rootkit en modo kernel; en otras, los investigadores observaron que el componente

rootkit lo baja al disco por separado, donde se ejecuta en un contexto de usuario.

Las primeras versiones de Rustock utilizaban un motor de cliente de SMTP personalizado

denominado ―botdll.dll‖ para enviar correo no deseado. En 2008, Rustock fue modificado para

enviar correo basura a través de Windows Live Hotmail utilizando credenciales suministradas por el

servidor de C&C. El envío de correo electrónico directamente desde el equipo de un usuario suele

ser un indicio revelador de infección por malware, y los riesgos son detectados como actividad

maliciosa por los servidores de seguridad (cortafuegos) y otras tecnologías de vigilancia de redes.

Utilizando un cliente de correo electrónico basado en web, Rustock tenía más posibilidades de

evitar la detección.


Además, el pasarse a Hotmail permitió a Rustock aprovechar las ventajas de SSL. Mientras que los

mensajes de correo electrónico tradicionales se enviaban en texto sin formato, Rustock podía ahora

cifrar su tráfico de salida utilizando DHTTPS, otro método más para evadir la detección.

El correo basura enviado por los equipos infectados está basado en ―plantillas de correo no deseado‖,

o archivos de recursos, que los equipos del usuario recibieron desde los servidores de C&C. Los

equipos infectados utilizaron estas plantillas, algunas de las cuales contienen ilícitamente marcas

comerciales de Microsoft, para generar el correo basura que enviaban. Los operadores de Rustock

podían ahora determinar cuán agresivamente un equipo enviaba correo basura especificando el

número de hilos que empleaba para enviar mensajes, hasta un máximo de 100.

Algunas amenazas de malware de correo masivo, como Win32/Lethic, incluyen varias direcciones

en la línea ―Para‖. A diferencia de estas amenazas, Rustock enviaba mensajes de correo basura a un

destinatario cada vez.

Figura 3. Comparativa de los modelos de distribución de correo no deseado de Rustock y Lethic

Despliegue y carga destructiva

A medida que Rustock evolucionó, también lo hizo su carga destructiva. Inicialmente fue diseñado

para enviar correo electrónico no deseado, y originalmente estuvo asociado con la infraestructura de

McColo y de la Russian Business Network (donde se vio alojados a los instaladores). Los mensajes de


correo no deseado típicos que enviaba con más frecuencia tenían que ver con productos

farmacéuticos o sitios de farmacia falsos, o bien vinculados a páginas que ocasionalmente alojaban

malware adicional.

Se observo asimismo que Rustock dirigía tráfico hacia sitios de software de seguridad fraudulento

que llevaban a los usuarios a comprar e instalar productos antivirus falsos empleando técnicas de

ingeniería social. Además, se sabía que Rustock instalaba software de seguridad fraudulento y otros

programas de malware en equipos infectados, tanto directamente como a través de engaños.

La DCU realizó un experimento conjuntamente con el MMPC, que consistió en vigilar

estrechamente un host infectado con Win32/Harnig (un conocido lanzador de Rustock) para

determinar qué malware adicional se instalaría. En el curso de los cinco minutos siguientes a la

infección sin interacciones, en el equipo infectado se había descargado e instalado una amplia

variedad de malware adicional y de software potencialmente no deseado, como puede verse en la

siguiente figura:

Figura 4. Amenazas instaladas por Win32/Harnig dentro de los cinco minutos siguientes a la infección

Nombre de la amenaza MD5

Software de publicidad: Win32/Zugo 5a77b40c7e9de96a4183f82da0836a19

Puerta trasera: Win32/Kelihos.A 1454b22c36f1427820b24b564efb2e39

Descargador de troyanos: Win32/Stasky.A 19616154d6d63a279d77ae11f7b998e9

Descargador de troyanos: Win32/Bubnix.A 8e159ff1bbd5a470f903d0e32979811c

Seguridad fraudulenta: Win32/FakeSpypro 76f4c35d23b7363fcf6d1870f0169efe

Troyano: Win32/Malagent 7d6ead50862311242902df065c908840

Troyano: Win32/Harnig.gen!D d0556114e53bae781a5870ef4220e4fc

Troyano: Win32/Hiloti.gen!D 1c8cb08d2841f6c14f69d90e6c340370

Troyano: Win32/Hiloti.gen!D 444bcb3a3fcf8389296c49467f27e1d6

Descargador de troyanos: Win32/Renos.MJ 5571a3959b3bd4ecc7ae7c21d500165f

Descargador de troyanos: Win32/Renos.MJ 89f987bdf3358e896a56159c1341f518

Descargador de troyanos: Win32/Small.SL ccd08d114242f75a8f033031ceeafb88

Troyano: Win32/Meredrop 23472a09a1d42dc109644b250db0ca1e

Descargador de troyanos: Win32/Waledac.C b7030bdf24d6828c6a1547dc2eece47d

Descargador de troyanos: Win32/Waledac.C de5bd40cb5414a5d03ffd64f015ffacc

Puerta trasera: Win32/Cycbot.B 86d308e7a03e9619dbf423e47ac39c50

Descargador de troyanos: Win32/Small.SL 2664b0abf4578d0079e3ad59ab697554

Gusano: Win32/Skopvel 331fe9a906208ce29ba88501d525356b

Seguridad fraudulenta: Win32/Winwebsec e4a9504875c975b8053568120c56743b


Muchas de las amenazas enumeradas en Figura 4 han sido diseñadas para descargar todavía más

amenazas a diversos intervalos.

Múltiples capas de descargadores de troyanos forman complejas cadenas de relaciones entre los

propietarios de diferentes redes de malware. A menudo se dice que el acceso a los robots está en

alquiler, pero también lo está el acceso a las ubicaciones de descargadores. Este acceso queda en

evidencia por el hecho de que los archivos dirigidos por los descargadores cambian continuamente.

En ocasiones son permutados por versiones más nuevas del malware o por versiones oscurecidas de

diferentes maneras, y otras veces son cambiados por algo completamente diferente.

Debe destacarse que Rustock emplea una arquitectura modular de carga destructiva: el cliente de

robot en modo de usuario de las versiones anteriores, como botdll.dll, pudo ser sustituido fácilmente

por otra carga destructiva. Aunque Rustock dedicaba la mayor parte de su tiempo a enviar correo

basura, pudo ser fácilmente utilizado para prácticamente cualquier fin nefasto con mínimas

modificaciones.

Mecanismo de control de la copia de seguridad

Cuando no podía acceder a los servidores de C&C, Rustock contaba con un mecanismo de

recuperación para restablecer las comunicaciones. El malware incluye un algoritmo que genera

diariamente 16 nuevos nombres de dominio, que consisten en cadenas de caracteres sin sentido.

como jvwyqarglgwqvt.info y hy38la8rwpaqlpiy.com. A continuación, los equipos infectados

intentan ponerse en contacto con cada uno de estos dominios. Los operadores de Rustock utilizan el

mismo algoritmo para generar con antelación los nombres de dominio, y los emplean como puntos de

comando y control. Se han identificado variantes de Rustock que utilizan seis algoritmos diferentes,

cada uno de los cuales genera distintas listas de nombres de dominio, hasta un total de 96 nuevos

nombres de dominio diarios. Como se explica más adelante en la sección "Estadísticas de Rustock‖,

los investigadores de Microsoft han conseguido aprovechar este mecanismo para obtener valiosa

información acerca de la amplitud y el alcance del robot Rustock.


Derrota de Rustock en los

tribunales

La del Rustock fue la segunda desactivación importante de un robot que Microsoft ha promovido en

los dos últimos años. En 2010, Microsoft pidió y obtuvo una orden judicial para cerrar varios

dominios maliciosos utilizados por el robot Waledac. (Consulte más información en el sitio webdel

Informe de inteligencia de seguridad.) Como parte de esa iniciativa, Microsoft presentó una querella

contra los operadores anónimos del robot Rustock, basada en parte en el abuso de las marcas

comerciales de Microsoft en el correo basura del robot.

Figura 5. La orden de restricción temporal otorgada contra los operadores del robot Rustock.

Sin embargo, la infraestructura de Rustock era mucho más complicada que la de Waledac, basada

en direcciones IP más que en nombres de dominio, y en servidores de comando y control (C&C)

http://www.microsoft.com/security/sir

http://www.microsoft.com/security/sir


punto a punto para controlar el robot. En un intento por impedir que el robot pudiese trasladarse

rápidamente a la nueva infraestructura, el 9 de marzo de 2011 Microsoft pidió y obtuvo una orden

judicial que incorporaba una orden de confiscación. Esta orden permitió a la empresa, acompañada

por las autoridades, capturar físicamente pruebas sobre el terreno y, en algunos casos, llevarse los

servidores afectados de las instalaciones de los proveedores de alojamiento para su análisis. (Esta

orden, así como otros documentos del caso, puede consultarse en www.noticeofpleadings.com.)

Figura 6. Discos duros confiscados de los servidores de C&C de Rustock

El 16 de marzo de 2011 fueron incautados servidores a cinco proveedores de servicios de alojamiento

que operan en siete ciudades de EE.UU.: Kansas City (Misuri); Scranton (Pensilvania); Denver

(Colorado); Dallas (Texas); Chicago (Illinois); Seattle (Washington); y Columbus (Ohio). Con la

ayuda de los proveedores ascendentes, Microsoft consiguió cortar las direcciones IP que controlaban

el robot, desconectando las comunicaciones y desactivarlo.

A renglón seguido, Microsoft realizó una investigación forense de 20 de los discos duros incautados,

que revelaron información importante acerca del funcionamiento del robot:

Las pruebas de difusión halladas en uno de los discos duros incluyeron software

personalizado relacionado con el montaje de mensajes de correo electrónico no deseado, y

archivos de texto conteniendo miles de combinaciones de direcciones de correo electrónico


y nombres de usuario/contraseñas. En solamente un archivo de texto se encontraron más de

427.000 direcciones de correo electrónico. Muchas de las plantillas de correo basura

aportaron pruebas de abuso de marcas comerciales pertenecientes a Microsoft y a

compañías farmacéuticas.

Otra unidad incluía datos que indicaban que el servidor del cual fue tomada la unidad se

empleó como punto de partida para ciberataques del espacio ruso de IP.

Todas las 18 unidades restantes presentaron características comunes que indicaban que los

servidores asociados eran utilizados como nodos en una red que permite el acceso anónimo

a Internet. Posiblemente estos servidores fueron utilizados para permitir a los operadores

acceder anónimamente a los sistemas de Rustock como los descritos anteriormente, donde

se almacenaban plantillas de correo electrónico, marcas comerciales y direcciones de

correo electrónico.

Por otra parte, el análisis forense de las unidades también reveló varias direcciones de correo

electrónico posiblemente utilizadas por los operadores durante los ensayos del sistema.

Mediante la investigación de los acuerdos de alojamiento de los servidores, Microsoft determinó que

los servidores de C&C de Rustock eran pagados mediante una cuenta de servicios de pago por

Internet asociada a una dirección de la región de Moscú, Rusia. Del mismo modo, una serie de

servidores de C&C fueron establecido por una o más personas con el apodo de ―Cosma2k‖, que

estaba conectada a una serie de diferentes nombres.

Microsoft sigue investigando todos estos nombres, direcciones de correo electrónico y demás pruebas

con el objeto de identificar a los individuos responsables de implementar y explotar el robot Rustock

y adoptar las medidas legales pertinentes.


Estadísticas de Rustock

Entre el 22 de enero y el 4 de febrero de, 2011, Microsoft detectó que equipos infectados por Rustock

se conectaron a Internet desde más de 1.300.000 direcciones IP únicas de todo el mundo. El nivel de

infección de la arquitectura de Rustock está conformado por un gran número de equipos infectados

instalados en empresas, residencias particulares, instituciones educativas, bibliotecas y cibercafés de

todo el mundo.

La siguiente cifra muestra la enorme cantidad de conexiones a Internet realizadas en el curso de 24

minutos por un único equipo infectado por Rustock. Este equipo estableció tres conexiones normales,

pero también ejecutó 1406 búsquedas exclusivas en varios hosts A de DNS de Internet, 2238

búsquedas exclusivas de registros MX de DNS en servidores de correo de Internet. Además, intentó

enviar correo basura a 1376 servidores de correo de Internet, incluyendo un buen número de clientes

de cuentas de correo electrónico de Hotmail y MSN, y estableció 22 conexiones a servidores de

C&C u otros servidores de Internet.


Figura 7. Representación visual de la actividad de un único equipo infectado por Rustock en el plazo de 24 minutos.

Estadísticas de la infección

Tal y como ya se ha explicado previamente en la sección ―Cómo actúa Win32/Rustock‖, las

variantes de Rustock han sido diseñadas para contactar con una serie de nombres de dominio

generados algorítmicamente con el objeto de obtener instrucciones en caso de que los servidores de

C&C no estuviesen disponibles. Los investigadores de Microsoft consiguieron someter con éxito a

ingeniería inversa a los algoritmos de generación de nombres de dominio de Rustock antes de la

desactivación del 16 de marzo, lo cual les permitió registrar ellos mismos los nombres de dominio

para evitar que los operadores de Rustock pudiesen controlarlos. Estos nombres de dominio fueron

asignados a sumideros (complejos de servidores diseñados para absorber y analizar el tráfico de

malware) operados por Microsoft, lo cual permitió observar y estudiar el tráfico del robot. La


telemetría generada por los servidores de sumidero ha aportado valiosa información acerca del

ámbito geográfico del robot de Rustock.

Figura 8. Direcciones únicas de IP que contactaron con el sumidero de Rustock durante las primeras 8 semanas posteriores a la desactivación, por semana

Al igual que la mayoría de las familias de malware, Rustock no afecta de igual manera a todas las

partes del mundo. La siguiente figura muestra el número de resultados recibidos por los servidores

de sumidero desde los equipos infectados por Rustock durante la primera semana posterior a la

desactivación.


Figura 9. Distribución mundial del tráfico de Rustock durante la primera semana posterior a la desactivación

Los equipos infectados de EE.UU. fueron los que generaron la mayor parte del tráfico del sumidero

durante la primera semana: 55,8 millones de resultados. Después de EE.UU. se clasificaron Francia

(13,7 millones de resultados), Turquía (13,4 millones), Canadá (11,4 millones), India (7,3 millones) y

Brasil (7,1 millones). No obstante, algunos países con gran número de equipos generaron

relativamente pocos resultados, como China (423.078 en la primera semana), Chile (500.925),

Dinamarca (539.577)y Noruega (581.263).

El número de direcciones IP que contactaron con el sumidero descendió en un 44,2% entre la

primera y la octava semana después de la desactivación, a medida que las variantes de Rustock iban

siendo eliminadas de los equipos afectados mediante software antivirus y otros medios, como

secuencias de comandos, herramientas de eliminación y reinstalación de equipos. Al igual que con

las infecciones iniciales, esta disminución no afectó a todas las regiones del mundo de igual manera.

Figura 10 y Figura 11 muestran el porcentaje de descenso de direcciones IP únicas que contactaron

con el sumidero de Rustock entre la primera y octava semanas después del 16 de marzo en diferentes

lugares del mundo, así como los proveedores de servicios de Internet (ISP) más afectados.


Figura 10. Disminución de direcciones IP que contactaron con el sumidero de Rustock durante las primeras 8 semanas posteriores a la desactivación, por ubicación

Figura 11. Disminución del tráfico de Rustock desde los 15 ASN más afectados entre el 16 de marzo y el 17 de mayo

ASN Rank Continent Unique IPs – Week 1 Unique IPs – Week 9 Decreas

e

Affected ASN 1 Asia 117,480 42,109 64.2%



Affected ASN 4 North America 31,405 17,611 43.9%





Affected ASN 9 Europe 23,440 15,006 36.0%








Estadísticas de correo no deseado

Aunque su comportamiento fue variando con el correr del tiempo, se ha dicho que Rustock ha sido

uno de los mayores robots de correo basura del mundo, capaz de enviar a veces 30.000 mensajes de

correo electrónico no deseado cada día. Los investigadores de la DCU observaron a un único equipo

infectado por Rustock enviar 7.500 mensajes de correo basura en solamente 45 minutos, un ritmo de

240.000 mensajes diarios. Además, gran parte del correo basura observado procedente de Rustock

suponía un peligro para la salud pública al publicitar versiones falsificadas o no autorizadas de

productos farmacéuticos.

Como se ha mencionado previamente, dado que Rustock propagaba un mercado de estos fármacos

falsificados, la farmacéutica Pfizer se incorporó a este caso como afectada. Pfizer realizó compras de

prueba de los medicamentos publicitados por Rustock e incluyó los resultados de sus análisis en su

declaración. La declaración de Pfizer aportó pruebas de que el tipo de fármacos promovidos

mediante este tipo de mensajes de correo basura contenían ingredientes activos erróneos,

dosificaciones incorrectas o, todavía peor, que se producían en condiciones inseguras. Los fármacos

falsificados suelen estar contaminados por sustancias que incluyen pesticidas, pinturas con plomo y

ceras para suelos, por mencionar solamente unos pocos ejemplos.

Figura 12. Mensaje no deseado enviado a través del robot Rustock


Actividad de correo no deseado de Rustock detectada

mediante tecnología de Microsoft

Grandes volúmenes de correo basura procedente de Rustock fueron detectados utilizando

Microsoft® Forefront® Online Protection for Exchange (FOPE). FOPE cuenta con tecnologías en capa

que contribuyen activamente a proteger el correo entrante y saliente de las organizaciones contra

correo no deseado, virus y suplantaciones (phishing), quebrantando las directivas de correo

electrónico. La siguiente figura muestra la actividad de correo basura del robot Rustock desde enero

hasta abril de 2011 detectada por FOPE, clasificada por mensajes recibidos y las distintas

direcciones IP utilizadas.

Figura 13. Actividad del robot Rustock detectada por FOPE el primer trimestre de 2011, por mensajes recibidos y direcciones IP utilizadas

Por motivos no totalmente claros, aunque podrían reflejar las vacaciones de Navidad, el robot

Rustock se mantuvo prácticamente inactivo entre el 25 de diciembre de 2010 y el 9 de enero de

2011. El robot reanudó su funcionamiento normal tras esta pausa, y hacia principios de febrero

mostraba un patrón típico estable. Tras la desactivación, la actividad del robot cayó abruptamente

hasta casi cero a mediados de marzo.

Conclusión


Se ha dicho que Rustock ha sido uno de los mayores robots de correo basura del mundo, capaz de

enviar a veces 30.000 mensajes de correo electrónico no deseado cada día. Mediante los esfuerzos

combinados de Microsoft, el sistema judicial y el sector, Rustock fue desactivado el 16 de marzo de

2011.


Las medidas adoptadas contra robots a gran escala, como Waledac y Rustock, han sido las primeras

de su tipo, pero no serán las últimas. A medida que los ciberdelincuentes sigan utilizando los robots como base de su actividad delictiva, Microsoft, el sector, el mundo académico y las autoridades de todo el mundo mantendrán su compromiso del combatirles. Juntos podemos impedir que los delincuentes utilicen robots para causar estragos en línea y crear un Internet más fiable para todos.

http://www.microsoft.com/mscorp/twc/endtoendtrust/vision/botnet.aspx


Orientación: Defensa contra

software malicioso y

potencialmente

no deseado

La protección eficaz de los usuarios contra el malware requiere esfuerzos de arte de las

organizaciones e individuos. Es importante mantener actualizadas las defensas contra el malware y

mantenerse informados acerca de la evolución más reciente de las técnicas de propagación del

malware, incluyendo la ingeniería social.

Para una orientación más detallada, consulte los siguientes recursos en la sección ―Mitigación de

riesgos‖ del sitio web del Informe de inteligencia de seguridad de Microsoft:

Promoción de la exploración segura

Protección de la gente

Si cree que su equipo pudiese estar infectado por Rustock u otro tipo de malware, le invitamos a

visitar support.microsoft.com/botnets para obtener información y recursos gratuitos para limpiar su

PC.

http://www.microsoft.com/security/sir/strategy/default.aspx#section_2_3

http://www.microsoft.com/security/sir/strategy/default.aspx#section_4

http://www.support.microsoft.com/botnets

One Microsoft Way

Redmond, WA 98052-6399,

EE.UU.

microsoft.com/security

| Informe de inteligencia de...

Documents

Transcript of | Informe de inteligencia de...