En anteriores ocasiones hemos hablado de cómo usuarios maliciosos controlan sus botnets, de sus estadísticas de infección y de cómo se propaga este tipo de troyanos. Sin embargo, para poder cubrir todo el ciclo es necesario explicar las metodologías utilizadas para crear las mismas. Las tendencias que hemos observado consisten en modificar el código de bots ajenas (de otros delincuentes), para luego empaquetarlas e intentar volverlas indetectables pero, nunca falta alguien que lo facilite para el usuario malintencionado que no posee conocimientos de programación:

Como se observa, no es más que un creador de troyanos del tipo bots con entorno gráfico, en el que solo se deben especificar los siguientes parámetros:

* Nombre del servidor IRC
* Puerto del servidor
* Nombre del canal IRC
* Nick del administrador malicioso (botner) al que responderán los equipos infectados
* Métodos de propagación
* Nombre del archivo ejecutable
* Opción de empaquetar con UPX el ejecutable eligiendo, a su vez, el nivel de compresión
* Mensaje de respuesta del equipo zombi al conectarse
* Nombre del malware al copiarse al equipo
* Nombre del malware al copiarse al registro de Windows
* Establecer un icono para el malware

De esta forma no se necesitan conocimientos para crear una bot y su desarrollo se realiza con extremada facilidad. Sin embargo, a pesar de la multitud de opciones posibles, y de utilizar el nivel máximo de empaquetamiento, ESET NOD32 detecta el servidor creado bajo el nombre de Win32/Brabot.A.

FUENTE

Luego de lo descubierto en los blogs de WordPress y las postales falsas de Yahoo! ahora le llega el turno al servicio de blogs de Yahoo! el cual forma parte, a su vez, de Yahoo! 360°.

En este caso se trata de la creación masiva de blogs con nombre aleatorio de la forma http://blog.360.yahoo.com/blog-7r2m.[eliminado]–?p=58. Estos blogs alojan spam y publicidad de casinos online y, la cantidad hallados (algunos de ellos ya dados de baja por Yahoo!) hace presumir que el método de creación es automático y que sus autores se basan en algún método de salteo de autenticación y de captchas.

Además, la existencia de estos blogs forma parte de una campaña más amplia de promoción de material y servicios ilegales ya que los enlaces son hallados en otros blogs, en los cuales se inserta comentarios automáticos a través de equipos zombies creados a través del troyano que ESET NOD32 detecta como Win32/Agent.NOZ. A continuación una imagen de un comentario en otro sitio de WordPress con enlaces a los blogs mencionados de Yahoo! 360°:

Los delincuentes que operan esta red promocionan sus productos a través de spam y blogs, infectando usuarios y creando botnets para continuar con el círculo vicioso de usuarios afectados. Actualmente nuestro Laboratorio se encuentra analizando el trabajo de dicha red.

FUENTE