Phatbot un nuevo troyano que actúa en equipo robando todo tipo de información


"Phatbot" es el nombre de un nuevo virus informático que emplea diferentes métodos para extenderse y que, una vez instalado en el ordenador actúa "secretamente" robando contraseñas y datos sensibles, además de convertir al equipo en un "esclavo" del creador del código para poder realizar ataques a otros sistemas.





Expertos en seguridad informática tanto del sector privado como del Gobierno de EE.UU. están analizando la aparición de un nuevo tipo de herramienta "cracker" altamente sofisticada que usa el mismo sistema que las redes de intercambio P2P, como Kazaa o BearShare. Según las primeras estimaciones, cientos de miles de PCs han sido ya infectados en todo el mundo.

Esta herramienta de ataque que los expertos han denominado "Phatbot" o "Polybot", permite a sus autores tomar el control de los ordenadores y unirlos a las redes P2P usándolos para enviar cantidades enormes de mensajes de correo electrónico no deseado (spam) o colapsar sitios Web mediante denegaciones de servicio en una tentativa de dejarlos inutilizados.

También es capaz de robar contraseñas, claves para activar productos y hacerse con los códigos de PayPal, el sistema que permite realizar pagos online.

Un nuevo tipo de gusanos capaces de "acabar con todo"

Este nuevo tipo de amenaza cracker fue descubierto por funcionarios del Departamente de Seguridad de EE.UU., quienes dieron la alarma poniéndose inmediatamente en contacto con un grupo escogido de expertos en seguridad de ordenadores. En la alarma, la agencia advirtió que el "Phatbot" roba las contraseñas y los números de serie de los programas en los ordenadores infectados, es tremendamente mutable (polimórfico) e intenta además con éxito inutilizar el software de los antivirus y de cortafuegos instalados.

Lo que distingue a este programa de los anteriores es el elevado número de comportamientos perniciosos que es capaz de realizar, así como su habilidad para crea versiones alteradas de sí mismo para escapar al software anti-virus, y es capaz de saltarse algunos sistemas de seguridad ya instalados, señalaron expertos informáticos.

Los expertos indicaron que Phatbot pertenece a una reciente ola de virus que se caracterizan por tener múltiples facetas y por su complejidad.

Joe Stewart, un investigador en la empresa Lurhq, especializada en seguridad, ha catalogado las características internas que el Phatbot incluye: "fuerte capacidad polimórfica en una tentativa de evadir firmas de antivirus permitiendo extenderse de sistema en sistema sin ser detectado"; "acaparar conexiones a las cuentas personales de AOL y sus contraseñas"; "envíar masivamente spam" "y "sniffar el tráfico en la Red para enviar cookies", entre otras muchas…

El Phatbot es una nueva modalidad de Troyano-Gusano (al estilo del Fizzer, pero mucho más agresivo) que ha despertado la preocupación y el interés entre los expertos porque representa un avanzado salto en sofisticación de este tipo de programas y demuestra lo difícil que lo van a tener las autoridades para aplicar las Leyes, resultando además difícilmente eliminable por las empresas de Antivirus.

Como otros Caballos de Troya tradicionales, Phatbot puede infectar los ordenadores mediante varios métodos, como por ejemplo bugs de defectos de seguridad en el sistema operativo o por "puertas traseras" abiertas en máquinas ya infectadas por gusanos como el "Mydoom" o el "Bagle".

Pero a diferencia de otros troyanos que actúan individualmente, el Phatbot al transmitirse por una inmensa red de tipo P2P, puede ser usado por los crackers para enviar ordenes masivas a las máquinas infectadas por muchas vías diferentes, siendo muy difícil prevenir un ataque enorme al no existir forma de desinfectar al mismo tiempo cada ordenador afectado o evitar su rápida propagación, sin conocimiento de los usuarios, cuyos antivirus y cortafuegos son anulados en el momento de la infección.

El Phatbot es "un tipo agresivo de software de ataque que funciona como una ‘navaja suiza’" ha confesado Vincent Weafer, Director de Respuestas de Seguridad Informática de Symantec (Norton) en California.

A que grado ha llegado la infección

"Está muy extendido, pero todavía no ha alcanzado niveles de epidemia", dijo Tony Magallanez, ingeniero de la firma anti-virus F-Secure, a la publicación TechNewsWorld.

Para Craig Shmugar, de Network Associates, el virus merece la calificación de riesgo "bajo", aunque advierte que el potencial es grande porque puede extenderse y operar maliciosamente de varias maneras.

De acuerdo a otras estimaciones, el virus ya ha alcanzado a cientos de miles de computadoras.

Así lo cree, por ejemplo, Igor Ybema, administrador de redes en la Universidad de Twente, en Holanda, que eleva el número de ordenadores infectados entre 1 millón y 2 millones.

Sus calculos están basados en un comando del Phatbot que fuerza a los ordenadores infectados a probar su velocidad de conexión a Internet enviando un fichero a uno de los 22 servidores Web expresamente seleccionados en el mundo entero, uno de ellos en esta Universidad de Holanda.

Según explicó, Twente comenzó a supervisar el tráfico de ordenadores que controlan las pruebas a mediados de febrero, detectando a comienzos de la semana pasada, un promedio de 200,000 a 300,000 peticiones de pruebas de velocidad diarias, lo cual demuestra que los atacantes que antes usaban otras herramientas troyanas menos sofisticadas y de acceso remoto como NetBus, BackOrifice o SubSeven están ahora usando Phatbot para controlar centenares de miles de ordenadores al mismo tiempo mediante su capacidad intrínseca P2P. La mayoría de las infecciones parece que provienen de conexiones de banda ancha de usuarios y de universidades en los Estados Unidos y de la región de Asia-Océano Pacífico, muchos de ellos infectados sin saberlo.

Su fuerza esta en el trabajo en equipo

El simple hecho de pensar que cientos de miles de máquinas estén infectadas ya por este nuevo tipo de navaja suiza en forma de troyano sofisticado es aún más peligroso que cualquier ataque imaginado hasta este momento, incluyendo los ya famosos gusanos MyDoom, Bagle o Netsky. Aunque catalogado en este momento aún como de baja peligrosidad por empresas como McAfee (que lo define como gusano) o por Kaspersky (que los define como troyano), lo cierto es que este nuevo tipo de herramienta cracker, que en sí funciona como gusano, como troyano, como herramienta DoS y como Nuke ponen de manifiesto la vulnerabilidad de las redes ante un ataque global generalizado.

En sí, este nuevo virus como unidad individual no es importante; su fuerza radica en la infección generalizada al mismo tiempo de cientos de miles de máquinas en todo el mundo actuando coordinadamente: robar gran parte del ancho de banda de las redes internacionales para el envío de correo no deseado, robar contraseñas o propagar denegaciones de servicios generalizadas es algo que supera con mucho la peligrosidad de otros virus que requieren la actuación directa del usario para su propagación. Una caída global en la Red Inet es igual para todos, independientemente del sistema operativo… Otra nueva forma de virus capaces de echar abajo las redes de todo el mundo mediante el envío masivo de spams o denegaciones de Servicio se está acercando y Phatbot está a la cabeza de ellos. El futuro de nuevos virus, cada vez más peligrosos y sofisticados, ya está aquí…(Fuente: Redacción e información suministrada por Prog en Bandaancha.st )

Más información en:

CNET:

http://news.com.com/2100-1009_3-5175025.html?tag=nefd_top

F-Secure ha puesto en circulación una herramienta de desinfección en:

ftp://ftp.f-secure.com/anti-virus/tools/f-agobot.zip

McAfee:

http://vil.nai.com/vil/content/v_101100.htm

Reproducido de Noticiasdot.com


pdfprintpmail