Una gran parte de los drivers disponibles en descarga en el sitio de soporte de Razer tenian el troyano TROJ_DROPPER.JIZ. Una vez que el troyano se descarga en la computadora libera una copia mediante un instalador que contiene el virus WORM_ASPXOR.AB.

Lo que muchos internautas se preguntan es como es posible que en el caso de una empresa fiable o un sitio que anteriormente habia cumplido con medidas de seguridad, se les haya podido colar un troyano entre sus descargas de drivers. Algo que no se explica por mucho que se especule con errores, algún hackeo malintencionado hacia la compañia, o supuestos trasteos de empleados.

Razer por su parte ha estado trabajando con rapidez para solucionar e impedir la distribucion de malware, primero quitando de descarga hasta 8 drivers diferentes, supuestamente infectados, y buscando la raiz del agujero de seguridad. El virus gusano Worm.ASPXOR.AB abre un puerto TCP al azar y comienza a enviar spam con réplicas del virus adjuntas a los emails fraudulentos usando la computadora victima del ataque informático. Según las investigaciones de Trend Micro es un virus particular que tras un escaner en el servicio online de Virus Total, lanza un ratio bajo de detección: sólo 7 de 41 paquetes de seguridad lograron detectar el malware.

Este es el mensaje que aparecia en Razer, donde avisan de la alerta desde el dia 19 de septiembre, además de recomendar a los usuarios realizar un escaner de seguridad de sus ordenadores.

Razer was alerted of an malicious attack to our support site this past weekend (19th September) by a malware virus or trojan. We had earlier taken down the support page for the past 24 hours to ensure all issues were resolved. If you have downloaded and installed drivers or firmware from www.razersupport.com from the 19th of September 2009, it is recommended that you visit one of the following sites for a free virus scan.

Seguramente solucionarán lo ocurrido rapidamente y sus descargas de drivers volverán a estar disponibles y limpios, en su sitio web. Por otro lado, conviene destacar la necesidad de tener antivirus y protección en nuestro ordenador, incluso con descargas aparentemente inofensivas puede ocurrir una catástrofe inesperada. Leer más información en el blog de Trend Micro.

Botnet hace referencia a un grupo de ordenadores infectados y controlados remotamente gracias a robots de software, o bots, que se ejecutan de manera autónoma. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC; las nuevas versiones de estas botnets se estan enfocando hacia entornos de control mediante HTTP con lo que el control de estas maquinas será muchos más simple. Teniendo a muchos ordenadores zombie a su servicio y fuera del control de sus usuarios legítimos, pueden usarse para enviar spam masivamente.

En los sistemas Windows la forma más habitual de expansión de los “robots” suele ser en el uso de cracks u otro software relacionado con la piratería. Este tipo software suele contener malware el cual, una vez el programa se ejecuta, puede escanear su red de área local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de windows o mediante libretas de direcciones email.

En otros entornos como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH por medio del sistema prueba-error: probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de forma sistemática o bien mediante ataques a bugs muy conocidos dado que los administradores descuidados dejan sin parchear.

En la página Secure Works, realizaron un estudio muy detallado rastreando el origen del spam y llegando a probar el tipo de software y troyano utilizados para hacer funcionar una botnet que enviaba el correo basura de forma masiva.

El primer paso para tratar de completar la tarea de rastrear un email de spam hasta una botnet, es encontrar un perfil o “fingerprint” común de los emails enviados por el bot. Aunque los nombres de los supuestos emisores de los correos, el asunto y el cuerpo del mensaje es variable, existen elementos estáticos en las cabeceras de los emails que permiten tener información valiosa.

En los emails de spam Ron Paul, se identificaron las siguientes coincidencias claves:

* La cabecera de Recibido tiene siempre la estructura “desde [bot ip] por [nameserver del dominio emisor]“.
* La ID del mensaje empieza siempre con 000 y acaba por un texto aleatorio que combina letras sin significado.
* Las fechas de envio en las cabeceras aparecen en hora GMT, independientemente de la hora local de la zona donde se encuentre actuando el bot.
* X-Mailer es siempre Microsoft Outlook Express 6.00.3790.2663
* X-MimeOLE es siempre Microsoft MimeOLE V6.00.3790.2757

Los autores del estudio rastrearon muchas direcciones IP desde donde llegaba el correo basura, determinaron que las intenciones no eran en absoluto politicas pues el spam Ron Paul variaba y trataba de comercializar los tipicos productos del spam como imitaciones, warez o productos farmaceuticos sin receta.

En colaboración con diversos administradores de redes, pudieron trazar la ruta al servidor de control sobre los ordenadores zombie, siempre y cuando los administradores accedieron a dar datos de los servidores con bots en su red. Determinaron que el servidor que controlaba la botnet estaba situado en unas instalaciones de Estados Unidos y particularmente conocidas por los investigadores de seguridad informática y antimalware por tener este tipo de actividades con frecuencia.

Encontraron finalmente el malware que permitió la expansión de la botnet: Trojan.Srizbi. Según la descripción de Symantec se trata de un troyano de baja peligrosidad que utiliza un rootkit para ocultarse, ataca a computadoras con Windows desprotegidas.

Analizando las máquinas infectadas detectaron que el troyano pudo ser distribuido gracias al n404 web exploit kit, que podia encontrarse en el sitio de malware msiesettings.com, este kit de exploit que busca vulnerabilidades concretas tiene diferentes versiones y activa troyanos a su vez. Lamentablemente para los creadores de esta botnet, algunos ordenadores sin ningún tipo de protección ya tenian spambots de otro tipo infectando la computadora y compartiendo recursos pues se suman los recursos y el % de CPU entre ellos lo cual ralentizaba sobremanera los ordenadores zombie y seguramente los usuarios decidieron buscar ayuda técnica por el raro comportamiento.

Gracias a Spamhaus, los creadores del estudio pudieron acceder al servidor de control y examinar el software utilizado, programado en Python. El spamware o distribuidor principal se llamado Reactor Mailer, funcionando desde 2004. Tiene una interfaz y plantillas con formularios para realizar las tareas de envios masivos de correo publicitario.

Solamente la base de datos de emails de algunas de las tareas de envios asignados tiene un tamaño de 3.4 gigabytes y contiene 162,211,647 direcciones email. Afortunadamente, su software no tenia ningun tipo de feedback para saber lo que el usuario hacia con el email, muchas direcciones eran inválidas o desactualizadas y no podian saber si el internauta ignoraba el correo y lo eliminaba sin abrirlo. Por tanto segun el estudio no eran muy eficientes y se basaban en enviar el mayor número de correos posible.

El bot utilizaba un puerto especifico TCP para comunicarse con el servidor de control por lo que desde Secure Works pudieron localizar a través de la red hasta 16 servidores adicionales que tenian control sobre la distribucion del malware.

Estos fueron los servidores y su tipo de spam enviado:

xxx.xx.168.107 – Inactive
xxx.xx.168.134 – pill spam
xxx.xx.168.137 – Russian-language spam
xxx.xx.168.143 – Inactive
xxx.xx.168.144 – Inactive
xxx.xx.168.250 – Previously used, down now
xxx.xx.169.2 – Inactive
xxx.xx.169.22 – Replica watch spam
xxx.xx.169.25 – Russian-language spam
xxx.xx.169.107 – MLM work-from-home spam
xxx.xx.169.110 – OEM software spam
xxx.xx.169.135 – Work-from-home spam
xxx.xx.169.136 – pill spam
xxx.xx.169.147 – spam
xxx.xx.169.148 – pill spam
xxx.xx.169.153 – Replica watch spam
xxx.xx.169.154 – Replica watch spam

Aunque parezca increible, esta botnet llegó a enviar 200 millones de emails spam diarios durante su corto periodo de actividad.

El funcionamiento del troyano consistía en realizar conexiones hacia la web de Monster.com y así realizar búsquedas laborales utilizando credenciales de empresas empleadoras. La comunicación con la web en cuestión era realizada a través de subdominios dedicados a personas/empresas que pagan por el servicio de búsqueda de candidatos apuestos de trabajo.

Dicho servicio, puede ser accedido mediante un pago periódico y en algunos casos está limitado en la cantidad de consultas que pueden ser realizadas, por lo que nos hace suponer que para llegar al 1,6 millón de datos que según Symantec han sido extraídos, deberían de haber utilizado los datos de acceso de empresas que han contratado el servicio semestral o anual, los cuales no tienen límites de consultas.

Symantec también resalta la similitud entre Infostealer.Monstres y Trojan.Gpcoder.E, ambos utilizan un mismo archivo e icono, similar al de la compañia Monster.com, lo que daría a suponer que un mismo grupo de individuos estaría detrás de ambos troyanos.

Además, Trojan.Gpcoder.E, ha estado utilizando datos reales en correos basura, lo que ha dado como resultado en un excelente ataque de phishing. Algunos medios informaron que el ataque había sido hacia la web de Monster.com y utilizando cuentas de empleados de dicha empresa, pero parece ser que en realidad fueron cuentas de empleadores y el ataque lo sufrieron los usuarios de la web y no un servidor como se pretendía dar a entender.

En algunos de esos correos se pedía a los usuarios que descargasen la herramienta Monster Job Seeker, que supuestamente sirve para agilizar la búsqueda de empleo, pero que en realidad es un programa malicioso que supone un doble perjuicio por el usuario.

Por un lado, es capaz de memorizar las claves bancarias que se utilizan en las operaciones por internet y, por otro, encripta los archivos del ordenador y pide una recompensa para liberarlos.

Los responsables de Monster.com aseguran que el incidente no tiene nada que ver con problemas de seguridad de la web e indican que los datos robados no son diferentes que los que se pueden encontrar en cualquier listín telefónico.