TDL-4: La botnet indestructible

Durante los últimos años hemos sido testigos de unas cuantas infecciones digitales, algunas de ellas provocando serios daños y pérdidas millonarias. El malware se encuentra en constante evolución, y se hace cada vez más difícil seguir el ritmo para aquellos que ofrecen diferentes servicios de seguridad. Como si ya no hubiera suficientes botnets en operación, la cuarta variante de la botnet TDL está haciendo de las suyas, y de acuerdo a la gente de Kaspersky, su método de funcionamiento la hace prácticamente indestructible.

Por simples cuestiones didácticas, una vez más: Una botnet es una red de ordenadores infectados por alguna forma de malware, que permite a un operador remoto manipular a estos sistemas infectados, y utilizarlos para diferentes propósitos, desde el robo de información hasta la propagación de spam. Como parte de una botnet, un ordenador se convierte en lo que normalmente consideramos un zombie, y sólo una limpieza adecuada del malware involucrado puede romper las cadenas que lo mantienen atado a la botnet. Aunque las botnets no suelen estar tan expuestas en las noticias, las consecuencias de sus acciones son de fácil visualización. Si recibes spam frecuentemente, lo más probable es que cada uno de esos correos haya llegado de alguna terminal zombie controlada por una botnet. Y en esta ocasión, es posible que estemos hablando de “la definitiva”.

Su nombre es TDL, y ya se encuentra en su cuarta versión. ¿Qué diferencia a TDL-4 de otras redes? Por un lado, tiene comportamiento de “Bootkit”, lo que significa que puede infectar el MBR de un disco duro e “iniciarse” antes que el sistema operativo propiamente dicho, dificultando tanto su detección como su remoción. Al mismo tiempo, posee algunas características de antivirus, ya que puede eliminar a la “competencia” más importante de un ordenador infectado. Otro desafío muy importante que plantea TDL-4 es que su comunicación entre sistemas infectados y terminales de control está completamente cifrada. Versiones anteriores de la botnet utilizaban RC4 para el cifrado, pero ahora fue reemplazado con un algoritmo propio.

Finalmente, llegamos a lo que parece ser el factor más importante en la resistencia de esta botnet: Opera de forma completamente descentralizada. Si bien deben existir algunas terminales de control, TDL-4 recurre a la red Kad. Dicho en otras palabras, TDL-4 es una botnet operada por P2P, y derribar una terminal de control no tiene efecto alguno en la operatividad de la botnet. De acuerdo a la información publicada, en los primeros tres meses de este año TDL-4 ha infectado cuatro millones y medio de ordenadores alrededor del globo. El foco principal de infección se encuentra en Estados Unidos, pero también se ha registrado un porcentaje importante en la India y el Reino Unido. Cierta novela de ciencia ficción decía que “saber que hay una trampa es el primer paso para evadirla”. Ahora ya sabemos que TDL-4 está allí afuera, pero su naturaleza descentralizada la convierte en toda una pesadilla.

Deja tu voto

0 puntos
Upvote Downvote

Total votes: 0

Upvotes: 0

Upvotes percentage: 0.000000%

Downvotes: 0

Downvotes percentage: 0.000000%

Lisandro Pardo

18 Comments

Deja una respuesta
  1. Woow me gustaria conocer bien su funcionamiento, muy interezante. por otro lado la mejor proteccion si se tiene windows es usar un buen firewall, antivirus (anque no le afecta), y no estar instalando cuantas cosas se desgargen de la red.

    o mejor aun cambiar de sistema operativo y ya.

  2. Posiblemente podria haber una solución y mi idea es que se promueva un dia específico y que se llame.. por ejemplo [(X)DIA MUNDIA DEL FORMATO] que sea un dia específico y algo asi de un nombre.. seria para combatir cualquier tipo de virus informaticos. y que en todo en mundo se haga formato sean servidores,, computadoras personales.. etc… saludos

  3. ¿Tendrá algo que ver que las versiones últimas de Ares (evo) funcionan bien sólo hasta que descubres que contienen código maligno?

    Me ha pasado dos veces: luego de instalado y feliz por el rendimiento una actualización semanal y revisión normal del antivirus y este recién detectó código malicioso… (?) y eliminó ares. Bajé otro ares y si bién venía limpio y funcionaba… otra actualización del malwarebytes… y de nuevo eliminado por encontrar infección.

    El problema es que los ares que aun dicen "sin infección" andan lentos o definitivamente no conectan. De verdad no entiendo, a menos que lo justifique con una infección centrada en la red P2P de Ares.

    Tengo spybot, avg, malwarebytes y comodo firewall (reviso hasta las ip sospechosas, partiendo por bloquear la conexión oculta que se da al encender todo pc con microsoft)… es dificil que se me cuelen virus, a menos que sean tan nuevos e ingeniosos que ni los antivirus los detecten.

  4. ¿Tendrá algo que ver que las versiones últimas de Ares (evo) funcionan bien sólo hasta que descubres que contienen código maligno?

    Me ha pasado dos veces: luego de instalado y feliz por el rendimiento una actualización semanal y revisión normal del antivirus y este recién detectó código malicioso… (?) y eliminó ares. Bajé otro ares y si bién venía limpio y funcionaba… otra actualización del malwarebytes… y de nuevo eliminado por encontrar infección.

    El problema es que los ares que aun dicen "sin infección" andan lentos o definitivamente no conectan. De verdad no entiendo, a menos que lo justifique con una infección centrada en la red P2P de Ares.

    Tengo spybot, avg, malwarebytes y comodo firewall (reviso hasta las ip sospechosas, partiendo por bloquear la conexión oculta que se da al encender todo pc con microsoft)… es dificil que se me cuelen virus, a menos que sean tan nuevos e ingeniosos que ni los antivirus los detecten.

    • #6 posss muchos de aqui sabemos que ares es un nido de virus XD…..
      la unica manera de estar protegido como lla lo mensionaron es usar un buen antivirus y tener mucho cuidado con las tretas en internet no hay otra forma bueno cambiar de SO tambien ayuda y mucho cuando usas windows XD

  5. La solucion para los malaware es sencilla, pero depende de INTEL y MICROSOFT ademas de todos los productores de Software, si acuerdan que la RAM se divida en 2 partes una con acceso de lectura-escritura solo para DATOS y la otra de solo LECTURA para los programas, esta ultima se puede activar para escritura(PARA INSTALAR PROGRAMAS) con un boton FISICO(un INTERRUPTOR en HARDWARE) el cual luego de la instalacion se desconecta de tal manera que esa RAM se vuelve de SOLO LECTURA inposibilitando infecciones de cualquier clase.

  6. Hackeo msn cada día son más la gente que dice saber sacar contraseñas de correo, así que comprendo a quienes no quieran creerme. Mi sistema de trabajo funciona así Usted me dice la cuenta que quiere hackear ….Yo procedo a realizar el trabajo y en cuanto tengo la contraseña (no más de 2 días) ,le doy las pruebas suficientes para recién cobrar , antes no cobramos nada .Nuestro servicio es nuevo y no te hacemos perder el tiempo ni tu dinero, solo pagas cuando te mostramos el mail hackeado , para poder contactarnos solo escribe a hackers_dragons@hotmail.com, y cuéntanos tu caso . Nosotros nos encargamos de ofrecerte las posibles soluciones y logramos resolverlo ..Hasta el final ..Es un servicio personal ..El servicio es totalmente confidencial y anónimo, en ningún momento la victima podrá notar que tu estas vigilando su correo, el programa es nuestro (creado por nosotros)y solo necesitas los password de las personas que quieras ver sus conversaciones. Te invitamos a contactarnos. Solo pedimos seas una persona seria y responsable, recuerda que también ayudamos en caso muy delicados (infidelidad, secuestros, suplantación de identidad, engaños, usurpación, etc.)…Condiciones: 1 )No es un servicio gratuito. 2) bajo ninguna condición enviamos ningún tipo de contraseña hasta no recibir el pago .3) no cobramos nada por intentar hackear la cuenta .4) no cambiamos el password , te doy el password original. 5) el costo es de 120 euros por cada cuenta hotmail o Gmail y 120 euros facebook el único mail de contacto es hackers_dragons@hotmail.com Hacker Msn Internacional – 2011 SI DESEAS CONTRATAR UN SERVICIO SERIO Y CONFIDENCIAL CONTACTANOS.

    Servicios que ofrecemos

    – Password de Correos Electronicos
    – Password de Redes Sociales
    – Password de Páginas web
    – Modificamos notas de Universidades
    – Investigamos casos de estafa
    – Borramos historial bancario
    – Ubicacion de Personas
    – Ubicacion de IP’S

    Contacto: hackers_dragons@hotmail.com

  7. Interesante articulo amigo.

    Si aun recuerdo que en mis primeros pasos con Internet, allá 1999 los virus casi no existían o mas bien, los malwares. Recuerdo que navegaba como un niño sin saber que rea bueno y malo xD

    Pero ahora veo que todo ha cambiado, ya donde menos tu pienses, estas contagiado por un malware.

  8. solo falta que tome el control de las armas nucleares para comenzar la revolución de las maquinas.

    ha nacido skynet…………….

    sálvese quien pueda.

    • No creo que la primera reacción que tenga una maquina inteligente sea la de conquistar o provocar una revolución. Pienso, que la primera reacción que tendría este tipo de maquina sería la de explorar su entorno, ergo, su primera "emoción" seria la CURIOSIDAD. El hecho es que si una red informática, en el lejano e hipotético caso de que sucediera, cobrara vida o inteligencia (que desde cierto punto de vista es lo mismo), y se auto descubriera, querría comprender el mundo que le rodea mas que conquistarlo. Lo interesante es, que involuntariamente, una maquina inteligente trataría de tomar el control de todo aquello que este conectado a ella, tal como una niña intentando mover sus piernas o brazos para ver como funcionan o tratando de alcanzar aquellos juguetes que están fuera de su alcance. En ese momento de aprendizaje de la I.A. nosotros estaríamos por completo vulnerables a sus reacciones, ya que todo lo que este conectado a ella es susceptible de ser tomado y controlado, incluso como decía #13, las armas nucleares (solo un tonto deja un arma cerca de un niño). Cuando todo halla sido aprehendido o asimilado por la I.A…. ahí comienza el verdadero reto. Si seguimos existiendo luego de que ella haya descubierto su potencial podríamos ser muy afortunados porque pudimos pasar, como dice Michio Kaku, de una civilización tipo 0 a una tipo 1, si no, es que no estábamos preparados para la singularidad y fuimos destruidos en el proceso. Desde ahí, que hallan o no guerras o revoluciones entre maquinas y humanos, dependerían de muchos factores y no solo de la inteligencia de las maquinas.

      Creo que me fui de tema :P…

      • #15 Si la programa un cientifico, sus primeras emociones serian curiosidad y respeto.
        Si la programa un militar, sus primeras emocion seria el instinto de supervivencia y el odio.

  9. Llevamos mucho tiempo luchando. Y todos hemos perdido mucho, a tantos seres queridos. Pero no estan solos.
    Ante todo, sobrevivan. No tienen ni idea de lo importantes que son y lo importantes que seran todos y cada uno ustedes. […] Skynet planea algo grande pero la Resistencia está planeando algo aún más grande. Soy John Connor, si estas escuchando esto, eres la Resistencia, recuerda que no hay más destino que el que nos forjamos.

  10. En cuanto al comentario de I.A que esta mas arriba pienso, exactamente lo mismo, unque hay algo que siempre nos va a diferenciar de las maquinas.-
    "EL ENCHUFE" por mi, que mi PC tenga inteligencia estaria buenisimo, le preguntaria tantas cosas y hablariamos tanto (considerese una inteligencia minima al menos no quiero que tenga la inteligencia de Justin Bieber)
    Ahora cuando se pone revelde o ya no la quiero escuchar, o al mas minimo indicio revelion, abajo disyuntores y enchufes y se termino la I.A!
    Eso es aplicable a cualquier maquina.-

    • #17 Ese es el punto. ¿La inteligencia implica vida?… ¿La vida de una maquina estaría en su inteligencia?.. es éticamente correcto simplemente apagarla porque ya no la queremos escuchar más?..

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.