El troyano BackDoor.Bulknet.739 infecta 100 ordenadores cada hora

Doctor Web ha localizado un botnet creado con el troyano BackDoor.Bulknet.739, el cual facilita el envío de volúmenes masivos desde los PC Windows infectados. Se calcula que de media este malware está infectando 100 ordenadores por hora, también en nuestro país.

La primera vez que BackDoor.Bulknet.739 atrajo el interés de los analistas de Doctor Web fue en octubre de 2012, cuando descubrieron que el troyano se estaba utilizando para conectar computadoras a redes de bots y realizar envíos masivos de spam. Meses después de aquello, BackDoor.Bulknet.739 sigue creciendo rápidamente, y está infectando de media a unos 100 ordenadores por hora, en su mayoría PC situados en Italia, Francia, Turquía, Estados Unidos, México y Tailandia, pero también en España.

Cuando el código malicioso se ejecuta en un sistema comprometido, un programa bautizado por Doctor Webcomo BackDoor.Bulknet.739 descarga a su vez el programa BackDoor.Bulknet.847, el cual utiliza su lista codificada de nombres de dominio para elegir una dirección donde descargar el módulo de spam. En respuesta, el troyano obtiene la página principal del sitio web y analiza el código HTML en busca de la etiqueta de imagen. El código cifrado del módulo principal de BackDoor.Bulknet.739 se almacena dentro de las etiquetas de imagen.

Doctor Web señala que BackDoor.Bulknet.739 recibe desde un servidor remoto una plantilla de correo electrónico y un archivo de configuración. El troyano emplea un protocolo binario para comunicarse con los ciberdelincuentes, que así pueden llevar a cabo actualizaciones, descargar nuevas plantillas de mensajes y listas de direcciones de spam.

Acerca de Antonio Dominguez

Analista Forense Informático, Asesor, Consulting, Técnico en Hardware y Desarrollo Ver todas las entradas de Antonio Dominguez

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: