Partnerka - a rede russa ilegal

Uma apresentação na Virus Bulletim Conference por Dmitry Samosseiko, pesquisador da Sophos, descreve como funciona a Partnerka (pronuncia-se Partnyorka), considerada a responsável por boa parte dos spams que recebemos atualmente.

A partnerka é um conjunto de centenas de redes afiliadas e milhares de "webmasters" com o objetivo de lucrar com a venda on-line de falsos relógios, falsos anti-virus, falsos remédios, falsos qualquer coisa que possa dar lucro. Embora o volume de spam continue crescendo, e continuamos recebendo anúncios da Canadian Pharmacy e de falsos "Rolex", a tática agora é o uso de plataforma web 2.0. Os novos alvos dessa rede são blogs, forums e anúncios que geram tráfico em websites.

O artigo segue descrevendo como funciona a rede que espalha o spam da Canadian Pharm (GravMed) e os distribuidores de falsos anti-vírus e falsos codecs de video. A boa notícia é que os lucros na distribuição de falsos anti-vírus e codecs estão diminuindo e veremos uma diminuição nesse tipo de malware.

O artigo original pode ser baixado no seguinte link: http://www.sophos.com/sophos/docs/eng/marketing_material/samosseiko-vb2009-paper.pdf

Twitter usado por botnets

O Twitter ultimamente tem sofrido diversos ataques. Agora mais um problema foi divulgado por um pesquisador da Arbor Networks.

Segundo ele, contas do Twitter estão sendo utilizadas para espalhar programas maliciosos, transformando o Twitter em um canal de controle de botnets. A conta "upd4t3" (imediatamente suspensa pelo Twitter) estava enviando uma pequena linha de texto, embaralhado com o algoritmo base64, que apontava para links que faziam o update de malwares no computador infectado. Esse malware aparenta ser da família do trojan Buzus, sendo detectado por apenas 22% dos anti-vírus atualmente.

fonte: http://www.theregister.co.uk/2009/08/13/twitter_master_control_channel/

As finanças das botnets

O The Register publicou uma matéria descrevendo como funcionam as finanças das botnets, baseada em um artigo publicado no Kaspersky Lab por Yury Namestnikov.

O artigo inicialmente descreve a evolução das botnets, de um sistema de controle centralizado com apenas um C&C para um sistema distribuído mais sofisticado com controle descentralizado, mais difícil de derrubar.

As principais fontes de renda das botnets são resumidas a seguir:

• Alugar uma botnet para um ataque DDoS custa entre $50 e milhares de dólares por um ataque de 24 horas, dependendo do tamanho e da proteção do site atacado;
• Dados de contas bancárias custam entre $1 e $1.500, dependendo do saldo e de outros fatores. A competição entre os criminosos derrubou os preços mínimos;
• Dados pessoais para criar uma identidade falsa custam entre $5 e $8 nos Estados Unidos e 3 vezes mais na Europa, pois os dados podem ser utilizados em diversos países europeus;
• Fraudadores utilizando phishing scam pagam entre $1.000 e $2.000 por mês para alugar o acesso a uma botnet fast-flux;
• O envio de spam custa entre $70 e $1.000, de acordo com a quantidade de mensagens enviadas (de milhares a dezenas de milhões);
• A manipulação dos mecanismos de busca custa cerca de $300 por mês;
• A instalação de adware nas máquinas pode custar de $0,30 a $1,50 por programa instalado. Na China o preço é bem menor do que nos Estados Unidos.

O método mais efetivo de combate às botnets é a cooperação entre experts de empresas de segurança, provedores e a polícia. Esse método conseguiu fechar 3 empresas (EstDomains, Atrivo e McColo) que hospedavam centros de controle de várias botnets. Apenas o fechamento da McColo conseguiu reduzir em 50% a quantidade de spam circulando na rede. Porém com a mudança dos centros de controle para outros provedores, o nível de spam já voltou ao normal.

Além disso, o papel do usuário final, com medidas de proteção para evitar a infecção, também é ressaltado.

As 10 principais botnets

A Network World listou as 10 principais botnets atuais, baseadas em uma estimativa pela empresa de segurança Damballa do tamanho e atividade no Estados Unidos. A líder é a Zeus, com 3,6 milhões de PCs comprometidos. A famosa botnet Conficker, com 210 mil PCs comprometidos, está em último nessa lista.

1: Zeus
2: Koobface
3: TidServ
4: Trojan.Fakeavalert
5: TR/Dldr.Agent.JKH
6: Monkif
7: Hamweq
8: Swizzor
9: Gammima
10: Conficker

fonte: http://it.slashdot.org/story/09/07/22/1822224/Americas-10-Most-Wanted-Botnets

Bot transforma smartphone em zumbi

A caixa de Pandora é bem grande...

Bot transforma smartphone em zumbi
James Della Valle, de INFO Online
Sexta-feira, 17 de julho de 2009 - 08h24

SÃO PAULO – Dispositivos móveis com a plataforma Symbian OS correm o risco de serem infectados com o novo spam bot SYMBOS_YXES.B.

A ameaça se comporta como uma aplicação legítima, a ACSServer.exe, também conhecida como Sexy Space. Segundo a Trend Micro, uma vez no controle do aparelho, ela é responsável por roubar dados como identificação do telefone, da rede e estatísticas de uso. Em seguida, o código passa a monitorar a conexão com a web para enviar spam aos cadastrados na lista de contatos.

O material das mensagens vem de website acessado discretamente pelo aparelho, o que caracteriza a formação de uma botnet de smartphones.

A questão é que todos os aplicativos desenvolvidos para o sistema operacional são obrigados a passar pelo processo de certificação da Fundação Symbian, que deve identificar tais ameaças antes que elas cheguem ao mercado.

A única solução encontrada até o momento consiste na atualização do sistema de segurança do aparelho para que ele possa detectar e apagar o YXES.B.