La reactivación de la propagación del troyano Waledac es ya un hecho. Tal como anunciara el equipo de ESET el día jueves, el día viernes comenzaron a circular correos electrónicos no deseados propagando a Waledac como un falso video de YouTube, en donde podría observarse el espectáculo de fuegos artificiales realizado por el día de la independencia de Estados Unidos.

Pasado el 4 de Julio, hemos notado un incremento en la cantidad de correos en circulación, y esta semana será la de mayor actividad. Estimamos que, al igual que otras campañas, la misma durará al menos 15 días.

Sin embargo, lo que quizás muchos lectores se estarán preguntando es por qué Waledac estuvo tantos meses "dormido". La realidad, es que lo que estuvo inactivo fue la propagación del troyano. Sin embargo, la red botnet que se construyó con Waledac, se mantuvo tan activa como siempre; abocada principalmente a su objetivo más importante: el envío de spam.

Desde el Laboratorio de ESET Latinoamérica, hemos realizado algunas pruebas para compartir con los usuarios una pregunta que puede graficar la importancia de mantenerse protegido: ¿cuánto spam enviará mi computadora si está infectada con Waledac?

Para ello, hemos infectado un equipo de Laboratorio con una de las variantes propagadas por Waledac. El binario utilizado (MD5: 8036ce700043ce6dbe38561ff12d7f4c) fue distribuido en la campaña de falsos cupones de descuento,  realizada posterior al día de San Valetín entre Febrero y Marzo de 2009. La misma, es detectada por la heurística de ESET NOD32 como una variante de Win32/Kryptik.LN.

Posteriormente, utilizamos una herramienta de monitoreo de tráfico de red para observar cuántos correos eran enviados por la botnet, desde el sistema infectado. Hicimos una primer medición en 4 etapas de una hora (en diferentes horarios) y los resultados fueron los siguientes:

  • Etapa 1: entre las 18:00 y las 19:00 hs. se enviaron 6.968 correos
  • Etapa 2: entre las 20:30 y las 21:30 hs. se enviaron 7.148 correos
  • Etapa 3: entre las 10:00 y las 11:00 hs. se enviaron 5.610 correos
  • Etapa 4: entre las 13:00 y las 14:00 hs. se enviaron 6.568 correos

Si se toma el promedio de correos enviados por hora según estas mediciones (6.548 correos), se estima que un equipo infectado puede enviar aproximadamente 150.000 correos diarios. Para ser más gráficos, esto representa casi dos correos por segundo.

Estos correos son enviados utilizando los recursos de los sistemas infectados, siendo un claro ejemplo de una de las ventajas de las redes botnets.

Si consideramos que se estima que la red posee al menos 20,000 equipos infectados, se puede afirmar que la capacidad teórica de envío de spam de la red es de 3 mil millones de correos diarios. Como indicamos, esto es solo la capacidad teórica ya que no todos los equipos infectados están siendo utilizados las 24 horas del día para enviar spam. Sin embargo, esto demuestra el poder de las redes botnets en general, y en particular la relevancia de la red de Waledac en el envío de correos no deseados.

Observando las estadísticas aquí presentadas, muchos usuarios entenderán por qué sus equipos trabajan lentos cuando sus sistemas están infectados... ¡y por qué hay tanto spam!

Sebastián