La semana pasada les contábamos sobre el retorno de la botnet Waledac, donde destacábamos el envío masivo de spam que este realizaba una vez infectado el equipo.

El día de hoy les traemos un análisis estadístico del caudal de spam enviado por un cliente afectado con el nuevo troyano de dicha botnet.

El calculo en cuestión se basa en sacar un valor promedio de la cantidad de correo basura enviado en una determinada ventana de tiempo. En este caso contabilizamos la cantidad de correos que envió el equipo que infectamos intencionalmente en un plazo de 5 minutos. A continuación los resultados de dicho análisis:

  • Tiempo de ejecución: 5 minutos - Spam enviado: 200 correos aproximadamente.
  • Tiempo de ejecución: 60 minutos - Spam enviado: 2400 correos aproximadamente.
  • Tiempo de ejecución: 24 horas - Spam enviado: 57600 correos aproximadamente.

Como se puede observar, el caudal de correos enviados es más que considerable, y más aún si se tiene en cuenta que se trata de una botnet que acaba de resurgir. Ahora consideremos lo siguiente, una botnet esta conformada por varios equipos afectados y no solo por 1, ¿qué sucede si extrapolamos estos número a los de una red zombi real?:

  • Tiempo : 24 horas x Cantidad de bots: 100 x Spam por hora: 2400 = 5.760.000 correos basura.
  • Tiempo : 24 horas x Cantidad de bots: 1000 x Spam por hora: 2400 = 57.600.000 correos basura.
  • Tiempo : 24 horas x Cantidad de bots: 5000 x Spam por hora: 2400 = 288.000.000 correos basura.

Ahora el panorama cambia, ya que estamos hablando de millones de correos por día emitidos desde una sola botnet. Aún así la cantidad de clientes imaginados es considerablemente baja para las que suele contener una botnet real por lo que los números serían aún mayores.

En relación al archivo kb845325.exe el cual también mencionamos en el post anterior, el mismo efectivamente es una actualización del troyano de la botnet, detectado por ESET NOD32 Antivirus por heurística como una variante de Win32/Kryptik.HN.

Podemos observar que no se necesita de una botnet demasiado grande para enviar grandes caudales de spam, permitiéndole al desarrollador malicioso tener un ingreso monetario considerable y constante gracias a la venta de este servicio.

  • Costo de 1.000.000 de correos = 100 dolares
  • Costo adicional por el envío del spam por 24 hs = 200 dolares

En el caso de que un potencial cliente desee enviar 57.600.000 correos en 24 horas, deberá comprar 57 listas y media más 200 dolares por el envío, que llevan a un total de 5960 dolares por día que gana el botmaster. Lo que significa que estará ganando aproximadamente 178.800 dolares por mes.

Queda más que claro que siempre y cuando siga existiendo mercado, las botnets no solo no van a desaparecer, sino que irán creciendo en cantidad y tamaño.

Joaquín Rodríguez Varela
Malware Lab Engineer