Hasta la vista, Coreflood

Mucho se está hablando en estas últimas horas del takedown de la botnet Coreflood, realizado por el trabajo en conjunto del departamento de justicia de EEUU, Microsoft y el FBI. Tal como habíamos anticipado desde el Laboratorio  de Análisis e Investigación de ESET Latinoamérica, otra gran botnet, como sucedió con Rustock a principio de año, ha sido dada de baja.

Una botnet es una red de computadoras controladas remotamente, a las cuales su botmaster (persona o personas que la controlan) les envía órdenes para realizar determinadas acciones.

En el caso particular de esta botnet, todas las computadoras fueron infectadas por el troyano Coreflood, por esta razón la botnet es llamada de esta manera.  Los troyanos, a diferencia de los virus, no se replican automáticamente sino que deben ser ejecutados por el usuario para lograr la infección del equipo.

Coreflood se caracteriza por ser una botnet de bajo perfil, lo que le permitió estar activa por casi una década. En ese lapso llegó a infectar casi 2 millones de computadoras, en su mayoría en Estados Unidos.  En el último tiempo su actividad creció, lo que posibilitó hacer más notoria su presencia.

En sus orígenes comenzó como un bot de IRC cuyo objetivo era infectar a otros usuarios de IRC, luego evolucionó en un proxy TCP para luego finalmente convertirse en un troyano cuya principal finalidad es el robo de información. A lo largo de su vida, pasó de ser una botnet que vendía servicios de ataques de denegación de servicio distribuidos (DDoS) a ser una que vendía servicios de anonimización para realizar fraudes bancarios.

Para lograr el takedown se obtuvo una orden de restricción temporal (en inglés TRO), como parte de una investigación civil utilizada por autoridades norteamericanas para tener el control de las máquinas que servían como Command & Control. Se obtuvo dicha restricción ya que dichos servidores se hallaban  en empresas de hosting dentro de los Estados Unidos. Con esto se logra desactivar temporalmente la botnet, dándoles tiempo a los usuarios para que instalen alguna solución antivirus que detecte y desinfecte su computadora, antes de que el botmaster envíe una nueva actualización del malware, buscando no perder el control de la computadora. En cuanto a los equipos infectados afuera de Estados Unidos,  el FBI se contactará con los respectivos proveedores de internet que posean maquinas infectadas por este troyano para lograr su desinfección.

Este malware es detectado por ESET NOD32 Antivirus como Win32/Afcore, el cual tiene dos componentes: un y el malware que corre como dropperbackdoor. El código del backdoor es inyectado en ciertos procesos en ejecución como: explorer.exe, iexplore.exe, firefox.exe, opera.exe, skype.exe. También se conecta con el servidor remoto para recibir las órdenes del C&C, donde algunos de  estos comandos pueden ser instrucciones para robar contraseñas, atacar otras computadoras, etc. El dropper, al ser ejecutado, crea varios archivos ejecutables y de datos de nombres aleatorios que se almacenan en el disco. Generalmente estos archivos se gurdan en la carpeta c:windowssystem32. En cuanto al registro de Windows, este es modificado para lograr que el troyano se ejecute cuando se inicia la sesión de Windows, cuando el proceso explorer.exe es creado y cuando el Internet Explorer es ejecutado. También este malware es capaz de realizar acciones como: robar certificados privados (utilizados para lograr acceso en páginas de home banking), reiniciar o finalizar procesos en ejecución, monitorear las conexiones de red y conectarse a un host remoto para enviar la información robada.

Las víctimas de este malware son variadas, hasta ahora se sabe que afectó hospitales, redes de empresas, estaciones de policía, entre otras, pero las más rentables para los creadores fueron una compañía de negocios inmobiliarios de Michigan, que perdió 115.771 dólares, y una empresa con contratos gubernamentales radicada en Tennessee, a la cual le sustrajeron 241.866 dólares.

Como veníamos comentando en estos últimos tiempos en este blog, y acorde a las opiniones comentadas por Pierre-Marc Bureau (Senior Malware Researcher de ESET), las grandes botnets están desapareciendo. Seguramente este tipo de acciones se seguirán repitiendo, para alegría y beneficio de todos los usuarios.

Juan Esteban Forgia
Malware Analyst

Autor , ESET

Síguenos