Top das BOTNETs em termos de Spam

a

Depois de à dias ter feito um post em que falava da Damballa dizer que a kraken é a maior BOTNET, a SecureWorks emite um relatório com o Top das BOTNET que geram mais Spam. Este relatório entra em contradição em alguns aspectos com o post que escrevi sobre a Kraken e tem gerado uma grande discussão entre a Damballa e a SecureWorks.

Segundo este relatório o TOP 5 das BOTNETs é composto por:

1-Srizbi

Também conhecida por Cbeplay ou Exchanger tem uma estimativa de 315,000 maquinas infectadas.

2-Bobax

Também conhecido por Bobic, Oderoor, Cotmonger, Hacktool.Spammer ou Kraken, esta BOTNET tem uma estimativa de 185,000.

3-Rustock

Também conhecida por RKRustok, ou Costrat conta com 150,000 computadores infectados.

4-Cutwail

Esta botnet também é conhecida por Pandex ou Mutant e tem uma estimativa de 125,000 computadores infectados.

5-Storm

Também conhecida por Nuwar, Peacomm ou Zhelatin e tem uma estimativa de 85,000 computadores infectados.

Como podem ver a Kraken que falei no outro dia aqui no blog como sendo a maior BOTNET, segundo este relatório é apenas a segunda maior BOTNET tendo o nome principal de Bobax, e é aqui nestes pontos que tem havido controvérsia entre a SecureWorks e a Damballa.

Para a SecureWorks a Kraken é a mesma BOTNET que a Bobax, tendo apenas sofrido uns “updates” enquanto que para a Damballa a Kraken é uma BOTNET nova e que não tem nada a ver com a Bobax.

Quanto à SecureWorks no seu relatório colocar a Kraken em segundo lugar com apenas 185,000 infectados e a Damballa como sendo a maior BOTNET com mais de 400,000 infectados, é porque a SecureWorks apenas considera as maquinas infectadas a gerar Spam, enquanto que a Damballa considera todas as maquinas infectadas.

Panda ActiveScan Online

a

Vou aproveitar o artigo de hoje para lhe falar detalhadamente do Panda ActiveScan Online

, uma solução de defesa não preventiva desenvolvida pela Panda Security. Este antivírus online permite a realização de um scan completo ao seu computador sem que tenha de instalar qualquer programa nele usufruindo da alta capacidade de processamento dos servidores da Panda e da maior rapidez com que obtêm as actualizações da Panda.

A versão gratuita deste scanner online da Panda Online apenas permite a remoção de Vírus, Worms e Cavalos de Tróia (Trojans) embora tenha a capacidade de detectar os seguintes tipos de Malware:

• Spyware
• Dialers
• Detecta Riscos de Segurança no Sistema
• Detecta Ferramentas de Hacking
• Detecta Jokes

Apesar de não eliminar estes últimos tipos Malwares que acabei de referir, esta solução da Panda Online pode ser usada como uma segunda verificação ao vosso programa principal que elimina estes Malwares, só para confirmar que foi tudo eliminado.

Quero deixar duas notas importantes sobre o Panda ActiveScan Online:

1. É necessário utilizar o Internet Explorer para realizar o scan, uma vez que usa ActiveX.
2. Aconselho a desligar/desactivar o vosso Anti-Vírus, pois durante a instalação do ActiveX do scan da Panda, é possível que acuse Vírus mas não se preocupem que não é Vírus, podem ler a explicação aqui.

Aceda ao site da Panda Online e clique em “Analisar o Computador” para dar inicio à detecção de malware no seu computador. Após isto apenas terá de fornecer alguma informação como País, Região e um endereço de email.

Ao clicarem em “pesquise agora” vai ser então instalado o ActiveX, a própria pagina da panda tem instruções de como instalar o ActiveX e é bastante simples, é só clicar na barra que vai aparecer no cimo da janela e carregar em “instalar ActiveX“

Pode ser necessário clicar varias vezes em install/run ActiveX, não sei ao certo quantas vezes, mas é irem clicando até que a barra no topo da janela deixe de aparecer. Quando tiver tudo pronto a correr aparece a seguinte pagina onde podem escolher a que pastas querem fazer o scan (esta pagina ao inicio aparece ainda com a barra no cimo da janela, logo é preciso continuar a instalar/correr o ActiveX até a barra desaparecer ).

E pronto está tudo pronto para fazer o scan (Nota: a instalação do ActiveX só acontece na primeira vez que correm o scan, das próximas vezes já não é necessário) é só escolherem ao que querem fazer o scan e ele começa.

Por fim é vos apresentado um relatório do scan em que indica o tipo de Malware que encontrou . É dado também a possibilidade de fazer download do relatório para o vosso computador.

Ao longo das varias paginas podem ver no canto superior direito um link vermelho que diz “1-clique em ActiveScan”, se clicarem nele podem escolher ter um atalho no vosso computador que inicia logo o Panda ActiveScan Online sem ser necessário entrar no site do Panda Online.

Como podem ver, foi encontrado Spyware e Vírus no meu computador, mais especificamente 36 Spyware e 1 Vírus. Este computador foi formatado à uma semana ,tem um Anti-Vírus, uma Firewall, e tenho cuidado com os sites que visito e tinha esta quantidade de Spyware, imaginem meses de utilização a quantidade que podem ter.

Esta ferramenta da Panda Online é muita boa como segunda ferramenta, mas para poderem remover os spywares e outros aconselho a utilização de um anti-spyware muito bom , o noadware.

Computadores Portugueses dos mais infectados e Aumento de Malware

a

Este post é sobre duas noticias e como são sobre assuntos semelhantes, resolvi escrever tudo em um post.

A primeira noticia é sobre um relatório divulgado hoje pela Symantec em que Portugal ocupa o décimo lugar do “ranking” de computadores que foram infectados por Malware na região Europa, Médio Oriente e África em 2007.

Também em 2007, de todas as actividades maliciosas na Internet a nível mundial, Portugal conseguiu um 25º lugar de entre 231 países.

Podem ler a noticia mais completa no Publico online ou então no Webtuga que foi onde vi a referencia a esta noticia.

A segunda noticia é sobre o aumento de Malware .

Segundo os analistas da Kaspersky o numero de Malware em 2006 era de 535,131 e em 2007 teve um grande crescimento tendo atingido mais ou menos o valor de 2,227,415. Como podem ver é um aumento de quatro vezes mais em relação ao Malware de 2006, tendo o volume de Malware detectado em 2007 sido de 354 GB.

Segundo também estes analistas, a qualidade e complexidade do Malware tem vindo a aumentar, dando como exemplo as BOTNET´s(Storm worm, kraken).

Se a maioria das pessoas seguíssem o meu blog, o numero de computadores infectados seria menos e teríamos ficado num lugar melhor. Não é assim tão difícil seguir algumas “regras” básicas de segurança na Internet e ter uma Firewall, um Anti-vírus e um Anti-Spyware a correr para livrar destes bichos chatos.

Ficam então aqui para os menos atentos as dicas que escrevi sobre segurança e o post sobre sintomas de estarm infectados com malware:

• Dicas segurança
• Estou infectado com Malware?

BOTNET Kraken – O monstro da internet

a

Kraken segundo as lendas era um monstro marinho, algo como uma lula/polvo gigante e que ameaçava os navios…mas neste caso falo mesmo do nome de uma BOTNET e não de um mostro marinho(mas se pensarmos bem no assunto, uma BOTNET acaba por ser um “monstro” da Internet e o nome para esta botnet assenta que nem uma luva)que tem vindo a crescer e muito nos últimos tempos.

Para quem não sabe o que é uma BOTNET, esse assunto já foi falado aqui no blog e podem ler sobre isso aqui.

A kraken BOTNET conseguiu ultrapassar o numero de maquinas infectadas da Storm BOTNET que é das mais conhecidas mundialmente. O numero de maquinas estimado para kraken é de mais de 400 mil.

Imaginem só o poder computacional que esta BOTNET tem. E segundo a companhia de segurança Damballa que tem observado o comportamento desta BOTNET, foi identificado o envio de mais de 500 mil mensagens de spam por apenas uma única maquina, imaginem agora a capacidade desta BOTNET se cada maquina infectada(conhecidas por “zombie”) enviar mais de 500 mil mensagens de spam, é só fazer as contas!

Como posso ser infectado?

O kraken propaga-se através de um ficheiro executável disfarçado de imagem(como o JPEG ou PNG) e com a extensão escondida para que o utilizador não veja que é um executável. Após o utilizador abrir o ficheiro, ele copia-se a sim próprio para o disco, reinicia e apaga o ficheiro original.

Anti-vírus não detecta e elimina o kraken?

Infelizmente a resposta é: nem sempre. Apenas 20% dos computadores com Anti-vírus consegue detectar o kraken uma vez que este tem a capacidade de modificar o seu código.

Nunca é de mais lembrar para terem cuidado a abrir ficheiros, se tiverem cuidado com o que abrem é difícil virem a ser infectados.

Estou infectado com Malware?

a

Quais podem ser os sintomas que indicam que estou infectado com algum tipo de Malware?

Seguem então algumas dicas que foram feitas a pensar nos utilizadores do windows, que podem indicar que tenham o computador infectado:

-Quando entram no windows, ou no browser abrem-se alguns pop-ups ou então mesmo centenas de pop-ups.

-No browser a home page que abre não foi definida por vocês e não conseguem definir outra.

-No browser quando escrevem um endereço na barra de endereços, abrem outros sites diferente dos que escreveram.

-Aparecem toolbars do nada e sem estarem á espera do seu aparecimento.

-Aparecem mensagens de erro aleatórias e sem nada a haver com algum programa que estejam a correr.

-Têm problemas de performance no computador, muita lentidão a executar programas ou a gravar ficheiros.

-Aparecem novos icons inesperados no system tray.

Se têm algum destes sintomas que descrevi, é provável que estejam infectados com algum tipo de Malware, por isso o melhores que têm a fazer é correr um Anti-Vírus e Anti-Spyware para descobrirem se estão mesmo infectados e remover essas infecções.Têm mais sugestões de sintomas? Deixem comentário!

BOTNET- A rede zombie

a

Uma BOTNET é um grupo de computadores “zombies” que são controlados remotamente. Estes foram de alguma maneira infectados por Trojan ou por Vírus e estão num estado de “hibernação” até que quem os controle dê alguma ordem.

O objectivo de uma BOTNET é provocar um ataque em larga a escala, imaginem milhões de computadores ao mesmo tempo a atacar um único sistema. Imaginem que existe um sistema para onde vocês comuniquem em caso de emergência, existe um ataque de BOTNET contra esse sistema, apesar de ele estar muito bem protegido, o numero de computadores a atacar é tão grande que vocês deixam de conseguir comunicar com o sistema. Este ataque tem o nome de DDos -Distributed Denial of Service.

De momento existe um BOTNET muito conhecido chamada de Storm Worm BotNet e da qual irei falar outro dia.

Para se protegerem de o vosso computador vir a virar “zombie”, devem seguir as dicas que já dei aqui no blog e servem para o Malware em geral. Podem ler a primeira parte aqui e a segunda parte aqui .

Win32/Netsky.Q worm o pior Vírus de janeiro

a

Segundo o site do NOD32 o Win32/Netsky.Q é o Vírus que mais tem infectado durante o este mês e durante os últimos meses de 2007.

Este Vírus é um Worm que se espalha por mensagens de e-mail, redes de p2p ou pastas partilhas em redes.

Modo de funcionamento:

Adiciona entradas no registo para que seja automaticamente iniciado ao iniciar o Windows, e remove outras entradas para desactivar versões antigas deste Worm que possam estar presentes no sistema infectado.

P2p

Para se espalhar pelas redes de p2p, procura no sistema por pastas que tenham no nome por exemplo kazaa, ftp e copia para dentro dessas pastas copias dele próprio com nomes diferente, alguns exemplos desses nomes são: Britney sex xxx.jpg.exe; Ahead Nero 8.exe; WinAmp 13 full.exe;

e-mail

Para se espalhar por e-mail, procura por ficheiros do tipo por exemplo .adb .asp .cgi, e extrai deles endereços de e-mail, de seguida envia para esses e-mails copias dele próprio.

Alguns exemplos de assuntos do mail são: I love you! ; Postcard; Re: Administration;

Alguns exemplos do corpo da mensagem: I found this document about you; Please confirm the document; Thank you for your request, your details are attached;

O Worm vai como anexo, e pode ter vários nome.

Conclusão

Este Worm já é detectado pelos vários anti-vírus, mas mesmo assim terem cuidado com o que abrem é sempre bom, podem ver sobre dicas de segurança neste post .

Podem saber mais sobre este Worm aqui Win32/Netsky.Q

Definição de worms e Trojan Horse

a

Definição de Worms

Não, não estou a falar daquele jogo chamado worms em que somos uma minhoca com um grande arsenal bélico. Falo sim de um código de computador considerado Malware e que é semelhante a um Vírus.

Não existe muito para falar sobre a definição de Worms uma vez que é semelhante ao Vírus, mas existe uma diferença muito importante que tornam estes bichinhos tão destruidores. É que enquanto um Vírus para se espalhar de computador em computador precisava da nossa ajuda, ou seja, de qualquer maneira nós transportarmos o ficheiro com Vírus para outro computador, os Worms não precisam da nossa ajuda, eles possuem capacidades de se enviarem sozinhos através da rede e infectarem outros computadores.

Existem dois exemplos que para quem já utiliza a Internet à algum tempo deve conhecer bem, o Blaster e o Sasser que fazia o computador desligar-se após alguns minutos.

Trojan horse

Em português, Trojan Horse significa cavalo de Tróia

. Penso que vocês conhecem a historia do cavalo de Tróia, se não conhecem podem ler aqui.

O porquê de ter o nome de Trojan Horse (cavalo de Tróia) é devido a este comportar-se como o cavalo de Tróia da historia que vos falei. O Trojan Horse pode ter o aspecto de um programa útil ou mesmo de um jogo, mas que por trás do programa executa um código malicioso, que pode ser por exemplo permitir que alguém aceda a todos os conteúdos do teu computador sem tu saberes.

Portanto podes estar todo contente a jogar um Pacman enquanto o jogo por trás esta a correr programas maliciosos.