Frenan el avance de la botnet Virut

Aunque los atacantes todavía controlan algunos dominios empleados por el botnet Virut, Spamhaus ha conseguido frenar el avance de un malware que se extiende insertándose en archivos ejecutables y copiándose en los sistemas.

 

Muchos de los nombres de dominio utilizados por una banda de cibercriminales para controlar ordenadores infectados con la botnet Virut se han desactivado gracias a un esfuerzo coordinado por la organización Spamhaus.

Virut es un malware que se disemina infectando archivos ejecutables, si bien algunas variantes también infectan archivos HTML, ASP y PHP con código malicioso que distribuye la amenaza. Una vez instalado en un ordenador, el malware conecta con un servidor IRC (Internet Relay Chat) usando una conexión encriptada y espera a recibir instrucciones, permitiendo a los atacantes controlar los equipos infectados como un botnet.

El botnet Virut emplea principalmente varios docenas de nombres de dominios .pl (Polonia), .ru (Rusia) y .at (Austria) como parte de su infraestructura de comando y control (C&C), según ha señalado Thomas Morrison, miembro del equipo de Spamhaus. Para ponerle freno, Spamhaus colaboró con el equipo de respuesta a emergencias cibernéticas (CERT) polaco para asegurarse de que no se recibierá más tráfico por los dominios .pl empleados por el botnet, y también trabajó con Group-IB, una compañía de seguridad rusa que fue capaz de cerrar los dominios .ru utilizados por Virut.

Aunque de momento el botnet se ha paralizado, la infraestructura C&C de Virut no está completamente fuera de las manos de los atacantes, a quienes aún les quedan los nombres de dominio .at, afirma Morrison, quien espera que el CERT austriaco siga el ejemplo de sus colegas polaco y ruso.

"El esfuerzo de desmontaje de Virut ilustra claramente el importante papel que los registros y registradores de dominios pueden desempeñar en la lucha contra el cibercrimen. Estas organizaciones deben ser proactivas y agregar cláusulas en sus contratos que les permitan tomar rápidamente medidas contra los nombres de dominio utilizados con fines maliciosos”, añade Thomas Morrison.

 

– CSO España