CIÊNCIA E TECNOLOGIA

Botnet - Parte 2

botnet2Saiba se a sua máquina é parte de uma botnet - Você sabe o que é uma botnet? É uma rede de computadores infectada com códigos maliciosos sendo controlados por um cibercriminoso, com recursos para que trabalhem de forma conjunta. Quando um computador é afetado por um malware do tipo bot passa a ser chamado de computador robô ou zumbi. Ao controlar o sistema remotamente, os proprietários das botnets podem realizar tarefas mal-intencionadas. Entre as principais está a de enviar spam, realizar ataques distribuídos de negação de serviço (DDoS), hospedagem de arquivos para web sites ilegais (pornografia, pedofilia, warez, cracks, phishing sites, etc.), distribuição e instalação de malware novo e abuso de publicidade online.

Hoje, botnets têm se tornado uma das principais ferramentas para crimes cibernéticos, já que permitem ataques em grande escala anonimamente. Vale destacar que muitos malwares causam sintomas parecidos com o de uma botnet, mas, mesmo assim, existem alguns sinais que não devem ser negligenciados. Saiba se a sua máquina é parte de uma botnet:

1. O cooler funciona em alta velocidade mesmo quando o computador está ocioso: Isso pode indicar que um programa é executado sem o conhecimento do usuário e está usando uma quantidade considerável de recursos. Naturalmente, isto também poderia ser causado pela instalação de atualizações da Microsoft, por exemplo. Outro problema que pode levar a ventoinha a trabalhar é muita sujeira no seu computador ou uma falha da peça.

2. Seu computador demora muito tempo para desligar, ou não desliga corretamente: Muitas vezes, o malware traz erros que podem causar uma variedade de sintomas, incluindo o desligamento do sistema de forma muito demorada ou com falhas imediatas. Infelizmente, erros no sistema operacional ou conflitos com programas legítimos podem também causar o mesmo sintoma.

3. Conteúdo no mural do Facebook não enviado pelo usuário: Há algumas outras razões, como o acesso não autorizado à conta no site, para esse problema. Se você vir isso acontecer, definitivamente precisa mudar sua senha e certifique-se que o sistema não está infectado. O ideal é se certificar que o computador não tenha nenhum malware antes de alterar a senha e não usar a mesma senha do Facebook em vários lugares diferentes.

4. Os aplicativos estão muito lentos: Isso pode acontecer porque os programas ocultos estão consumindo uma grande quantidade de recursos do computador. Mas também pode ser causado por outros problemas.

5. Não é possível baixar atualizações do sistema operacional: Este é um sintoma que não pode ser ignorado. Mesmo que não esteja sendo causado por um bot ou outro malware, se você não atualizar os pacotes de segurança regularmente, o sistema será infectado.

6. Não é possível baixar as atualizações de antivírus ou visitar sites dos desenvolvedores: O malware geralmente tenta evitar atualizações do antivírus e soluções de segurança. O impedimento no acesso ao site do desenvolvedor da solução também é um indicador muito forte da presença de código malicioso.

7. Internet muito lenta: Se um bot está executando no sistema, por exemplo, o envio de grandes quantidades de spam, um ataque contra outros computadores ou upload / download de grande quantidade de dados, o acesso à Internet pode ficar muito lento.

8. Seus amigos e familiares têm recebido e-mails seus que você não enviou: Este pode ser um sinal de um bot ou outro malware, ou sua conta de e-mail foi invadida.

9. Abrir pop-ups e anúncios, mesmo quando não está usando um navegador web: Embora este seja um sinal clássico de adware, bots também podem instalar este malware em seu computador.

10. O Windows exibe no Gerenciador de Tarefas programas com nomes e descrições suspeitas: Usar o Gerenciador de Tarefas requer certo nível de experiência e investigação. Às vezes, um software legítimo pode usar nomes considerados estranhos. Uma entrada no gerenciador de tarefas não é suficiente para identificar um programa nocivo. Embora isso possa ajudá-lo a encontrar malware, medidas adicionais devem ser realizadas para validar os resultados. Remover os processos, arquivos ou entradas do Registro do Sistema, apenas na suspeita de um bot ou outro malware, pode fazer com que o computador nem mesmo inicie. Seja muito cuidadoso ao tomar esse tipo de atitude.

 

Criando uma Botnet em cativeiro

 

18/12/2010 - A Technology Review anunciou que pesquisadores instalaram 3000 cópias do Windows XP em um cluster de alto desempenho, localizado em uma universidade canadense, e configuraram a Waledac botnet nestas máquinas. É a primeira vez que pesquisadores construiram e operaram sua própria botnet tendo como estratégia o melhor entendimento de como ela funciona na ineternet.

Construindo a botnet em um cluster experimental dentro de uma ambiente controlado, digamos que as complicações éticas e legais ficam de lado, pois não ha controle indevido de máquinas de inocentes usuários que foram simplesmente "infectados".

 

Os dez maiores botnets - Os spams mais frequentes na Internet


Os spams continuam crescendo em grande parte devido ao aumento de botnets mal-intencionados. Muitos são botnets de comando e controle de sistemas usados por criminosos e ainda são o principal meio de spam que é inserido em sua caixa de e-mail. M86 Segurança diz que o volume de spam em todo o mundo já subiu para 230 bilhões de mensagens por dia, acima de 200 mil milhões no início de 2010.

M86 Security criou o "Top Ten Most Wanted" lista de botnets enviados  via spam, muitos deles acreditam-se que são controlados no Leste Europeu por parte de criminosos que manipulam os sistemas comprometidos, PCs,
principalmente, ao redor do mundo para gerar spam, de acordo com a M86.

1. Rustock (geração de 43% de todo o spam)

O atual rei do spam, o seu malware utiliza um rootkit em modo kernel, insere texto aleatório em spam e é capaz de criptografia TLS. Concentrados apenas em spam farmacêutico.

2. Mega-D (10,2%)

Um botnet de longa duração que teve seus altos e baixos, devido à atenção que ele recebe dos pesquisadores. Concentra-se sobretudo sobre spam farmacêutico.

3. Festi (8%)
Uma nova spambot que emprega um rootkit em modo kernel e é frequentemente instalado junto com Pushdo na mesma máquina.

4. Pushdo (6,3%)

Um botnet multi-facetado ou botnets, com muitos tipos diferentes de campanhas. Uma grande distribuidora de downloads com malware  que enviam e-mails de ameaças combinadas, mas também envia farmaceutico, réplica, diploma e outros tipos de spam.

5. Grum (6,3%)

Também utiliza um rootkit em nível de kernel. Uma vasta gama de modelos de spamming muda frequentemente, servido por vários servidores web. Principalmente spam farmacêutico.

6. Lethic (4,5%)

Os atos de malware como um proxy de retransmissão de SMTP de um servidor remoto para o seu destino. Principalmente farmaceutico e réplica.

7. Bobax (4,3%)

Outra botnet de longa duração que emprega métodos sofisticados para localizar os seus servidores de comando. Principalmente spam farmacêutico.

8. Bagle (3,5%)

O nome deriva de um anterior worm em massa. Hoje em dia, as variantes Bagle agem como proxies para os dados, e especialmente spam.

9. Maazben (2,0%)

Por padrão, usa um motor de spam baseada em proxy. No entanto, também pode utilizar um motor de spam baseado em modelo, se o bot corre atrás de um roteador de rede. Enfoca spam do tipo Casino.

10. Donbot (1,3%)

Donbot é nomeado após a seqüência de "don" encontrado no corpo de malware. Principalmente spam farmacêutico.

"Outros" spambots representam 10,7% do total de spam. Segundo a empresa de segurança Sophos, os 12 maiores países que sofrem com spam são:

1. Estado Unidos (15,2%)

2. Índia (7,7%)

3. Brasil (5,5%)

4. Reino Unido (4,6%)

5. Coreia do Sul (4,2%)

6. França (4,1%)

7. Alemanha (4,0%)

8. Itália (3,5%)

9. Rússia (2,8%)

10. Vietnã (2,7%)

11. Polónia (2,5%)

12. Roménia (2,3%)
"Outro" é dito para explicar 40,9%. Sophos também observa que os spams estão se tornando cada vez mais mal-intencionados, e é cada vez mais frequente usado para roubar identidade e informações de conta bancária.

O mais importante visto acima é ter um controle efetivo referente aos spam. Tentar fechar de todas as maneiras a entrada desses botnets em nossa rede, e a MKNOD possui serviços específicos para filtrar os spams na sua rede e se tiver interesse como funciona, clique aqui para conhecer nossas ferramentas de anti-spam.

 


Derrubada da botnet Rustock leva a queda de 40% no spam mundial

 

22/03/2011 - Por Renato Rodrigues. A queda da botnet Rustock reduziu a quantidade mundial de spam, segundo um relatório da IBM Internet Security Systems.

A IBM disse que tem observado uma queda sustentada de 35% a 40% nos níveis de spam mundiais quase uma semana após a Microsoft e órgãos americanos terem apreendido servidores usados ??como a infra-estrutura de comando e controle para a botnet .No início de março, os EUA foram a segunda fonte mais comum de spam na web, agora, estão em 15º. Isso é devido à forte dependência da Rustock de servidores baseados no país.

A derrubada da Rustock resultou em quedas do spam nos EUA, Israel e Reino Unido de forma mais dramática, com 74%, 66% e 54% de diminuição respectivamente nesses países, relata a IBM. Do outro lado do espectro, Vietnã e Coréia do Sul foram os menos afetados, com quedas de apenas 2% cada.

A IBM afirmou que o declínio não é sem precedentes na indústria de spam e são apenas cerca de metade do que aconteceu quando os spammers "saíram de férias" no início do ano. Os níveis de spam global podem muito bem voltar aos níveis vistos antes da queda Rustock ao longo do tempo.

 

Fonte: http://pt.wikipedia.org/wiki/Botnet
            http://www.codix.com.br/blog/criando-uma-botnet-em-cativeiro.html
           http://imasters.com.br/
          http://plugadotecnologia.blogspot.com/