Buscar

2015/03/25

La botnet Andromeda sigue viva

Las macros de Word se emplean para automatizar procesos dentro del procesador de textos para que tareas largas y complejas puedan hacerse con un solo clic. Sin embargo, desde que empezaron a ser utilizadas por los creadores de virus para infectar ordenadores Microsoft pasó a deshabilitarlas por defecto, de modo que tengamos que dar nuestro permiso explícito para que funcionen.

Aún así sigue habiendo demasiados usuarios que habilitan las macros en documentos que recibe por correo electrónico. Esta es la vía que parece estar usando la botnet Andrómeda, conocida por haber difundido el troyano ZeuS en 2011, para ampliar su red de ordenadores zombis. Este tipo de computadoras con ordenadores de usuarios normales que, sin saberlo sus propietarios, están controladas por un tercero, que los puede utilizar para obtener datos personales, difundir spam, etc.

El malware detectado por G Data, empresa alemana de seguridad informática, se distribuye a través de spam en ficheros adjuntos que aparentan ser un contrato. El propio texto del documento pide al usuario que para leerlo debe habilitar las macros. Al hacerlo se crea un fichero ejecutable que es como la más grande de una serie de muñecas matrioska. Este ejecutable genera a su vez un nuevo fichero mediante esteganografía, que se carga en memoria y es en último término es el que genera el fichero real del virus, el responsable final de hacerse con el control del ordenador.

Que tu ordenador sea infectado y pase a formar parte de una red zombi o botnet no significa que suceda nada en ese momento. Los responsables de estas redes alquilan luego sus servicios en el mercado negro y dependerá de los compradores el uso que se les dé.

No hay comentarios: