Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/02/2011
Vuelve el sucesor de Storm
Investigadores husmean en Waledac y encuentran 500.000 contraseñas de correo
Investigadores han echado un vistazo a la recientemente renovada botnet Waledac y lo que han encontrado no es nada alentador.
Waledac, un sucesor de la temible botnet Storm, contiene unas 500.000 contraseñas de cuentas de correo POP3, permitiendo que se envíe correo basura a través de los servidores SMTP, según los hallazgos publicados el Martes por la empresa de seguridad Last Line. Secuestrando servidores de correo legítimos, Waledac es capaz de evadir las técnicas de bloqueo por listas negras que utilizan muchos de los filtros anti-spam para descartar correo basura.
Además, los controladores de Waledac poseen alrededor de 124.000 credenciales de cuentas FTP. Estas contraseñas les permiten ejecutar programas que infectan automáticamente los sitios web con scripts que redirigen a los usuarios a lugares donde se les instala malware y publicitan medicamentos falsos. El último mes, los investigadores identificaron alrededor de 9.500 páginas web en 222 sitios que contenían enlaces maliciosos añadidos por Waledac.
El descubrimiento viene un mes después de encontrar un nuevo propagador de malware, que tiene todas las características de la botnet Storm. Storm hizo furor en 2007 y 2008 pero después estuvo mucho tiempo latente, lo más probables que fuera debido a la cantidad de spam que generó. Quienes más se alegraron de este hecho fue Microsoft, quien durante el último año pleiteó para obtener 276 direcciones de internet que se utilizaban para controlar Waledac.
"La botnet Waledac actualmente es sólo una sombra de lo que era, pero todo apunta a que vaya a cambiar teniendo en cuenta el número de credenciales comprometidas que poseen sus dueños", escribieron los investigadores de Last Line.
Además de la "generosa ayuda" de las credenciales comprometidas, Waledac también viene con un nuevo sistema de control que distribuye una lista de nodos para infectar máquinas.