Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/02/2013
Apareix una nova versió de la xarxa zombi Kelihos
Esta és la tercera vegada que Kelihos ressorgix, una xarxa de zombis d'igual a igual (peer-to-peer) la nova versió de la qual és molt més resistent a les tècniques de localització, i pot romandre latent en les màquines infectades durant un llarg període de temps.
Analistes de Kaspersky Lab han descobert una nova versió de la xarxa de zombis Kelihos, la qual presenta una major resistència a les tècniques de localització i una característica que li permet romandre en estat latent durant llargs períodes en les màquines infectades per a ajudar a evitar la detecció. La xarxa zombi també utilitza una avançada capacitat de flux ràpid per a ocultar els dominis que utilitza per al comandament i control i la distribució de programari maliciós.
Kelihos, també conegut com Hlux, és una xarxa zombi d'igual a igual, la qual cosa significa que no hi ha un servidor central o servidors que llancen nous comandaments als bots. Al contrari, la xarxa es basa en un sistema complex que comprén els dominis que controlen els bots, per tal d’obtindre noves mostres de programari maliciós, instruccions i una altra informació. Els dominis utilitzats en l’operació es troben a Rússia, i s’esvaïxen en una varietat d'adreces IP diferents cada vegada que un bot es connecta.
Una vegada que el codi maliciós està en una màquina, es posa en contacte amb un domini a Rússia. El programari maliciós, conegut com Trojan Nap, està dissenyat per a realitzar una varietat de funcions diferents, incloent-hi el robatori de contrasenyes guardades en els navegadors, l’enviament de correu brossa robatori de contrasenyes de diverses aplicacions FTP i el robatori de dades Bitcoin.
Es tracta de la tercera ocasió en què la xarxa zombi Kelihos actua. En les dos primeres ocasions, els investigadors de seguretat van ser capaços de localitzar els dominis que Kelihos estava usant, i paralitzar la capacitat dels atacants per a comunicar-se amb les màquines infectades.