ZeroAccess botnet
ZeroAccess, también conocido como Max ++ y Sirefef, es Caballo de Troya computadora malware que afecta a Sistemas operativos Microsoft Windows. Se utiliza para descargar malware en una máquina infectada de un botnet en su mayoría involucrados en Minería de Bitcoin y Haga clic en fraude, permaneciendo oculto en un sistema utilizando Rootkit técnicas.[1][2]
Contenido
- 1 Historia y propagación
- 2 Operación
- 3 Véase también
- 4 Referencias
- 5 Enlaces externos
Historia y propagación
La botnet ZeroAccess originalmente fue descubierta alrededor de julio de 2011.[1] El ZeroAccess Rootkit responsable de la botnet extensión se estima que han estado presentes en los sistemas por lo menos 9 millones.[3] Las estimaciones del tamaño de la botnet varían según las fuentes; proveedor de antivirus Sophos calcula el tamaño botnet en alrededor 1 millón máquinas infectadas y activas en el tercer trimestre de 2012 y sistemas de seguridad que kindsight firme Estimado 2,2 millones infectados y activos.[4][5]
El bot sí mismo se propaga a través de la ZeroAccess Rootkit a través de una variedad de vectores de ataque. Un vector de ataque es una forma de Ingeniería social, donde un usuario es persuadido para ejecutar código malicioso por disfrazarlo como un archivo legítimo, o incluso oculto como una carga adicional en un archivo ejecutable que se anuncia como, por ejemplo, saltándose la protección del copyright (una keygen). Un segundo vector de ataque utiliza un red de publicidad con el fin de que el usuario haga clic en un anuncio que les redirige a un sitio de hospedaje el propio software malicioso. Un tercer vector de infección utilizado es un esquema de afiliados donde las personas de la tercera parte son pagadas para instalar el rootkit en un sistema.[6][7]
En diciembre de 2013 una coalición liderada por Microsoft se trasladó a destruir la red de mando y control de la botnet. El ataque fue ineficaz porque no todos los C & C fueron incautados, y su componente de mando y control de peer-to-peer no fue afectada - significando la botnet podría aún ser actualizado a voluntad.[8]
Operación
Una vez que un sistema ha sido infectado con el rootkit ZeroAccess comenzará una de las dos operaciones principales botnet: Minería de Bitcoin o Haga clic en fraude. Generan máquinas implicadas en la explotación minera de Bitcoin Bitcoins para su controlador, el estimado valor del cual se estimó en 2,7 millones de dólares al año en septiembre de 2012.[9] Las máquinas utilizadas por fraude de clic simulan clics en los anuncios del sitio web pagados en un pago por click base. La ganancia estimada para esta actividad puede ser tan alta como 100.000 dólares al día,[2][10] los anunciantes costando $900.000 al día en clicks fraudulentos.[11] Típicamente, ZeroAccess infecta el Registro de arranque maestro (MBR) de la máquina infectada. Alternativamente puede infectar a un conductor al azar en C:\Windows\System32\Drivers, dándole el control total el Sistema operativo[citación necesitada]. También deshabilita el Windows Security Center, quitar el servicio Centro de seguridad, Firewall y defensor de Windows 7. ZeroAccess también se engancha en la pila TCP/IP, para ayudar con el fraude de clic.
Véase también
- Crimen de Internet
- Seguridad en Internet
Referencias
- ^ a b Shearer, Jarrad (13 de julio de 2011). "Trojan.Zeroaccess". Symantec. 27 de diciembre 2012.
- ^ a b Leyden, John (24 de septiembre de 2012). "Los ladrones pueden ordeñar ' $100k al día ' del ejército ZeroAccess 1 millón-zombie". El registro. 27 de diciembre 2012.
- ^ Wyke, James (19 de septiembre de 2012). "Más 9 millones PCs infectados – ZeroAccess botnet descubierto". Sophos. 27 de diciembre 2012.
- ^ Jackson Higgins, Kelly (30 de octubre de 2012). "ZeroAccess oleadas de Botnet". Lectura oscuro. 27 de diciembre 2012.
- ^ Kumar, Mohit (19-Sep-2012). "9 millones PCs infectados con botnet ZeroAccess - Hacker News, actualizaciones de seguridad". Las noticias de hacker. 27 de diciembre 2012.
- ^ Wyke, James. "El rootkit ZeroAccess". Sophos. p. 2. 27 de diciembre 2012.
- ^ Mimoso, Michael (30 de octubre de 2012). "ZeroAccess Botnet cobrando sobre fraude de clic y Bitcoin Mining". ThreatPost. 27 de diciembre 2012.
- ^ Gallagher, Sean (06 de diciembre de 2013). "Microsoft interrumpe botnet que generó $2. 7M por mes para los operadores". Ars Technica. 9 de diciembre 2013.
- ^ Wyke, James. "La ZeroAccess Botnet: minería y fraude para ganancia financiera masiva". Sophos. págs. (pág. 45). 27 de diciembre 2012.
- ^ Ragan, Steve (31 de octubre de 2012). "Millones de redes domésticas infectadas por ZeroAccess Botnet". SecurityWeek. 27 de diciembre 2012.
- ^ Dunn, John E (02 de noviembre de 2012). "Bot ZeroAccess ha infectado a 2 millones de consumidores, firma calcula". TechWorld. 27 de diciembre 2012.
Enlaces externos
- Análisis de la botnet ZeroAccess, creado por Sophos.
- ZeroAccess Botnet, Kindsight Security Labs.
- Nuevo C & C protocolo para ZeroAccess, Kindsight Security Labs.
|