ZeroAccess es un malware informático de caballo de Troya que afecta a los sistemas operativos Microsoft Windows . Se utiliza para descargar otro malware en una máquina infectada desde una botnet mientras permanece oculto mediante técnicas de rootkit . [1]
Historia y propagación
La botnet ZeroAccess se descubrió al menos alrededor de mayo de 2011. [2] Se estima que el rootkit ZeroAccess responsable de la propagación de la botnet ha estado presente en al menos 9 millones de sistemas. [3] Las estimaciones del tamaño de las redes de bots varían según las fuentes; El proveedor de antivirus Sophos estimó el tamaño de la botnet en alrededor de 1 millón de máquinas activas e infectadas en el tercer trimestre de 2012, y la empresa de seguridad Kindsight estimó en 2,2 millones de sistemas activos e infectados. [4] [5]
El bot en sí se propaga a través del rootkit ZeroAccess a través de una variedad de vectores de ataque. Un vector de ataque es una forma de ingeniería social , en la que se persuade a un usuario para que ejecute código malicioso, ya sea disfrazándolo como un archivo legítimo o incluyéndolo oculto como una carga adicional en un ejecutable que se anuncia a sí mismo, por ejemplo, evitando la protección de los derechos de autor. (un keygen ). Un segundo vector de ataque utiliza una red publicitaria para que el usuario haga clic en un anuncio que lo redireccione a un sitio que aloja el software malicioso. Finalmente, un tercer vector de infección utilizado es un esquema de afiliados en el que se paga a terceros por instalar el rootkit en un sistema. [6] [7]
En diciembre de 2013, una coalición liderada por Microsoft se movió para destruir la red de comando y control de la botnet. Sin embargo, el ataque fue ineficaz porque no se incautaron todos los C&C y su componente de control y comando de igual a igual no se vio afectado, lo que significa que la botnet aún podría actualizarse a voluntad. [8]
Operación
Una vez que un sistema ha sido infectado con el rootkit ZeroAccess, iniciará una de las dos principales operaciones de botnet: minería de bitcoins o fraude de clics . Las máquinas involucradas en la minería de bitcoins generan bitcoins para su controlador, cuyo valor estimado era de 2,7 millones de dólares estadounidenses por año en septiembre de 2012. [9] Las máquinas utilizadas para el fraude de clics simulan clics en anuncios de sitios web pagados mediante pago por clic . La ganancia estimada de esta actividad puede ser tan alta como 100.000 dólares estadounidenses por día, [10] [11] costando a los anunciantes $ 900.000 por día en clics fraudulentos. [12] Normalmente, ZeroAccess infecta el Master Boot Record (MBR) de la máquina infectada. Alternativamente, puede infectar un controlador aleatorio en C: \ Windows \ System32 \ Drivers, lo que le da un control total sobre el sistema operativo . [ cita requerida ] También deshabilita el Centro de seguridad de Windows, Firewall y Windows Defender del sistema operativo. ZeroAccess también se conecta a la pila de TCP / IP para ayudar con el fraude de clics.
El software también busca el malware Tidserv y lo elimina si lo encuentra. [1]
Ver también
Referencias
- ^ a b "Riesgo detectado" . www.broadcom.com .
- ^ "Estadísticas mensuales de malware, mayo de 2011" . securelist.com .
- ^ Wyke, James (19 de septiembre de 2012). "Más de 9 millones de PC infectadas: la botnet ZeroAccess descubierta" . Sophos . Consultado el 27 de diciembre de 2012 .
- ^ Jackson Higgins, Kelly (30 de octubre de 2012). "Oleadas de botnets ZeroAccess" . Lectura oscura . Archivado desde el original el 3 de diciembre de 2012 . Consultado el 27 de diciembre de 2012 .
- ^ Kumar, Mohit (19 de septiembre de 2012). "9 millones de PC infectadas con la botnet ZeroAccess" . The Hacker News . Consultado el 27 de diciembre de 2012 .
- ^ Wyke, James. "El rootkit ZeroAccess" . Sophos . pag. 2 . Consultado el 27 de diciembre de 2012 .
- ^ Mimoso, Michael (30 de octubre de 2012). "ZeroAccess Botnet aprovechando el fraude de clics y la minería de Bitcoin" . ThreatPost . Archivado desde el original el 3 de diciembre de 2012 . Consultado el 27 de diciembre de 2012 .
- ^ Gallagher, Sean (6 de diciembre de 2013). "Microsoft interrumpe la botnet que genera 2,7 millones de dólares al mes para los operadores" . Ars Technica . Consultado el 9 de diciembre de 2013 .
- ^ Wyke, James. "La botnet ZeroAccess: minería y fraude para una ganancia financiera masiva" (PDF) . Sophos . pp. (Página 45) . Consultado el 27 de diciembre de 2012 .
- ^ Leyden, John (24 de septiembre de 2012). "Los ladrones pueden ordeñar '$ 100 mil al día' del ejército de ZeroAccess de 1 millón de zombis" . El registro . Consultado el 27 de diciembre de 2012 .
- ^ Ragan, Steve (31 de octubre de 2012). "Millones de redes domésticas infectadas por ZeroAccess Botnet" . SecurityWeek . Consultado el 27 de diciembre de 2012 .
- ^ Dunn, John E. (2 de noviembre de 2012). "El bot ZeroAccess ha infectado a 2 millones de consumidores, calcula la empresa" . Techworld . Consultado el 27 de diciembre de 2012 .
enlaces externos
- Análisis de la botnet ZeroAccess , creada por Sophos .
- Botnet ZeroAccess , Kindsight Security Labs.
- Nuevo protocolo C&C para ZeroAccess , Kindsight Security Labs.