Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs
Danmec, o Asprox, es el nombre de un troyano diseñado para reclutar máquinas zombies al tiempo que recolecta información confidencial de cada una de las víctimas que infecta.
Si bien la aparición de este troyano no es reciente, actualmente se vale de estrategias más complejas que las habitualmente utilizadas por otros códigos maliciosos, incluso por sus primeras variantes, como las técnicas Fast-Flux para evitar la detección por parte de programas de bloqueo e infectar la mayor cantidad de equipos posibles.
Actualmente, las redes Fast-Flux son explotadas masivamente y de manera activa por miles de dominios de origen Ruso, activando nuevamente botnets como la creada por Danmec.
Si bien la aparición de este troyano no es reciente, actualmente se vale de estrategias más complejas que las habitualmente utilizadas por otros códigos maliciosos, incluso por sus primeras variantes, como las técnicas Fast-Flux para evitar la detección por parte de programas de bloqueo e infectar la mayor cantidad de equipos posibles.
Actualmente, las redes Fast-Flux son explotadas masivamente y de manera activa por miles de dominios de origen Ruso, activando nuevamente botnets como la creada por Danmec.
google-analitycs.lijg .ru
fmkopswuzhj .biz
fnygfr .com
fvwugekf .info
fwkbt .info
gbrpn .org
gbxpxugx .org
ghtileh .biz
gnyluuxneo .com
fuougcdv .org
www. dbrgf .ru
www. bnmd .kz
www. nvepe .ru
www. mtno .ru
www. wmpd .ru
www. msngk6 .ru
www. vjhdo .com
www. aspx37 .me
google-analitycs.dbrgf .ru
www. advabnr .com
www. lijg .ru
www. dft6s .kz
Cada uno de estos dominios aloja el siguiente script, escrito en JavaScript, llamado script.js (MD5: ccec2c026a38ce139c16ae97065ccd91), desde el cual ejecuta un Drive-by-Download:
Esta llamada a través de la etiqueta iframe, es realizada a una URL que forma parte activa de una red Fast-Flux.
;google-analitycs.lijg.ru. IN A
;; ANSWER SECTION:
google-analitycs.lijg.ru. 600 IN A 68.119.39.129
google-analitycs.lijg.ru. 600 IN A 69.176.46.57
google-analitycs.lijg.ru. 600 IN A 71.12.89.233
google-analitycs.lijg.ru. 600 IN A 76.73.237.59
google-analitycs.lijg.ru. 600 IN A 97.104.40.246
google-analitycs.lijg.ru. 600 IN A 98.194.180.179
google-analitycs.lijg.ru. 600 IN A 146.57.249.100
google-analitycs.lijg.ru. 600 IN A 151.118.186.131
google-analitycs.lijg.ru. 600 IN A 165.166.236.74
google-analitycs.lijg.ru. 600 IN A 173.16.99.131
google-analitycs.lijg.ru. 600 IN A 173.17.180.79
google-analitycs.lijg.ru. 600 IN A 24.107.209.119
google-analitycs.lijg.ru. 600 IN A 24.170.188.201
google-analitycs.lijg.ru. 600 IN A 68.93.61.194
;; AUTHORITY SECTION:
lijg.ru. 339897 IN NS ns3.lijg.ru.
lijg.ru. 339897 IN NS ns2.lijg.ru.
lijg.ru. 339897 IN NS ns1.lijg.ru.
lijg.ru. 339897 IN NS ns5.lijg.ru.
lijg.ru. 339897 IN NS ns4.lijg.ru.
;; Query time: 263 msec
;; SERVER: 192.168.240.2#53(192.168.240.2)
;; WHEN: Sun Jan 25 20:31:57 2009
;; MSG SIZE rcvd: 356
Al mismo tiempo que cada una de las direcciones web líneas arriba expuestas forman una nueva granja de redes Fast-Flux con grupos de direcciones IP espejadas.
Fast-Flux es una técnica avanzada utilizada con fines maliciosos, de manera conjunta con otras, para la propagación de diferentes amenazas. Esto obliga a ser cautelosos en todo momento.
# pistus Ver más