El botnet Storm ha sido vinculado con la Russian Business Network (RBN)
que opera en San Petersburgo, Rusia. La
RBN se ha asociado durante mucho tiempo con una variedad de
crímenes, como el envío de spam, ataques, distribuidos de
negación de servicio, phishing, pornografía infantil, robo de
identidad y extorsión. El código malicioso que hospeda el
proveedor también ha sido conocido por proveer "hospedaje web a
prueba de balas" a otros criminales electrónicos.
Cuando los investigadores de Trend Micro expresaron su
preocupación sobre los asuntos legales involucrados en el envío
de millones de correos electrónicos no solicitados, aseguraron que la
práctica no es ilegal, o por lo menos no en Rusia.
La evidencia apunta a Moscú como la sede de Pushdo ya que todos
los números de contacto listado corresponden al área de
Moscú. Las direcciones IP de los servidores de comando y control de
Pushdo parecen estar distribuidos en diferentes países, pero la mayoría
de los sitios Web, incluyendo los sitios usados para promover los precios,
están registrados con números de Moscú.
Un nuevo bot de spam
Trend Micro identifica como
TROJ_PROXY.AIF al bot de spam que es bastante directo. Al ejecutarse el troyano
se emite una consulta DNS a un solo dominio para obtener una dirección
IP para conectarse a un C&C (Command and Control). El tráfico
C&C es sólo texto y uno puede identificar fácilmente
cómo funciona C&C.
Decimos que TROJ_PROXY.AIF es
simple porque, a diferencia de los bots de spam como WALEDAC, el primero no
tiene descripción de comandos C&C o un C&C robusto (si se
elimina el dominio, están fuera del negocio).
Cabe mencionar que la
mayoría de las direcciones de correo electrónico objetivo son de Yahoo! o de
otros usuarios de correo Web, lo que una vez más eleva las
probabilidades de que los correos no deseados pasen ya que la mayoría de
estos correos electrónicos Web son servicios gratuitos y tienen un nivel
ligeramente más bajo de protección contra spam en comparación
con las redes corporativas con un producto anti-spam más robusto y
políticas de correo electrónico más estrictas.
En resumen, TROJ_PROXY.AIF puede
ser relativamente simple ahora, pero es posible que este bot de spam siga en
sus primeras etapas de desarrollo, y algún día pueda evolucionar
en algo más complejo.
