El botnet Storm ha sido vinculado con la Russian Business Network (RBN) que opera en San Petersburgo, Rusia. La RBN se ha asociado durante mucho tiempo con una variedad de crímenes, como el envío de spam, ataques, distribuidos de negación de servicio, phishing, pornografía infantil, robo de identidad y extorsión. El código malicioso que hospeda el proveedor también ha sido conocido por proveer "hospedaje web a prueba de balas" a otros criminales electrónicos.

Cuando los investigadores de Trend Micro expresaron su preocupación sobre los asuntos legales involucrados en el envío de millones de correos electrónicos no solicitados, aseguraron que la práctica no es ilegal, o por lo menos no en Rusia.

La evidencia apunta a Moscú como la sede de Pushdo ya que todos los números de contacto listado corresponden al área de Moscú. Las direcciones IP de los servidores de comando y control de Pushdo parecen estar distribuidos en diferentes países, pero la mayoría de los sitios Web, incluyendo los sitios usados para promover los precios, están registrados con números de Moscú.

Un nuevo bot de spam

Trend Micro identifica como TROJ_PROXY.AIF al bot de spam que es bastante directo. Al ejecutarse el troyano se emite una consulta DNS a un solo dominio para obtener una dirección IP para conectarse a un C&C (Command and Control). El tráfico C&C es sólo texto y uno puede identificar fácilmente cómo funciona C&C.

Decimos que TROJ_PROXY.AIF es simple porque, a diferencia de los bots de spam como WALEDAC, el primero no tiene descripción de comandos C&C o un C&C robusto (si se elimina el dominio, están fuera del negocio).

Cabe mencionar que la mayoría de las direcciones de correo electrónico objetivo son de Yahoo! o de otros usuarios de correo Web, lo que una vez más eleva las probabilidades de que los correos no deseados pasen ya que la mayoría de estos correos electrónicos Web son servicios gratuitos y tienen un nivel ligeramente más bajo de protección contra spam en comparación con las redes corporativas con un producto anti-spam más robusto y políticas de correo electrónico más estrictas.

En resumen, TROJ_PROXY.AIF puede ser relativamente simple ahora, pero es posible que este bot de spam siga en sus primeras etapas de desarrollo, y algún día pueda evolucionar en algo más complejo.