Sdbot y Gaobot son responsables de la mayor parte de las redes de bots

Los bots de las familias Sdbot y Gaobot son responsables de la mayor parte de las redes de bots que existen a nivel mundial. Así, el 80% de las detecciones relacionadas con bots durante el primer trimestre de 2007 pertenecen a la mencionadas familias.

A muchas distancia de las anteriores se encuentran otras familias de bots, como Oscarbot, IRCbot o RXbot. Sin embargo, la cantidad de nuevas detecciones es mucho menor que las de las anteriormente mencionadas.

“En realidad, esto no se debe a que Gaobot o Sdbot tengan funcionalidades especiales. La razón es que los códigos de estos bots han sido publicados ampliamente en Internet. Por ello, cualquier delincuente que quiera hacer un bot se basa en los códigos fuente de estas amenazas, realizando modificaciones más o menos relevantes. Así, se ahorran una gran cantidad de trabajo”, explica Luis Corrons, director técnico de PandaLabs.

Los bots o “robots” son gusanos o troyanos automatizados cuya función es instalarse en los ordenadores para realizar de modo automático una determinada acción, como puede ser el envío continuado de spam. De esa forma convierten a la máquina en lo que comúnmente se denomina como “zombi”. Las botnets, o redes de ordenadores infectados con bots, se han convertido en un auténtico modelo de negocio del cibercrimen. Existe un auténtico mercado subterráneo de alquiler de ”bots”, para el envío de spam, o la instalación de spyware o adware, entre otras acciones.

En 2006, los bots constituyeron más del 13% del total de nuevas amenazas detectadas por PandaLabs. De ellas, el 74% pertenecían a dichas famlias de códigos maliciosos.

Al tiempo que los bots siguen proliferando, se está observando un cambio de tendencia en lo que se refiere al sistema de control de los bots. Hasta ahora, la mayoría de ellos se controlaban a través de servidores de IRC. Con ello, el atacante puede enviar sus órdenes amparándose en el anonimato de los servidores de la popular aplicación de chat.  Sin embargo, ahora tienden a construir bots que pueden ser controlados a través de consolas web, utilizando el protocolo http.

“El control por IRC es últil cuando se trata de máquinas infectadas aisladas. Sin embargo, cuando se trata de controlar una red, este sistema presenta muchas dificultades. El empleo del protocolo http les permite controlar muchas máquinas al mismo tiempo pudiendo, incluso, conocer el momento en que cada una de ellas se encuentra en línea, o si han ejecutado correctamente sus órdenes”, matiza Luis Corrons.

Los bots suelen llegar al ordenador en correos electrónicos que hacen uso de técnicas de ingeniería social, o bien aprovechando vulnerabilidades del sistema. Su objetivo es instalarse de forma silenciosa y llevar a cabo sus acciones durante largo tiempo sin ser detectados por los usuarios o por las compañías de seguridad.

“Para evitar la amenaza de los bots es imprescindible la utilización de soluciones de seguridad con tecnologías proactivas, capaces de detectar amenazas sin conocerlas con anterioridad”, concluye Luis Corrons.

Panda evitar la amenaza de los bots, Panda Software dispone de las tecnocnologías de protección proactiva Truprevent^TM. Asímismo, pone a disposición de los usuarios la herramienta NanoScan beta, que detecta malware activo en el ordenador, incluyendo aquellos ejemplares que la solución antivirus instalada en el equipo haya dejado escapar.

Para las empresas, se recomienda la realización de auditorias periódicas para comprobar que no existe malware oculto en la red. Panda Software dispone del primer servicio de auditoria exhaustiva y automatizada Malware Radar, que puede probar de forma gratuita.