Verifica si formas parte de la botnet #GameOver Zeus (GOZ)

Hace unos días leía un comunicado publicado por el FBI donde anunciaban la interrupción de una botnet P2P llamada GameOver y basada en el famoso troyano bancario Zeus. Hoy la empresa F-Secure ha dado a conocer una sencilla herramienta que no requiere de ninguna instalación y que permite verificar rápidamente si nuestra computadora se encuentra infectada con este malware.

zeus_fraud_chart

Las botnets P2P son conocidas desde hace muchos años y presentan varias ventajas frente a las típicas botnets donde hay un centro de control desde el cual se le envían órdenes a todas las computadoras infectadas. Una de ellas es que no tienen un C&C (command and control) único que las controle a todas y por ello son más difíciles de desmantelar.

Gameover Zeus (GOZ) buscaba hacer dinero instalando otros malwares y robando datos bancarios. Y una de las acciones que realizaba era infectar los navegadores para modificar los sitios web localmente agregando nuevos campos en los formularios. Algo típico de los troyanos bancarios.

Esto justamente es lo que aprovechó el equipo de F-Secure para crear la herramienta, lo que hacen es cargar mediante un iframe una página que ellos controlan para que GameOver -si estuviera presente en el equipo- piense que se está entrando a una URL legítima de la cual puede robar información e inyecte códigos extras para modificarla.

La herramienta verifica si estas modificaciones se hacen o no y así determina si el equipo se encuentra infectado con GameOver. Es una idea muy sencilla que funciona con las versiones del malware conocidas hasta ahora y que sirve para verificar rápidamente si nuestro equipo forma parte de esta botnet P2P.

Fuente: Spamloco

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s