Investigadores desactivaram domínios da Virut

O gang de cibercriminosos, gestor da rede, ainda controla alguns dos domínios, ressalvam os especialistas.

Muitos dos nomes de domínios usados por um grupo de cibercriminosos, para controlar computadores infectados com o software nocivo Virut, foram desactivados na última semana, num esforço coordenado, anunciou a Spamhaus, organização dedicada ao combate do spam.

O malware Virut dissemina-se inserindo código nocivo em ficheiros executáveis copiando-se depois para discos rígidos fixos, a funcionarem em rede. Algumas variantes também infectam ficheiros HTML, ASP e PHP, com código clandestino que distribui o software nocivo.

Uma vez instalado num computador, o código liga-se a um servidor de mensagens instantâneas Internet Relay Chat (IRC) usando uma ligação cifrada e espera por instruções. Isso permite aos criminosos controlarem os computadores infectados com o Virut, como se fosse uma botnet.

O Virut é principalmente usado como uma plataforma de distribuição de malware: há outros cibercriminosos a pagarem aos gestores da Virut para implantarem o seu malware em computadores já comprometidos.

No passado, a plataforma para disseminar o malware de banca ZeuS e para expandir a botnet vocacionada para spam Kehlios. Contudo, na passada semana, investigadores de segurança de sistemas de informação da Symantec avisaram que a Virut começou a distribuir o malware Waledoc.

Isso poderia levar à ressurreição da botnet Waledoc, derrubada pela Microsoft em 2010. Os gestores da botnet Virut estão a usar várias dezenas de nomes de domínio nos domínios de topo .pl (Poland) .ru (Russia) e .at (Austria) como parte da sua infra-estrutura de comando e control, disse Thomas Morrison, membro da equipa da Spamhaus.

A Spamhaus colaborou com o CERT da Polónia e o “registrar” do domínio .pl para garantir que os domínios usados pela botnet Virut não recebiam qualquer tráfego – um processo denominado “sinkholing”, explicou Morrison.

“Vários domínios .pl, principalmente o zif.pl e ircgalaxy.pl foram usados para alojar o Virut, os seus servidores de comando e controlo IRC, assim como para alojar outro malware incluindo o Palevo e o Zeus,” revelou o CERT Polónia no seus site. “NASK, operador do agente de registo, desactivou mais de 23 desses domínios na passada quinta-feitra (Jan 17, 2013).

Os nomes dos servidores desses domínios foram alterados para “sinkhole.cert.pl”, controlados pelo CERT Polónia, equipa gerida pela NASK.”




Deixe um comentário

O seu email não será publicado