Llegamos a ustedes gracias a:



Alertas de Seguridad

Pushdo ataca a algunas de las principales webs

Mediante conexiones SSL

[02/02/2010] Más de 300 de los principales sitios web han sido objeto de ataques lanzados desde computadoras infectadas y convertidas en parte de la botnet Pushdo, según han informado varios investigadores de seguridad.

El FBI, Twitter y PayPal se encuentran entre las organizaciones cuyos sitios han resultado afectados, aunque no parece que los ataques estén diseñados para interrumpir el funcionamiento de las web que toman como blanco, según Steven Adair, experto del grupo especializado en el seguimiento de botnets, Shadowserver Foundation.
Este grupo fue advertido de la existencia de Pushdo por Joe Stewart, director de análisis de malware del fabricante SecureWorks. Pushdo, también conocida como Pandex y Cutwail, tiene unos tres años de existencia, de acuerdo con las investigaciones de Trend Micro al respecto. Las computadoras zombis de esta botnet son utilizadas para el envío de spam, aunque el malware utilizado para ello tiene también la capacidad de descargar otros códigos dañinos sobre los sistemas.
Parece que Pusho ha sido recientemente actualizada para hacer que las computadoras infectadas realicen conexiones SSL (Secure Sockets Layer) -protocolo encriptado para proteger la información intercambiada entre dos puntos- a varios sitios web.
Así, los bots empiezan creando una conexión SSL y después se desconectan, un proceso que se repite automáticamente. Servir conexiones SSL supone una carga mayor para el sitio que establecer conexiones HTTP, pero el tráfico ha sido tan esporádico que algunos grandes sitios ni siquiera se han percatado del problema, según Adair.
No obstante, se trata de un tráfico significativo y su resultado en grandes sitios web es el de millones de impactos a través de cientos de miles de direcciones IP. El problema puede ser considerable para las web acostumbradas a recibir solo unos pocos cientos de miles de impactos al día o que no dispongan de ancho de banda ilimitado, advierte Adair, según quien una posible solución, aunque temporal, podría ser el cambio de las direcciones IP. Actualmente, Shadowserver Foundation trabaja para encontrar la manera de resolver el problema.
CIO, España