Kelihos resucita de entre las botnets muertas

En teoría, Microsoft había erradicado a Kelihos del panorama informático este último otoño, pero en la práctica la botnet ha conseguido regresar de entre los muertos y su presencia ya está creciendo a marchas forzadas, según los expertos.

En su último informe, GFI Software advierte que el malware “es capaz de enviar miles de millones de correos spam en un sólo día”. ¿Qué tipo de e-mails? Referidos a contenidos pornográficos, medicación como Viagra y anuncios de falsas compañías farmacéuticas.

Por su parte, el blog de seguridad abuse.ch ha confirmado que la nueva versión de Kelihos es todavía más difícil de derrotar debido a su uso de técnicas DNS de mutación rápida y continua. Esto quiere decir que es capaz de ocultar el phishing y demás amenazas tras una red cambiante de hosts comprometidos que actúan como proxies.

También se sabe que, mientras la versión anterior de Kelihos utilizaba el dominio cz.cc para actuar, la nueva utiliza un dominio de nivel superior: .eu.  “Debido al hecho de que estos nombres de dominio utilizan doble flujo, es muy difícil clausurarlos. No hay ningún servidor web o servidor DNS a derribar”, explican los investigadores. Además, la botnet parece estar ubicada principalmente en países del este de Europa.

En septiembre Microsoft obtuvo una ordena judicial que le permitió enfrentarse a Kelihos y forzar el cierre de hasta 21 dominios de Internets relacionados con la temible red de bots. Pero el uso de técnicas “fast-flux” significa que un derriblo de estas características ya no es viable.