Un poco más sobre el botnet Mariposa

mariposa.jpg

La Guardia Civil deja saber esta mañana en su rueda de prensa algunos detalles sobre la desarticulación del botnet Mariposa anunciado ayer: más de 500 empresas afectadas, 40 entidades bancarias, con la información personal de 800,000 usuarios a nivel mundila. Los tres españoles detenidos, netkairo’ o ‘hamlet1917’ en Balmaseda (Vizcaya), ‘OsTiaToR’ en Molina de Segura (Murcia) y ‘Johnyloleante’ en Santiago de Compostela, también alquilaban regularmente su red; también se sabe de la participación de un venezolano llamado ‘fénix’, que sigue sin identificarse.

Symantec ha seguido los detalles del botnet desde hace algunos meses, y tienen en su blog una descripción muy exacta de sus funciones: código polimórfico, inyección del código directamente en explorer.exe, reinyección automática si falla explorer.exe, opera en tráfico UDP, saca las contraseñas en Firefox 2.x y 3.X, se distribuye en MSN, P2P y USB según la descripción oficial del malware. Desde el pasado Octubre ya sabían que el malware se comunicaba con los servidores qwertasdfg.sinip.es, butterfly.sinip.es y el bfisback.no-ip.org.

No es difícil encontrar evidencia de las actividades de Netcairo a través de Google. Acabamos de encontrar un artículo en la página Malware Intelligence en Blogger que describe los precios del Crimeware ruso, con un comentario de un tal NetKairo este pasado Noviembre. Quién sabe, a lo mejor es el mismo, o no lo es.

Leave a Reply

fourteen − 4 =

This site uses Akismet to reduce spam. Learn how your comment data is processed.