Gracias a la organización SPAMHAUS (centrada en la lucha contra el spam), se han generado listas negras con equipos infectados. Además ha publicado un documento “how to” que explica cómo detectar bots en una LAN, tarea que no siempre resulta sencilla.
El documento nos ayudará a encontrar el/los ordenadores de la red infectado/s que está/n enviando trafico no legitimo fuera de la red para comunicarse con el resto de la botnet.
Por ejemplo, analiza herramientas para lograrlo, cuya función os resumo:
- tcpview/tcpvcon (parecidas a netstat), son herramientas desarrolladas por Microsoft que permitirán ver todos los programas que tienen conexiones de red abiertas.
- MyNetwatchman Seccheck, permite identificar los procesos en ejecución y determinar si alguno de los ficheros es malicioso, realizando un análisis de los mismos en la función “binary file upload”.
- HijackThis, es una herramienta más conocida y que a diferencia de MyNetwatchman no permite realizar un análisis de los elementos detectados, pero si generar un informe sobre el comportamiento del equipo. Que luego se puede cotejar en la Web http://www.hijackthis.de/
- La propia herramienta de Windows para la eliminación de software malintencionado (MSRT), que resulta bastante eficaz en la limpieza de bots que envían spam.
Al uso de estas herramientas se unen detalles sobre registros de los cortafuegos, servicios de los routers (UPnP), captura de tráfico de la red, etc.
Un excelente «HOW TO». (Documento)
NOTA: Importante no olvidar la ayuda de la Oficina de Seguridad del Internauta (OSI), que pone a nuestra disposición un servicio gratuito de detección de la conexión con respecto a las botnets.
