Hace unos días leía un comunicado publicado por el FBI donde anunciaban la interrupción de una botnet P2P llamada GameOver y basada en el famoso troyano bancario Zeus. Hoy la empresa F-Secure ha dado a conocer una sencilla herramienta que no requiere de ninguna instalación y que permite verificar rápidamente si nuestra computadora se encuentra infectada con este malware.
Sólo debes acceder a esta dirección f-secure.com/gameoverzeus
Las botnets P2P son conocidas desde hace muchos años y presentan varias ventajas frente a las típicas botnets donde hay un centro de control desde el cual se le envían órdenes a todas las computadoras infectadas. Una de ellas es que no tienen un C&C (command and control) único que las controle a todas y por ello son más difíciles de desmantelar.
Gameover Zeus (GOZ) buscaba hacer dinero instalando otros malwares y robando datos bancarios. Y una de las acciones que realizaba era infectar los navegadores para modificar los sitios web localmente agregando nuevos campos en los formularios. Algo típico de los troyanos bancarios.
Esto justamente es lo que aprovechó el equipo de F-Secure para crear la herramienta, lo que hacen es cargar mediante un iframe una página que ellos controlan para que GameOver -si estuviera presente en el equipo- piense que se está entrando a una URL legítima de la cual puede robar información e inyecte códigos extras para modificarla.
La herramienta verifica si estas modificaciones se hacen o no y así determina si el equipo se encuentra infectado con GameOver. Es una idea muy sencilla que funciona con las versiones del malware conocidas hasta ahora y que sirve para verificar rápidamente si nuestro equipo forma parte de esta botnet P2P.
Si te aparece el mensaje en verde «MOST LIKELY NOT INFECTED» significa que tu equipo no está infectado, al menos con GameOver.