Tuesday, September 04, 2007
Cómo detectar un ZOMBI SPAMMER

Se dice por allí que alrededor del 90% de tráfico de correo de la Internet es SPAM, del cual 70% es generado por PCs zombis. Las PC zombis son PCs normales que fueron hackeadas por criminales informáticos para subarrendarlas a ciertas corporaciones que usan el SPAM como estrategia de marketing. Ese 90% x 70% significaría que alrededor del 63% de tráfico SPAM que vemos a diario, es producto de una PC zombi. Por esa razón, es necesario saber cómo detectar la presencia de uno en su red. Aquí, veremos algunas de esas formas.

Nota: Escenarios sólo para los clientes de los servicios de Internet de TELMEX PERÚ S.A.

Escenario 1: Usted es cliente del servicio de hosting de correos de TELMEX.
De ser éste el caso, usted debe ver sólo tráfico SMTP hacia las direcciones IP 200.14.241.37 y 200.14.241.56. Cualquier tráfico SMTP hacia otra dirección es indicativo de:
- un Zombi Spammer enviando correos desde su PC.
- un empleado de ventas que ha adquirido alguna herramienta de envío de correo masivo.
- un empleado cualesquiera que está usando la PC para fines no laborales.

Escenario 2: Usted tiene un servidor de correo propio, instalado en su red.
De ser éste el caso, usted debe verificar que todo el tráfico SMTP saliente se dirija al servidor de correo interno, de no ser así, cualquier tráfico SMTP hacia otra dirección es indicativo de:
- un Zombi Spammer enviando correos desde su PC.
- un empleado de ventas que ha adquirido alguna herramienta de envío de correo masivo.

Escenario 3: Usted NO tiene servidor de correo propio, y tampoco cuenta con un servidor de correos en otro lado de Internet.
De ser éste el caso, usted no debería ver tráfico SMTP saliente (ni siquiera entrante, cualquier tráfico SMTP hacia Internet es indicativo de:
- un Zombi Spammer enviando correos desde su PC.
- un empleado/usuario de ventas que ha adquirido alguna herramienta de envío de correo masivo.
- un empleado/usuario cualesquiera que está usando la PC para fines no laborales.

Para hacer estas verificaciones usted puede usar tcpdump/windump/wireshark/argus entre otros. No obstante, las técnicas para verificar ésto, por supuesto, son para especialistas de TI, y no es tan transparente para cualquier usuario convencional. Los siguientes enlaces pueden ser recomendables para que usted detecte o aprenda a detectar estos y otros patrones de intrusión.
Detección de intrusos (curso)
Guía para "first responders"
Otros problemas más peligrosos provocados por PC Zombis

Nota: No intente usar antivirus para detectar o remover el problema, no siempre sirven.

Departamento Especializado en Seguridad - Internet
TELMEX PERÚ S.A.

SOPORTE | Spam
9/4/2007 10:37:15 AM (SA Pacific Standard Time, UTC-05:00)  #    Comments [432]Trackback

© Copyright 2009 TELMEX PERU S.A.
Theme design by Bryan Bell

newtelligence dasBlog 1.7.5016.2
Subscribe to this weblog's RSS feed with SharpReader, Radio Userland, NewsGator or any other aggregator listening on port 5335 by clicking this button.   RSS 2.0|Atom 0.2|CDF  Send mail to the author(s) | Page rendered at 1/7/2009 12:25:42 AM (SA Pacific Standard Time, UTC-05:00)

Reset | Discreet Blog Blue | Just Html | Movable Radio Heat | Candid Blue | DasBlog | Movable Radio Blue | Slate | Custom