DarkShell

¿Qué es?

DarkShell es una botnet de tipo DDoS (denegación de servicio distribuida) que se enfoca en controlar dispositivos Windows para lanzar ataques coordinados de denegación de servicio contra sitios web específicos.

¿Qué hace?

Esta botnet tiene capacidad para realizar las siguientes acciones:

• Lanza ataques de denegación de servicio distribuida contra objetivos definidos por su servidor de mando y control (C2).
• Recibe y ejecuta comandos remotos para realizar acciones maliciosas.
• Se propaga a través de unidades extraíbles mediante archivos autorun.inf.
• Se oculta en el sistema mediante el uso de técnicas de rootkit y antidepuración.
• Modifica claves del registro de los sistemas para asegurar su persistencia y dificultar su eliminación.
• Usa nombres de procesos legítimos para evitar su detección.
• Cifra las comunicaciones con sus servidores de mando y control (C2) para dificultar su detección y eliminación.
• Puede descargar y ejecutar otros módulos maliciosos desde los servidores de mando y control (C2) para ampliar sus capacidades.
• Posee capacidades de proxy inverso (reverse proxy) para permitir que los sistemas actúen como relay y poder ocultar sus conexiones maliciosas.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Windows.

¿Cómo me infecta?

Esta botnet se distribuye a través de unidades extraíbles (USB) que contienen archivos autorun.inf maliciosos, a través de descargas de software infectado desde sitios web comprometidos y a través de correos electrónicos de phishing que inducen al usuario a ejecutar archivos adjuntos maliciosos.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar el malware de esta botnet: accede a los cleaners.

Más información

• Darkshell DDOS Botnet Evolves With Variants (McAfee)
• Backdoor:Win32/Darkshell.A (Microsoft)
• BackDoor.Darkshell.364 (DrWEB)
• Darkshell (Netenrich)
• Darkshell (Malpedia)