Hay un buen análisis de Sergey Golovanov de Kaspersky Labs sobre TDL-4 un virus troyano que infectó a más de 4.5 millones de PCs sumándolas a una botnet que evoluciona más rápido que los que la combaten.
Y es interesante leer el reporte por que explica básicamente (además de detallar los componentes del virus) como este se esconde, borra troyanos de la competencia, actualiza su código y hasta previene ser borrado…
Si uno lo mira conceptualmente… y suma un rootkit cifrado RC4 usando los nombres de dominio de los servidores de control como claves del cifrado y que se comunican usando dos redes P2P para tener capacidad para responder al cierre de una u otra…. la hace una botnet realmente digna de admirar (si, ya se que está mal hacer una botnet!) por como fue armada y pensada.
¿Porque me parece que es más dificil de tirar abajo? Porque tenés que lograr que 4.5 millones de usuarios de PCs que ni siquiera deben saber que están infectados, corran programas para limpiar archivos específicos y saber que es un MBR para poder repararla e impedir que se propague con lo que la lucha para frenarla debería ser más rápida que su capacidad de propagación y eso (sin poder cortar los canales de comunicación) dudo que sea simple.
Por lo que es la lista de features, no es algo del otro mundo. Hay una gran (GRAN) cantidad de bots open source que tienen este tipo de features, y mejores (por ej. en vez de buscar por otros bots en el registro de win buscan patrones en la memoria, haciéndolo mucho más efectivo). Y habiendo estado en el ambiente de las botnets me animo a decir que el éxito que tenga una botnet (medido en tamaño) depende de muchos más factores que del diseño. Así como el éxito de un startup depende de mil cosas y no sólo del producto, en el “underground” es lo mismo. Depende de a quiénes conozcas, cuánta guita y tiempo estés dispuesto a invertir, cuán cuidadoso sos, saber moverse rápido y sin ser impulsivo, etc.
conceptualmente es una obra de arte