Se supo del inicio de esta peligrosa tendencia hace más de un año, pero el asunto no ha hecho más que empeorar. Según Sandvine, el 80% del correo basura procede en la actualidad de PC's zombis, es decir, ordenadores (en su mayoría domésticos) que han sido infectados por troyanos y se dedican a enviar correo sin que su dueño lo sepa.

Hace mas de un año ya se empezo a hablar de este tema por parte de Kriptopolis

En noviembre del pasado año asistimos al nacimiento de Backdoor-AML (1), un curioso troyano entre cuyas posibilidades figuraba la de convertir la máquina comprometida en un servidor de correo a merced del atacante. Pues bien; desde hace tan sólo unos días, la familia de los reclutadores de spammers-a-su-pesar cuenta con un nuevo miembro: Guzu (2).

(1) http://www.messagelabs.com/viewNewsPR.asp?id=109&cmd=PR
(2) http://www.vsantivirus.com/guzu.htm

El troyano llega a su víctima por las vías habituales (e-mail, IRC, etc.) y necesita ser ejecutado por un usuario desprevenido. A partir de ese momento, abre un puerto en la máquina atacada y procede -valiéndose de su propio servidor de correo- a enviar al atacante un mensaje, donde le comunica la dirección IP y puerto del ordenador que acaba de comprometer. De este modo, un spammer puede hacerse con un considerable listado de máquinas dispuestas a servirle de pasarela para sus envíos masivos, cuyo origen siempre acabará además apuntando a la dirección de su inocente víctima.

En contra de lo que a primera vista pudiera parecer, la noticia permite también dos lecturas positivas. Por un lado, podemos estar ante una reacción de los spammers, inducida tal vez porque puedan estar acusando el efecto de la progresiva generalización de algunas medidas anti-spam. Por otro, enviar un mensaje solicitado no suele considerarse delito, pero infiltrarse en un equipo ajeno para utilizarlo a su antojo sí lo es, por lo que esta gente estaría exponiéndose a serias consecuencias de tipo penal.

En todo caso -y como siempre- nuestra defensa radica en un adecuado manejo de los mensajes y adjuntos no solicitados y una actitud vigilante cuando se realizan prácticas de riesgo (IRC, redes P2P...), así como la instalación de un buen cortafuegos y un antivirus permanentemente actualizado.



Y ahora Sandvine nos trae este documento (en ingles):

Spam trojans and their impact on broadband service providers
Sandvine Incorporated, June 2004

OVERVIEW: The majority of spam – as much as 80 per cent of all unsolicited marketing messages sent -- now
emanates from residential ISP networks and home user PCs. This is due to the proliferation of spam trojans, bits
of surreptitious malware code embedded in residential subscriber PCs by worms and spyware programs.
Worm attacks are growing in frequency because they provide a fast means of infecting a vast number of
computers with spam trojans in a very short period of time. It’s no surprise that many service providers report
an upsurge in spam traffic immediately following a worm attack. Worms can credibly be seen as the delivery
mechanism for unsolicited mass-market direct email campaigns.
The trend to automating spam by hijacking home user machines has become a significant threat to service
provider business models, imposing unplanned costs, disrupting service and making them targets for large ISPs
who see their smaller networks as sources of malicious traffic.
Spam is now a problem for everyone who uses or provides Internet access: ISP networks, enterprise customers
and end users. In all cases the spam problem is unlikely to abate without active intervention by internet service
providers.
DEFINING THE PROBLEM: Spam trojans exploit vulnerabilities created by worms to bypass normal email routing
and use SMTP to drop spam messages directly into end user machines.
IMPACTS: In practical terms this means large volumes of spam traffic getting past outbound spam filters and
“gumming up” email servers on the inbound side. Most spam filters succeed in identifying only 90 per cent of
spam – a level of effectiveness that can be overcome by the massive volume of messages spam Trojans are
capable of generating.
This mushrooming volume of email is forcing ISPs to purchase additional email servers to accommodate spaminduced
traffic and avoid service degradations. Anti-spam software must then be purchased and installed on
each.
For small to medium sized ISPs, the proliferation of spam sent via spam trojans is also drawing the unwanted
attentions of large service providers, who are coming to see smaller providers as sources of spam and other
malicious traffic. Antagonisms have begun to surface and at least one major service provider is issuing ‘cease
& desist’ letters to smaller ISP competitors, warning that their entire domain could be blacklisted if the spam
emanating from their networks is not addressed.
SOLUTIONS: A multi-layered approach to the spam problem is required. While spam filters on both mail servers
and end user machines should continue as one line of defense against unsolicited email, the sheer volume of email
traffic generated by spam trojans means additional defenses must be added to ISP network infrastructure.
Traditional spam filtering techniques based on the content of messages must be augmented with techniques
that recognize the unique behaviour of spam trojans on the network and take appropriate action to stop spam
traffic from leaving a host network, or black-holing it – if and when it arrives from another.

Fuente: Kriptopolis