Jorge Gobbi ([email protected]) -
La reciente explosión de virus, que incluso mereció la tapa del diario
Clarín, el más vendido de la Argentina, mostró la peligrosa cara de una alianza
cada vez más común en Internet: la que vincula a los virus y al spam. Las
referencias eran, claro, para el fin de semana en que los códigos maliciosos
asolaron nuestras casillas de e-mail, en particular por culpa de dos engendros:
el Sobig y el MS-Blaster.
El virus que más nos interesa esta vez es el Sobig. En sus seis versiones
diferentes, instala un proxy server en las computadoras infectadas, de tal
manera que se podrían usar como mail relay para enviar correos. O sea, spam.
¿Exageraciones? Un estudio de la compañía MessageLabs, especializada en
servicios corporativos de detección y filtrado de correos no solicitados,
descubrió en agosto que la mitad de computadoras que estaban enviando spam
habían sido infectadas con el virus.
De acuerdo con MessageLabs, entre el 60% y el 70% del spam que proviene de
Internet pasa a través de algún proxy server abierto o mal configurado. Y debido
a que son cientos de miles las PCs infectadas, lo que tenemos en la Red es un
verdadero ejército de “máquinas zombies” por donde el spam podría circular sin
problemas.
Debido a que las variantes más conocidas del Sobig están desarrolladas para
dejar de funcionar el 10 de septiembre, se espera que una nueva ola de variantes
del virus comience a circular días antes.
Hay más pruebas de que el principal objetivo del Sobig es ayudar a los spammers
a desarrollar su tarea. Una de las variantes de este virus está programada para
hacer que las PCs infectadas lancen pedidos masivos de conexión a sitios como
Spam Early Prevention Warning System (spews.org), Osirusoft (relays.osirusoft.com)
y Spam Open Relay and Blocking System (sorbs.net). ¿Qué tipo de sitios son
éstos? Adivinaron: manejan listas negras de spammers. Y como informó PC World
durante agosto, otros sitios de lucha contra el spam han sufrido agresivos
ataques de denegación de servicio. Entre ellos, SpamCop y Spamhaus. Y como quien
hace el pedido de conexión es una PC contaminada con el virus, los spammers
logran lanzar un masivo golpe contra los desarrolladores de listas negras, sin
dejar rastros.
Usar virus para permitir que otras computadoras funcionen como mail relays –o
sea, básicamente, usar su IP y su ancho de banda para enviar spam, sin que se
detecte la verdadera dirección del destinatario– no es nada nuevo. Ya en mayo de
este año, el New York Times publicó una noticia en la cual daba cuenta de que al
menos 200.000 PCs en todo el mundo estaban infectadas con algún código
malicioso, por el cual se estaba enviando correo no solicitado sin que el dueño
lo supiera. Las consecuencias para el poseedor de la computadora con el virus
podían ser muy molestas: no sólo le estaban usando la máquina, sino que además
su dirección podía ser bloqueada a través de las listas negras, un recurso cada
vez más habitual para detectar spam. Pero gracias al virus, el verdadero spammer
jamás es bloqueado.
El primer virus conocido por hacer la vinculación entre spam y virus fue el Jeem.
Los listados con computadoras infectadas con este código malicioso se podían
conseguir por pocos dólares en los sitios dirigidos a spammers. Hay más: una de
las versiones del Sobig, la E, no sólo configuraba un servidor proxy, sino que
también instalaba un troyano destinado a robar claves de e-banking.
|