|
Noticias
relacionadas |
|
|
|
Expertos en seguridad informática tanto del sector privado
como del Gobierno de EE.UU. están analizando la aparición de un nuevo tipo de
herramienta "cracker" altamente sofisticada que usa el mismo sistema que las
redes de intercambio P2P, como Kazaa o BearShare. Según las primeras
estimaciones, cientos de miles de PCs han sido ya infectados en todo el mundo.
Esta herramienta de ataque que los expertos han denominado
"Phatbot" o "Polybot", permite a sus autores tomar el control de los
ordenadores y unirlos a las redes P2P usándolos para enviar cantidades enormes
de mensajes de correo electrónico no deseado (spam) o colapsar sitios Web
mediante denegaciones de servicio en una tentativa de dejarlos inutilizados.
También es capaz de robar contraseñas, claves para activar
productos y hacerse con los códigos de PayPal, el sistema que permite realizar
pagos online.
Un nuevo tipo de gusanos capaces de "acabar con todo"
Este nuevo tipo de amenaza cracker fue descubierto por
funcionarios del Departamente de Seguridad de EE.UU., quienes dieron la
alarma poniéndose inmediatamente en contacto con un grupo escogido de expertos
en seguridad de ordenadores. En la alarma, la agencia advirtió que el "Phatbot"
roba las contraseñas y los números de serie de los programas en los ordenadores
infectados, es tremendamente mutable (polimórfico) e intenta además con éxito
inutilizar el software de los antivirus y de cortafuegos instalados.
Lo que distingue a este programa de los anteriores es el
elevado número de comportamientos perniciosos que es capaz de realizar, así como
su habilidad para crea versiones alteradas de sí mismo para escapar al software
anti-virus, y es capaz de saltarse algunos sistemas de seguridad ya instalados,
señalaron expertos informáticos.
Los expertos indicaron que Phatbot pertenece a una reciente ola de virus que se
caracterizan por tener múltiples facetas y por su complejidad.
Joe Stewart, un investigador en la empresa Lurhq,
especializada en seguridad, ha catalogado las características internas que
el Phatbot incluye: "fuerte capacidad polimórfica en una tentativa de evadir
firmas de antivirus permitiendo extenderse de sistema en sistema sin ser
detectado"; "acaparar conexiones a las cuentas personales de AOL y sus
contraseñas"; "envíar masivamente spam" "y "sniffar el tráfico en la Red para
enviar cookies", entre otras muchas…
El Phatbot es una nueva modalidad de Troyano-Gusano (al
estilo del Fizzer, pero mucho más agresivo) que ha despertado la preocupación y
el interés entre los expertos porque representa un avanzado salto en
sofisticación de este tipo de programas y demuestra lo difícil que lo van a
tener las autoridades para aplicar las Leyes, resultando además difícilmente
eliminable por las empresas de Antivirus.
Como otros Caballos de Troya tradicionales, Phatbot puede
infectar los ordenadores mediante varios métodos, como por ejemplo bugs de
defectos de seguridad en el sistema operativo o por "puertas traseras" abiertas
en máquinas ya infectadas por gusanos como el "Mydoom" o el "Bagle".
Pero a diferencia de otros troyanos que actúan
individualmente, el Phatbot al transmitirse por una inmensa red de tipo P2P,
puede ser usado por los crackers para enviar ordenes masivas a las máquinas
infectadas por muchas vías diferentes, siendo muy difícil prevenir un ataque
enorme al no existir forma de desinfectar al mismo tiempo cada ordenador
afectado o evitar su rápida propagación, sin conocimiento de los usuarios, cuyos
antivirus y cortafuegos son anulados en el momento de la infección.
El Phatbot es "un tipo agresivo de software de ataque que
funciona como una ‘navaja suiza’" ha confesado Vincent Weafer,
Director de Respuestas de Seguridad Informática de Symantec (Norton) en
California.
A que grado ha llegado la infección
"Está muy extendido, pero todavía no ha alcanzado niveles
de epidemia", dijo Tony Magallanez, ingeniero de la firma anti-virus
F-Secure, a la publicación TechNewsWorld.
Para Craig Shmugar, de Network Associates, el
virus merece la calificación de riesgo "bajo", aunque advierte que el
potencial es grande porque puede extenderse y operar maliciosamente de varias
maneras.
De acuerdo a otras estimaciones, el virus ya ha alcanzado a
cientos de miles de computadoras.
Así lo cree, por ejemplo, Igor Ybema,
administrador de redes en la Universidad de Twente, en Holanda,
que eleva el número de ordenadores infectados entre 1 millón y 2 millones.
Sus calculos están basados en un comando del Phatbot que
fuerza a los ordenadores infectados a probar su velocidad de conexión a Internet
enviando un fichero a uno de los 22 servidores Web expresamente seleccionados en
el mundo entero, uno de ellos en esta Universidad de Holanda.
Según explicó, Twente comenzó a supervisar el tráfico de
ordenadores que controlan las pruebas a mediados de febrero, detectando a
comienzos de la semana pasada, un promedio de 200,000 a 300,000 peticiones de
pruebas de velocidad diarias, lo cual demuestra que los atacantes que antes
usaban otras herramientas troyanas menos sofisticadas y de acceso remoto como
NetBus, BackOrifice o SubSeven están ahora usando Phatbot para controlar
centenares de miles de ordenadores al mismo tiempo mediante su capacidad
intrínseca P2P. La mayoría de las infecciones parece que provienen de conexiones
de banda ancha de usuarios y de universidades en los Estados Unidos y de la
región de Asia-Océano Pacífico, muchos de ellos infectados sin saberlo.
Su fuerza esta en el trabajo en equipo
El simple hecho de pensar que cientos de miles de máquinas
estén infectadas ya por este nuevo tipo de navaja suiza en forma de troyano
sofisticado es aún más peligroso que cualquier ataque imaginado hasta este
momento, incluyendo los ya famosos gusanos MyDoom, Bagle o Netsky. Aunque
catalogado en este momento aún como de baja peligrosidad por empresas como
McAfee (que lo define como gusano) o por Kaspersky (que los define como
troyano), lo cierto es que este nuevo tipo de herramienta cracker, que en sí
funciona como gusano, como troyano, como herramienta DoS y como Nuke ponen de
manifiesto la vulnerabilidad de las redes ante un ataque global generalizado.
En sí, este nuevo virus como unidad individual no es importante; su fuerza
radica en la infección generalizada al mismo tiempo de cientos de miles de
máquinas en todo el mundo actuando coordinadamente: robar gran parte del ancho
de banda de las redes internacionales para el envío de correo no deseado, robar
contraseñas o propagar denegaciones de servicios generalizadas es algo que
supera con mucho la peligrosidad de otros virus que requieren la actuación
directa del usario para su propagación. Una caída global en la Red Inet es igual
para todos, independientemente del sistema operativo… Otra nueva forma de virus
capaces de echar abajo las redes de todo el mundo mediante el envío masivo de
spams o denegaciones de Servicio se está acercando y Phatbot está a la cabeza de
ellos. El futuro de nuevos virus, cada vez más peligrosos y sofisticados, ya
está aquí…(Fuente: Redacción e información suministrada por Prog en
Banaancha.st )
Más información en:
CNET:
http://news.com.com/2100-1009_3-5175025.html?tag=nefd_top
F-Secure ha puesto en circulación una herramienta de desinfección en:
ftp://ftp.f-secure.com/anti-virus/tools/f-agobot.zip
McAfee:
http://vil.nai.com/vil/content/v_101100.htm
|