Desde el pasado mes de enero, un grupo de astutos
programadores con el nombre de "Grupo Skynet anti-virus" han estado
inundando Internet de múltiples variaciones del virus Netsky, algunos capaces de
tomar control de los PCs de usuarios de Internet con el objetivo de utilizarlos
para enviar correos basura o atacar a páginas web
Mientras infectaban ordenadores eliminaban totalmente en
ellos rastros de otros códigos maliciosos, como el Bagle, MyDoom lo que llevo a
suponer a expertos del mundo de la seguridad informática que se había
establecido una fuerte pugna entre estos creadores, siendo los equipos de los
usuarios el campo de batalla.
Los mensajes incluidos en los códigos fuentes de los gusanos
no dejaban ningún lugar a la duda y en una de las últimas variantes distribuidas
quedaba claro que entre estos existía un fuerte conocimiento, fruto quizás de
haber trabajador o colaborado juntos antiguamente.
Del
Original en inglés:
Skynet AntiVirus - We want to destroy malware writers business, including
MyDoom & Bagle. To F-Secure and so on, we do not want damage systems, we
only want to avoid that Bagle continues his dirty business. We have
respect of your work (Your heuristic scan is not good enough! Make it
better). When the beagle and mydoom loose, we wanna stop our activity.
thats now. And personal words to mydoom: Your are so i never seen in my
life. A Sample is bin laden and saddam. Your are more, more as more.
worse than bad, the only worst. I cannot describe you, you're so lame.
And to the mydoom thiefs: You will go into the prison next time in texas,
nice to meet the bagle author there. , its similar your food, you know.
And do not watch too much porn. Last words to all AV firms: We are the
Skynet, not netsky! You can use commands on port 26 to deactivate the
Skynet!. This is the last version of our antivirus. The source code is
available soon. Note that the optimization limit is also reached. You
can't get more with smtp engines. bagle and mydoom can continue his dirty
impact. the 11th of march is the skynet day."
|
Tradución: "Skynet
Antivirus - Queremos destruir el negocio de los escritores de malware,
incluyendo a Mydoom y Bagle. A F-Secure y otros, no queremos dañar
sistemas, sólo evitar que Bagle continúe con su sucio propósito.
Respetamos su trabajo (¡Su heurística no es tan buena! Hágala mejor).
Cuando beagle y mydoom pierdan, cesaremos nuestra actividad. eso es
ahora. Y una palabras personales para mydoom. Sois lo [omitido] que he
visto en mi vida. Ejemplos son bin laden y saddam. Sois más, y más,
peores que malos, lo más malo. No puedo describiros, sois tan inútiles. Y
para los ladrones de Mydoom: La próxima vez iréis a prisión en Texas, y
estaréis encantados de encontrar allí al autor de Bagle. [omitido] es
igual que tu comida, ¿sabes? Y no veas tanta pornografía. Unas últimas
palabras para las compañías antivirus: ¡Somos los Skynet, no Netsky!
¡Pueden usar comandos sobre el puerto 26 para desactivar Skynet! Esta es
la última versión de nuestro antivirus. El código fuente pronto estará
disponible. Vean que el límite de optimización también se ha alcanzado.
No podéis conseguir más con motores smtp. bagle y mydoom pueden continuar
con su sucio impacto. El 11 de marzo es el día de Skynet."
|
La "silenciosa" lucha entre ambos equipos desemboco en una
cruel batalla en que este tipo de mensajes (ocultos entre el código) eran una
constante. Así el la versión F de Netsky (difundida el 3 de marzo) podíamos
leer: "Bagle, eres un perdedor". El mismo día los autores de Bagle
respondían con una nueva versión de su código en el que decían que "Eh, a los
de Netsky, que os den por c...". A lo que el respondieron con una nueva
versión de Netsky, un día después!, con el texto de "Bagle, Sabréis lo que es
sufrir". Y así sucesivamente.
Una constante en toda esta lucha era, además de los mensajes
insultantes entre unos y otros, la capacidad de desactivar, borrando sus
entradas de registro, a sus competidores. Así, si un ordenador previamente
infectado con Bagle, Mydoom, Deadhat o Nachi era fácilmente
invadido por Netsky "P", que "liberaba"
el disco duro de la molesta presencia de cualquiera de los anteriores,
eso si infectándolo con su propio código.
Los creadores de Netsky (que es el mismo nombre del
malvado sistema informático que decide destruir el mundo en la saga
cinematográfica «Terminator»), sin embargo se defendían de las
acusaciones que recibían por parte de empresas de seguridad, afirmando que su
lucha era también contra los creadores de "códigos maliciosos" siendo su
objetivo el de librar a Internet de virus.
La Unión hace la fuerza
El trepidante ritmo de actualizaciones y nuevas versiones,
así como la "popularidad" que Netsky o Skynet AntiVirus (como prefieren
llamarse) estaba adquiriendo llevo a sus contendientes a unir sus fuerzas.
Así, a finales de marzo los desarrolladores de Bagle y Mydoom
resolvían desarrollar conjuntamente nuevas versiones para atajar a Netsky y
eliminarlo de la red.
El dinero del Spam
Confirmando otras de las suposiciones que los investigadores
han venido realizando en los últimos meses, el grupo Skynet denunciaba a
los creadores de Bagle como promotores de spam y recolectores de direcciones de
correo electrónico, a la vez que confirmaban su inocencia en toda esta guerra:
"Bagle es una mierda -puede leerse en el
interior de Netsky "R"- porque abre puertas traseras para conseguir un montón de
dinero. Netsky no. Netsky es de Skynet y es un software bueno, con buenos chicos
detrás de él. Creedme, o no. Lanzaremos miles de nuestras versiones de Skynet
mientras Bagle siga existiendo...".
Netsy y Sasse
Según explico el jóven detenido el
Sasser fue fruto del continuo desarrollo de distintas variantes de Netsky.
Sasser es un gusano que se vale de una vulnerabilidad en
Windows para propagarse. No llega por correo electrónico ni necesita ser
ejecutado con un doble clic por un usuario desprevenido para infectar una
computadora. Solo basta que el ordenador esté conectado a Internet sin la
protección de un cortafuego, y que esté ejecutando una versión de Windows XP o
2000 sin los últimos parches de seguridad de Microsoft instalados. Sasser puede
examinar automáticamente Internet en busca de equipos con la vulnerabilidad
mencionada, para luego enviarse a los mismos e infectarlos.
Se estiman en más de 18 millones los equipos infectados por el Sasser apenas 72
horas después de su llegada.
Los propios creadores o "creador" del
Netsky explicaron en un mensaje insertado en una de las últimas versiones del
Netsky, Netsky.AC, su autoría de Sasser
Hey, av firms, do you know that we have
programmed the sasser virus?!?. Yeah thats true! Why do you have named it sasser?
A Tip: Compare the FTP-Server code with the one from Skynet.V!!! LooL! We are
the Skynet...'
Here is an part of the sasser sourcecode you named so, lol
(Hey, compañías antivirus ¿sabéis que hemos programado el virus sasser? ¡Si, es
verdad! ¿Por qué le habéis llamado sasser? Una pista: comparad el código del
servidor FTP con el de Skynet.V. Somos los Skynet...
(A continuación y para demostrar la veracidad del
mensaje incluyen una parte del código fuente de sasser).
Aunque en esta ocasión no anunciaron contra quien luchaban,
lo que para algunos expertos es una demostración de que posiblemente la dinámica
que habían iniciado acabo devorándolos convirtiéndose en iguales a aquellos que,
en un principio, querían erradicar de la red.
|