Grupo Skynet anti-virus (Netsky) ¿robin hoods de la red?

Desde el pasado mes de enero, un grupo de astutos programadores con el nombre de "Grupo Skynet anti-virus" han estado inundando Internet de múltiples variaciones del virus Netsky, algunos capaces de tomar control de los PCs de usuarios de Internet con el objetivo de utilizarlos para enviar correos basura o atacar a páginas web

Mientras infectaban ordenadores eliminaban totalmente en ellos rastros de otros códigos maliciosos, como el Bagle, MyDoom lo que llevo a suponer a expertos del mundo de la seguridad informática que se había establecido una fuerte pugna entre estos creadores, siendo los equipos de los usuarios el campo de batalla.

Los mensajes incluidos en los códigos fuentes de los gusanos no dejaban ningún lugar a la duda y en una de las últimas variantes distribuidas quedaba claro que entre estos existía un fuerte conocimiento, fruto quizás de haber trabajador o colaborado juntos antiguamente.

Del Original en inglés:

Skynet AntiVirus - We want to destroy malware writers business, including MyDoom & Bagle. To F-Secure and so on, we do not want damage systems, we only want to avoid that Bagle continues his dirty business. We have respect of your work (Your heuristic scan is not good enough! Make it better). When the beagle and mydoom loose, we wanna stop our activity. thats now. And personal words to mydoom: Your are so i never seen in my life. A Sample is bin laden and saddam. Your are more, more as more. worse than bad, the only worst. I cannot describe you, you're so lame. And to the mydoom thiefs: You will go into the prison next time in texas, nice to meet the bagle author there. , its similar your food, you know. And do not watch too much porn. Last words to all AV firms: We are the Skynet, not netsky! You can use commands on port 26 to deactivate the Skynet!. This is the last version of our antivirus. The source code is available soon. Note that the optimization limit is also reached. You can't get more with smtp engines. bagle and mydoom can continue his dirty impact. the 11th of march is the skynet day."

Tradución:

"Skynet Antivirus - Queremos destruir el negocio de los escritores de malware, incluyendo a Mydoom y Bagle. A F-Secure y otros, no queremos dañar sistemas, sólo evitar que Bagle continúe con su sucio propósito. Respetamos su trabajo (¡Su heurística no es tan buena! Hágala mejor). Cuando beagle y mydoom pierdan, cesaremos nuestra actividad. eso es ahora. Y una palabras personales para mydoom. Sois lo [omitido] que he visto en mi vida. Ejemplos son bin laden y saddam. Sois más, y más, peores que malos, lo más malo. No puedo describiros, sois tan inútiles. Y para los ladrones de Mydoom: La próxima vez iréis a prisión en Texas, y estaréis encantados de encontrar allí al autor de Bagle. [omitido] es igual que tu comida, ¿sabes? Y no veas tanta pornografía. Unas últimas palabras para las compañías antivirus: ¡Somos los Skynet, no Netsky! ¡Pueden usar comandos sobre el puerto 26 para desactivar Skynet! Esta es la última versión de nuestro antivirus. El código fuente pronto estará disponible. Vean que el límite de optimización también se ha alcanzado. No podéis conseguir más con motores smtp. bagle y mydoom pueden continuar con su sucio impacto. El 11 de marzo es el día de Skynet."

La "silenciosa" lucha entre ambos equipos desemboco en una cruel batalla en que este tipo de mensajes (ocultos entre el código) eran una constante. Así el la versión F de Netsky (difundida el 3 de marzo) podíamos leer: "Bagle, eres un perdedor". El mismo día los autores de Bagle respondían con una nueva versión de su código en el que decían que "Eh, a los de Netsky, que os den por c...". A lo que el respondieron con una nueva versión de Netsky, un día después!, con el texto de "Bagle, Sabréis lo que es sufrir". Y así sucesivamente.

Una constante en toda esta lucha era, además de los mensajes insultantes entre unos y otros, la capacidad de desactivar, borrando sus entradas de registro, a sus competidores. Así, si un ordenador previamente infectado con Bagle, Mydoom, Deadhat o Nachi era fácilmente invadido por Netsky "P", que "liberaba" el disco duro de la molesta presencia de cualquiera de los anteriores, eso si infectándolo con su propio código.

Los creadores de Netsky (que es el mismo nombre del malvado sistema informático que decide destruir el mundo en la saga cinematográfica «Terminator»), sin embargo se defendían de las acusaciones que recibían por parte de empresas de seguridad, afirmando que su lucha era también contra los creadores de "códigos maliciosos" siendo su objetivo el de librar a Internet de virus.

El trepidante ritmo de actualizaciones y nuevas versiones, así como la "popularidad" que Netsky o Skynet AntiVirus (como prefieren llamarse) estaba adquiriendo llevo a sus contendientes a unir sus fuerzas.

Así, a finales de marzo los desarrolladores de Bagle y Mydoom resolvían desarrollar conjuntamente nuevas versiones para atajar a Netsky y eliminarlo de la red.

Confirmando otras de las suposiciones que los investigadores han venido realizando en los últimos meses, el grupo Skynet denunciaba a los creadores de Bagle como promotores de spam y recolectores de direcciones de correo electrónico, a la vez que confirmaban su inocencia en toda esta guerra:

"Bagle es una mierda -puede leerse en el interior de Netsky "R"- porque abre puertas traseras para conseguir un montón de dinero. Netsky no. Netsky es de Skynet y es un software bueno, con buenos chicos detrás de él. Creedme, o no. Lanzaremos miles de nuestras versiones de Skynet mientras Bagle siga existiendo...".

Según explico el jóven detenido el Sasser fue fruto del continuo desarrollo de distintas variantes de Netsky.

Sasser es un gusano que se vale de una vulnerabilidad en Windows para propagarse. No llega por correo electrónico ni necesita ser ejecutado con un doble clic por un usuario desprevenido para infectar una computadora. Solo basta que el ordenador esté conectado a Internet sin la protección de un cortafuego, y que esté ejecutando una versión de Windows XP o 2000 sin los últimos parches de seguridad de Microsoft instalados. Sasser puede examinar automáticamente Internet en busca de equipos con la vulnerabilidad mencionada, para luego enviarse a los mismos e infectarlos.

Se estiman en más de 18 millones los equipos infectados por el Sasser apenas 72 horas después de su llegada.

Los propios creadores o "creador" del Netsky explicaron en un mensaje insertado en una de las últimas versiones del Netsky, Netsky.AC, su autoría de Sasser

Hey, av firms, do you know that we have programmed the sasser virus?!?. Yeah thats true! Why do you have named it sasser? A Tip: Compare the FTP-Server code with the one from Skynet.V!!! LooL! We are the Skynet...'

Here is an part of the sasser sourcecode you named so, lol

(Hey, compañías antivirus ¿sabéis que hemos programado el virus sasser? ¡Si, es verdad! ¿Por qué le habéis llamado sasser? Una pista: comparad el código del servidor FTP con el de Skynet.V. Somos los Skynet...

(A continuación y para demostrar la veracidad del mensaje incluyen una parte del código fuente de sasser).

Aunque en esta ocasión no anunciaron contra quien luchaban, lo que para algunos expertos es una demostración de que posiblemente la dinámica que habían iniciado acabo devorándolos convirtiéndose en iguales a aquellos que, en un principio, querían erradicar de la red.