Según los expertos, los últimos virus diseminados por la red - "NetSky", "Bagle"
y "Mydoom"- contienen mordaces mensajes ocultos que muestran la rivalidad
entre los programadores, así como sus habilidades idiomáticas.
Los diseñadores, en su mayoría presuntamente adolescentes, han ideado un
torrente de versiones -nueve de "Bagle", seis de "NetSky" y siete
de "Mydoom"-, algunas de las cuales se inutilizan unas a otras.
"Netsky" inició el enfrentamiento dos semanas atrás al buscar los puertos
abiertos por otros virus e ingresar por allí para borrar partes de "Mydoom" y "Bagle".
El resultado es una competencia digital en jerga, con errores gramaticales y de
tipeo.
"No arruinen nuestro negocio, ¿o quieren iniciar una guerra?", indica la
variante "Bagle.j". "Netsky Antivirus. Bagle: ¡¡¡eres un perdedor!!!",
contesta "Netsky.f".
"Parece que todos están locos contra todos", dijo al respecto Brian Mann,
administrador del equipo de respuesta a emergencias del antivirus McAffe de
Network Associates. "Están tratando de mostrar quién es mejor", añadió.
Resumen de una semana que saturo, de nuevo, los
buzones de correo
Dejando aparte las guerras entre programadores, la semana
pasado nos dejo 9 variantes (C, D, E, F, G, H, I, J y K) del gusano Bagle.
Todas ellas son muy similares al gusano original, diferenciándose en aspectos
tales como el tamaño de fichero que contiene el código del virus, o la fecha en
que han sido programados para ejecutarse.
Las nuevas variantes de Bagle se propagan eficazmente través de programas P2P y
del correo electrónico, en mensajes de características muy variables. Asimismo,
crean un backdoor en el puerto TCP 2745.
Sin embargo, hay que destacar que algunas de estas nuevas variantes de Bagle
pueden llegar al ordenador en un fichero adjunto con formato ZIP protegido
mediante contraseña. Dado que estos ficheros están cifrados, los programas
antivirus no pueden analizar su contenido para comprobar que están libres de
malware antes de ser descomprimidos, lo que puede inducir a un falso sentimiento
de seguridad. Para evitar esto, Panda Software ha incluido en sus antivirus una
detección específica para este tipo de archivos, por lo que sus clientes se
encuentran protegidos ante este problema.
Otro de los grandes protagonistas de la semana ha sido la familia de gusanos
Netsky, de la que se han detectado las variantes D, E, F, G y H.
Precisamente, Netsky.D es el código malicioso que más incidencias está
provocando en todo el mundo, de forma que lleva varios días ocupando la primera
posición de los virus más frecuentemente detectados por Panda ActiveScan.
Todos ellos son gusanos muy similares, y se diferencian fundamentalmente en la
fecha en que han sido programados para emitir un sonido peculiar a través de
altavoz interno de los equipos afectados, o en la forma en que han sido
empaquetados.
Se trata de gusanos que se propagan rápidamente a través de correo electrónico
en mensajes de características muy diversas. Además, lo hacen de forma muy
efectiva, ya que abren varios hilos de ejecución para enviarse. Por ejemplo,
Netsky.D es capaz de abrir hasta 8 procesos diferentes.
El tercer contendiente en esta guerra es la familia de gusanos Mydoom,
cuyas variantes G y H también han sido detectadas por PandaLabs durante la
presente semana. Ambas son muy parecidas, ya que se trata de gusanos que se
envían por correo electrónico y que, además, han sido diseñados para realizar un
ataque de denegación de servicio contra la web de un fabricante de antivirus.
Por último, hay que hacer mención a Nachi.E, nueva variante del gusano
que se propaga directamente a través de Internet y que aprovecha las
vulnerabilidades conocidas como desbordamiento de buffer en interfaz RPC, WebDAV
y desbordamiento de buffer en servicio Workstation.
Además, Nachi.E es capaz de desinstalar los gusanos Mydoom.A, Mydoom.B,
Doomjuice.A y Doomjuice.B, finalizando sus procesos y borrando sus ficheros
asociados.
|