|
Cerca de 1.200 nuevos códigos maliciosos fueron detectados durante el mes de
marzo por Trend Micro?; una cifra que contrasta de forma considerable con los
925 localizados en febrero, los 550 de enero o los 400 de diciembre de 2003. De
estos códigos maliciosos, los tres tipos más habituales fueron troyanos, puertas
traseras y gusanos; aunque, sin duda, una vez más fueron los gusanos (un 90%),
los que representaron la mayor amenaza.
Trend Micro declaró este mes el record de seis alertas amarillas, lo cual
ilustra el predominio de los gusanos informáticos. Estas alertas son relativas a
WORM_NETSKY.Q, WORM_BAGLE.U, WORM_NETSKY.P, PE_BAGLE.Q, PE_BAGLE.P y
WORM_NETSKY.D. Dos de estos gusanos se encuentran en el quinto puesto.
Todos los gusanos mencionados utilizan el mismo método de propagación: el
e-mail, lo que pone de manifiesto la importancia de ejecutar una protección
antivirus en el gateway de Internet o en el servidor de correo.
Los gusanos pueden generar muchos mensajes de forma aleatoria, lo cual demuestra
que confían en la intervención del usuario. Hay incluso software malicioso
(concretamente de la familia Bagle), que envía archivos adjuntos a un archivo
protegido por contraseña, con dicha contraseña en el cuerpo del mensaje (texto o
foto). Este es un ejemplo típico que demuestra que los usuarios tienen que estar
educados frente a las amenazas. En este caso, se pide al usuario que abra el
archivo, introduzca la contraseña para extraer el código malicioso y entonces lo
ejecute, lo cual no se considera una acción “normal” para los usuarios de redes
corporativas. Una vez más, esto ilustra la necesidad de las compañías de crear y
utilizar directrices de seguridad e introducir programas de concienciación para
los empleados.
Los creadores de virus reconocen, sin embargo, que muchos usuarios de
ordenadores están ahora más concienciados de los riesgos de seguridad. Así que
para incrementar las oportunidades de propagar su ‘malware’, muchas variantes de
los gusanos observados este mes explotan vulnerabilidades de Internet Explorer,
lo cual da como resultado la ejecución automática del archivo adjunto cuando los
usuarios abren, o incluso tienen en modo “vista previa” el e-mail en cuestión
(hacer clic en el propio archivo adjunto ya no es un requisito previo). Esto nos
lleva a otro punto: la instalación de parches de seguridad. Como cada vez más
virus están utilizando las vulnerabilidades de los sistemas operativos y de las
aplicaciones, el empleo de parches de seguridad nunca ha sido tan necesario.
Una vez ejecutadas, muchas de las variantes de Bagle son capaces de inhabilitar
antivirus u otras protecciones de seguridad personal en el escritorio abriendo
vías para futuros ataques, que también pueden procesarse utilizando las puertas
traseras que la mayoría de las variantes de las familias Bagle y Netsky dejan
caer e instalar en los ordenadores infectados.
La mayoría de las variantes Netsky y Bagle variants son capaces de extenderse a
través de P2P (persona a persona, como Kazaa, eMule, ...) y de archivos
compartidos. Una vez más, vemos la utilización de técnicas de ingeniería social:
una vez arrancado, el virus libera copias de sí mismo en los archivos
compartidos P2P utilizando nombres atractivos como Matrix 3 Revolution English
Subtitles.exe, WinAmp 6 New!.exe, Arnold Schwarzenegger.jpg.exe , Harry Potter
game.exe, Windows XP crack.exe ...
Guerras de virus
La posibilidad de encontrar ‘Guerras de virus’ entre los creadores de Netsky y
Bagle ha sido el tema de muchos artículos de prensa este mes –. Hay muchas
pruebas para apoyar esto:
• Primeramente, el vasto número de variedades Netsky y Bagle creadas en un corto
periodo de tiempo.
• Cada vez que se lanza una nueva variante de Netsky, le sigue otra de Bagle.
• La mayoría de los tipos de Bagle inutilizan las variedades previas de Netsky,
mientras que las variedades de Netsky inutilizan otros infames ‘malwares’, como
MyDoom, Nachi, versiones previas de Netsky y versiones previas de Bagle.
• En el código del virus encontramos muchos mensajes dirigidos al “enemigo”,
como:
- PE_BAGLE.P
---------------------------
El primero y el único
Anti-Netsky Antivirus
---------------------------
- WORM_NETSKY.P
U'l't'i'm'a't'i'v'e 'E'n'c'r'y'p't'e'd 'W'o'r'm'D'r'o'p'p'e'r' 'b'y 'S
'k'y'N'e't'.'C'Z' 'C'o'r'p*''D'r'o'p'p'e'd'S'k'y'N'e't''S'k'y'N'e'
t'F'i'g'h't's'B'a'c'k
B+a+g+l+e, d+o+ n+o+t+ d+e+l+e+t+e S+k+y+N+e+t.Y+o+u f+u+c+k+e+d
b+i+t+c+h! W+a+n+n+a g+o i+n+t+o
a p+r+i+s+o+n?W+e a+r+e t+h+e o+n+l+y A+n+t+i+V+i+r+u+s, n+o+t
B+a+g+l+e, s+h+u+t u+p a+n+d
t+a+k+e y+o+u+r b+u+t+t+e+r+f+l+y! -
M+e+s+s+a+g+e f+r+o+m S+k+y+N+e+t A+V T+e+a+m
+L+e+t+s +j+o+i+n +a+n +a+l+l+i-A-n-C-e-,+b+a+g+l+e+!
- WORM_NETSKY.Q
“Somos la única SkyNet, no tenemos intenciones criminales.
No incluimos puertas traseras para retransmisión de ‘spam’ (correo basura), y no
somos niños. Muchos informes son erróneos al respecto.
No utilizamos herramientas de creación de virus, sólo el lenguaje de alta
definición Microsoft Visual C++ 6.0. Queremos evitar el ‘hackering’, el ‘cracking’,
y el compartir otros contenidos ilegales.
Hey, las grandes marcas sólo quieren hacer mucho dinero.
Esto no es lo que preferimos nosotros. Queremos solucionarlo y evitarlo.
Nota: ¡Los usuarios no necesitan una nueva actualización de su antivirus,
necesitan una educación mejor!
- Muchos saludos, el Equipo Antivirus SkyNet, Rusia 05:11 PM”
Como podemos ver esta Guerra se desarrolla en el terreno diplomatico ni como
hasta ahora venia siendo habitual en foros y lugares de encuentro de
programadores y desarrolladores, sino en el vasto mundo, contando ordenadores
caídos como las victimas conquistadas en la lucha contra el "enemigo".
|
