MADRID: En 2003 se recogieron 9 incidencias graves de virus y 26 de menor consideración, siendo estas últimas principalmente de carácter local. Este número es menor que en 2002, donde hubo 12 incidencias mayores y 34 menores. De todas formas, aunque el número de incidencias graves haya disminuido, su impacto ha aumentado significativamente.
Virus más activos en 2003 *
1. I-Worm.Sobig 18,25%
2. I-Worm.Klez 16,84%
3. I-Worm.Swen 11,01%
4. I-Worm.Lentin 8,46%
5. I-Worm.Tanatos 2,72%
6. I-Worm.Avron 2,14%
7. Macro.Word97 2,02%
8. I-Worm.Mimail 1,45%
9. I-Worm.Hybris 1,12%
10. I-Worm.Roron 1,01%
*datos en la monitorización de correos electrónicos
Incidencias mayores
Han aparecido dos incidencias globales en 2003, que han sido las mayores en la historia de Internet. Hay que destacar que estos brotes no han sido causados por los clásicos gusanos de correo electrónico, sino por gusanos de Internet que se propagan como paquetes por las redes.
Artículos relacionados:
· Kaspersky: La mafia controlará los virus y el spam
· Kaspersky actualiza lista top 20 de virus
· Alertan sobre epidemia de gusano Sober
· Advertencia de virus contenía virus
· Toda Internet, infectada en 15 minutos´
El primero de los grandes brotes de 2003 se produjo el 25 de enero con el gusano de Internet Slammer (Helkern), que utilizaba una vulnerabilidad en los servidores de Microsoft SQL Server para duplicarse. Slammer fue el primer gusano de Internet que demostró las capacidades de los gusanos en flash, descritos por primera vez en el año 2001. El 25 de enero de 2003, en unos pocos minutos, el gusano infectó millones de ordenadores en todo el mundo, y aumento el tráfico de la red entre un 40% y un 80% (según varias estimaciones), causando caídas en servidores principales de algunos países. El gusano atacaba por los puertos 1433 y 1434, y al penetrar no se replicaba en el disco, simplemente permanecía en la memoria del equipo infectado. Los análisis del gusano indican que probablemente fue creado en el este de Asia.
El segundo brote, no menos peligroso que el primero, lo inició el 12 de Agosto el virus Lobezna (Blaster). Lovesan demostró al mundo lo vulnerable que es el sistema operativo Windows. Lobezna utilizaba un agujero de seguridad en el sistema para propagarse. A diferencia de Slammer, Lovesan utilizaba un agujero en el servicio RPC DCOM, que está presente en todos los ordenadores que utilizan Windows 2000/XP. Esto significó que la mayoría de los usuarios de Internet aquel día quedaron expuestos al gusano.
Unos días después de la primera aparición del gusano, se detectaron otras tres versiones más de Lovesan. Entonces el gusano Welchia, que utilizaba el mismo agujero en Windows, se propagó por Internet. Pero Welchia era diferente al gusano original, eliminaba copias de Lovesan en ordenadores infectados, e intentaba instalar un parche para el servicio RPC DCOM.
2003 ha sido un año de incesantes brotes de gusanos de correo electrónico. Los gusanos Ganda y Avron fueron detectados en enero. El primero fue desarrollado en Suecia, y todavía a día de hoy es uno de los gusanos de correo electrónico más activos en Escandinavia. El autor fue detenido por la policía Sueca a finales de marzo. Avron es el primer gusano desarrollado en Kazajstán que se ha propagado a escala mundial. El código fuente fue publicado en diferentes sitios de virus, lo que permitió posteriormente crear numerosas variantes.
También en Enero salió el primer gusano de la familia Sobig, que causó varios brotes con regularidad. La versión Sobig.f rompió todos los registros, llegando a ser el gusano de correo electrónico más propagado de la historia. En agosto, Sobig.f se encontraba en uno de cada 20 mensajes de correo electrónico.
Una particularidad hacia a este virus aun más peligroso: uno de los objetivos de los autores de la familia de Sobig era crear una red de ordenadores infectados para realizar ataques DoS contra sitios de Internet al azar. La red de ordenadores infectados también estaba concebida para actuar como servidores proxy para distribuir correo spam.
El virus de tipo gusano Tanatos.b fue otro de los virus aparecidos en el año 2003. Su primera versión fue escrita a mediados de 2002 (Tanatos / Bugbear), justo un año antes de aparecer la versión Tanatos.b. El gusano utilizaba un agujero de seguridad muy conocido de Microsoft Outlook (vulnerabilidad IFRAME), ejecutándose automáticamente desde los mensajes infectados.
Nuevos virus de la familia Lentin (Yaha) continúan apareciendo. Con los datos actuales, se sabe que fue creado en la India por uno de los grupos locales de hackers, durante una competición virtual entre hackers de la India y Pakistan. Sus versiones más extendidas fueron la M y la O, donde el virus se replicaba en forma de ficheros ZIP adjuntos en mensajes de correo.
Los desarrollares de virus del este de Europa también estuvieron activos en el 2003. El segundo virus que causó una epidemia mundial (Mimail) fue creado en un país de la antigua URSS. Este virus utilizaba una vulnerabilidad de Internet Explorer para replicarse, por lo que esta vulnerabilidad se denominó Mimail-based. Este agujero de seguridad permitía extraer y ejecutar código binario desde un archivo HTML. Fue explotada por primera vez en Rusia en el mes de mayo de 2003 por el troyano Trojan.Win32.StartPage.L. Después, esa misma vulnerabilidad la utilizó la familia de gusanos Mimail y otros troyanos. Su autor publicó el código fuente en la red, permitiendo al creación de diferentes versiones por programadores de otros países como los EE.UU. y Francia.
El mes de Septiembre fue el mes del virus Swen. Este virus se distribuía en un correo simulando un parche de Microsoft, infectando centenares de miles de ordenadores en todo el mundo, siendo todavía uno de los virus con más actividad. El creador del virus fue capaz de aprovechar el mismo agujero de seguridad que Lovesan y Sobig.f de aquellos usuarios que todavía no se habían actualizado con el parche adecuado.
Hay dos sucesos más a destacar. El primero, el virus Sober, un gusano de correo electrónico muy simple, creado por un desarrollador alemán a imitación del Sobig.f. El segundo a destacar fue la puerta trasera Trojan Afcore: a pesar de no propagarse excesivamente, debe prestársele atención debido a su forma de penetrar en un sistema, escribiendo su código en secuencias de datos alternas de los sistemas NTFS. Además, Afcore no utiliza las secuencias de datos alternas de archivos sino de directorios.
Tipos de programas con código dañino
A lo largo del año los gusanos permanecieron como el tipo dominante entre los tipos de programas maliciosos. En segundo lugar están lo virus de macro gracias al Macro.Word97 y al Macro.Word.Saver. Sin embargo, en otoño de 2003, los troyanos se acercaron a los virus de macro, y esta tendencia todavía continua.
Tendencias
La tendencia más destacable en el año 2003 ha sido el modo en que dominaron los gusanos. Por otra parte, dentro de esta categoría destaca un aumento alarmante en el número de gusanos de Internet frente a los clásicos de correo electrónico. Kaspersky Labs cree que esta tendencia se mantendrá, y los gusanos de Internet serán los mas activos entre los tipos de virus en el 2004.Esto destaca la necesidad de, no solo instalar un sistema antivirus, sino poner firewall en todos los ordenadores y redes corporativas.
El descubrimiento de puertas traseras en los sistemas operativos y aplicaciones causa gran inquietud. En años anteriores, las vulnerabilidades que se utilizaban para entrar en los sistemas eran conocidas durante mucho tiempo, y los parches o actualizaciones solo eran para estas puertas, pero en el 2003 el tiempo se acortó a unas pocas semanas.
El intervalo de tiempo transcurrido entre el descubrimiento de una vulnerabilidad y un ataque explotándola se está acortando cada vez más. En el caso de Slammer, el agujero en Microsoft SQL Server era conocido al menos desde hacia seis meses antes del ataque. En un par de meses las instrucciones de cómo explotar el agujero estaban publicadas en varios sitios de Internet. Sin embargo, Lovesan, el siguiente gusano que atacó la red en Agosto, apareció tan solo 26 días después de que apareciese el parche para solucionar el problema del servicio RPC DCOM.
Expertos en computación han llegado a la conclusión de que atacar un agujero de seguridad es la forma más sencilla y eficaz de penetrar en los sistemas, y hacen un uso activo de ésta idea. Como resultado, los programadores de virus reciben información de las vulnerabilidades más nuevas y escriben rápidamente los virus. El troyano ´StartPage´ fue registrado el día 20 de mayo de 2003, había penetrado por el agujero denominado ´Exploit.SelfExecHtml´, y en ese momento no había parche para esa vulnerabilidad. Con estos datos debemos suponer que en un futuro no muy lejano, algunos agujeros sean descubiertos gracias a informaciones de nuevos virus antes que el vendedor del software proporcione el parche para solucionarlo.
En el 2003 las tendencias en la creación de programas con código dañino han cambiado. En el 2002 los creadores de virus atacaron la tecnología Flash, servidores SQL, y redes de intercambio (KaZaA). Este año han atacado aplicaciones como la cartográfica MapInfo:MBA.Kynel, un virus escrito por un ruso en MapBasic hecho para infectar documentos en este formato y descubierto por Kaspersky Labs en la red.
La tendencia en el año 2002 en programas backdoor (utilidades de administración remota no autorizadas) y programas espía han continuado. Los más representativos de estos tipos fueron Agobot y Afcore. Hay más de 40 modificaciones de Agobot debido a que su autor fue capaz de crear una red de servidores web y canales IRC, donde cualquiera que quisiera tener su propia versión pagando unos 150 Euros. El código se escribiria con las especificaciones del cliente.
También este año han aparecido, a finales de verano, unos nuevos tipos de Troyanos, los TrojanProxy, para la instalación ilegal de proxys. Este fue el primer y la mayor señal de la aparición de amenazas mezcladas, una mezcla entre virus y spam. Los ordenadores infectados por éstos troyanos eran utilizados por spammers para el envío de correos no solicitados, mientras el usuario no era consciente de éste abuso.
Está claro que los spammers también participaron en varios brotes importantes donde el envío inicial del software malévolo utilizó la tecnología del Spamming (Sobig).
Los gusanos también han estado muy activos, replicándose y robando contraseñas en los recursos de red. Estos gusanos, como regla, estaban basados en clientes IRC, escaneaban las direcciones de los usuarios de IRC, y después intentaban acceder a sus ordenadores, utilizando el protocolo NetBios y el puerto 445. En esta familia, uno de sus mayores representantes fue la familia Randon.
Como conclusión, el software con código maligno está empezando a incluir retrovirus: virus que incluyen una protección contra programas antivirus y firewalls. De hecho, estos virus procuran suprimir productos de la seguridad de los ordenadores, como antivirus y firewalls. Swen, Lentin y Tanatos son claros ejemplos de tales programas.
