[HACK] War of the Worms
M&M
merce at grn.es
Thu Apr 22 10:34:02 CEST 2004
18:27 16/04/04
UNA GUERRA ENTRE CREADORES DE VIRUS TRIPLICA EL VOLUMEN DE CORREO
ELECTRÓNICO INFECCIOSO
Mercè Molist
En el primer trimestre de 2004 ha habido más gusanos (virus que se
difunden solos) en los mensajes de correo electrónico que en todo el
año pasado. La razón es una competición entre los creadores de Netsky,
Bagle y Mydoom, por quién infecta el mayor número de ordenadores con
sistema operativo Windows. Desde febrero hasta hoy, han aparecido
decenas de nuevas versiones de estos virus, que colapsan buzones y
redes. Sus creadores se insultan entre ellos, mediante mensajes
camuflados en el código fuente de los gusanos.
Entre febrero y marzo, los buzones de correo de todo el mundo han
visto como aumentaba vertiginosamente el volumen de mensajes con
gusanos, hasta sobrepasar al correo comercial no deseado. Según el
Centro de Alerta Temprana Antivirus, la media en España en el 2003 fue
del 5% de mensajes infectados por virus. La semana pasada, era del
15,2%. Casi diariamente sale una nueva versión de los gusanos en liza,
Bagle, Netsky y, siguiéndoles de lejos, Mydoom. Los dos primeros van
ya por la versión W, a punto de llegar al final del alfabeto, que las
casas antivirus usan tradicionalmente para designar las nuevas
variantes de un mismo virus, lo que las obligará a redefinir sus
sistemas de nomenclatura.
Los norteamericanos lo califican de avalancha, provocada por una
competición en pos de la atención mediática. Netsky fue el responsable
del 60% de ataques de virus durante el mes de marzo, según la empresa
Sophos. De este gusano, que empezó la guerra y la está ganando, se
dice que es responsable de más de diez millones de mensajes
infectados. El objetivo de los tres gusanos es crear grandes redes
descentralizadas de máquinas infectadas, a sus órdenes para bombardear
ordenadores o mandar correo basura.
Bagle fue el primero en aparecer, el 18 de enero de 2004. Lo siguió
Mydoom el 27 de enero. Probablemente de origen ruso, Mydoom es famoso
por su vertiginosa propagación y por hacer que sus víctimas
bombardeasen a la empresa estadounidense SCO, cuyos servidores
quedaron fuera de combate. El 16 de febrero, nacía Nestky y, con él,
la guerra. Estaba programado para borrar a Mydoom y otro famoso
gusano, Mimail, de los ordenadores. Actualmente, borra también a
Bagle. En su código fuente se escondía el mensaje: "Queremos matar a
los escritores de código malicioso!".
Bagle respondió, en una nueva versión: "No me arruines el negocio,
quieres empezar una guerra?". Otra versión de Netsky llamaba
"perdedor" a Bagle y le retaba a citarse en una ciudad de Estados
Unidos. Mientras, Bagle añadía en sus funciones el borrado de Netsky.
En dos meses, han aparecido versiones de Bagle o de Netsky casi
diariamente, a veces ambos el mismo día, siguiendo ciclos en los que
ha tenido más actividad uno u otro grupo.
Junto a los mensajes insultantes, destaca el uso de ingeniería social
para hacer que sus víctimas abran un adjunto o pinchen un enlace que
supuestamente lleva a un sitio inocuo cuando, en realidad, descarga el
gusano. Algunos mensajes de Netsky aseguran que una conocida marca
antivirus certifica que están libres de virus. Bagle se disfraza como
un mensaje legítimo que no ha podido ser entregado. Otros usan la
confusión de iconos: mandan virus bajo iconos inocentes, como el de
archivo de texto.
Aunque la mayoría de estas técnicas ya eran conocidas, nunca como
ahora se habían desplegado tanto. Pero Bernardo Quintero, de Hispasec,
no le ve mérito: "La ingeniería social es muy efectiva para engañar a
los usuarios, pero técnicamente es lo más simple que hay. No se
requiere un gran nivel de programación para los gusanos actuales,
copian las mismas técnicas una y otra vez. Puedes programar un gusano
en pocas horas sin ser un experto y causar una epidemia global a
través del correo. El nivel de los creadores de virus ha bajado mucho,
sin embargo su capacidad de propagación y efectos colaterales se han
multiplicado".
La malignidad de estos gusanos no reside en el daño que hacen al
ordenador, sinó a Internet. Mydoom y Netsky convierten a sus víctimas
en armas para lanzar ataques distribuidos de Denegación de Servicio.
También, dice Quintero, "están causando bastante daño por el volumen
de envíos de mensajes, son casi un problema de "spam"". Miguel Pérez,
del Centro de Alerta Antivirus, explica otra tendencia: "Se están
enviando en un primer momento mediante listas de direcciones para
hacer "spam". Por eso los sectores más infectados son la
administración autonómica (20,7%) y la central (18,4%), cuando en
infecciones normales no pasan del 1%, ya que tienen muchas direcciones
en la web, que aparecen en estas listas".
Fernando de la Cuadra, de Panda Software, resalta que los nuevos virus
no tienen fecha de activación, como los antiguos, sinó de caducidad,
con el objetivo, dice, de "dejar el ciberespacio libre para los demás
hackers, para que así puedan infectar Internet con otro código
distinto. Aunque dentro de los códigos de los virus se insulten y se
amenacen, la confabulación que entre ellos existe no hace sino unirlos
más para que sus programas puedan infectar por turnos, en una inmoral
competición".
Algunos ven en esta guerra un intento de dejar los antivirus obsoletos
constantemente. Según Bernardo Quintero, "ponen el dedo en la llaga:
con una pequeña modificación en el código de un virus conocido puede
obtenerse otro que no reconocen los antivirus, necesitando una nueva
actualización. Sin embargo, pese a que pueda parecer que esta plaga es
perjudicial porque deja en entredicho a los antivirus, está más que
demostrado que sus ventas suben cuando hay una infección
significativa".
La comunidad vírica ha optado por ignorarlos. El 3 de marzo, el weblog
de F-Secure anunciaba: "Hemos decidido que describir los detalles de
esta pelea sólo hará que todo vaya a peor". Bruce Schneier, en la
última edición de Crypto-Gram, asegura: "Esta guerra no tiene signos
de acabarse, seguramente hasta que sus participantes crezcan o se
cansen. Mientras, tendremos que soportarlo". El boletín de VSAntivirus
pide "que no nos distraiga una simple pelea callejera. Hemos decidido
no dar mayor relevancia a este hecho porque sería dar a estas personas
lo que pretenden".
Alerta Antivirus
http://www.alertaantivirus.es
Las víctimas de las guerras víricas
http://www.vsantivirus.com/fdc-guerras-viricas.htm
Fechas de caducidad de los virus
http://www.vsantivirus.com/fdc-caducidad.htm
Que no nos distraiga una simple pelea callejera
http://www.vsantivirus.com/05-03-04.htm
Top Ten marzo Panda Software
http://www.pandasoftware.es/about/prensa/verNoticia.aspx?noticia=4912&entorno=&ver=&pagina=&producto=
Hispasec
http://www.hispasec.com
Weblog de F-Secure
http://www.f-secure.com/weblog/archives/archive-032004.html
Unprecedented level of Virus Alerts
http://slashdot.org/article.pl?sid=04/04/06/0024208&mode=thread&tid=126&tid=172
Virus creators share code online to create copycats
http://washingtontimes.com/business/20040316-093754-4080r.htm
The virus avalanche
http://www.vnunet.com/News/1153550
War of the worms turns into war of words
http://www.theregister.co.uk/content/56/36006.html
"ES UN SIMPLE JUEGO"
Nadie tiene una respuesta cierta al por qué de esta guerra de virus.
La hipótesis mayoritaria, explica Bernardo Quintero, es que estamos
ante "una competición, una lucha entre creadores de gusanos para
lograr el mayor número de sistemas infectados, un simple juego, al que
personalmente veo una analogía clara en la prehistoria de los gusanos
informáticos, con las llamadas "core wars"".
Las "guerras de núcleos" se inventaron en los laboratorios de AT&T
Bell en los años 60, explica Quintero: "La memoria de núcleo de
ferrita contenía instrucciones y datos. El juego consistía en crear un
programa que al reproducirse fuera ocupando toda la memoria, al tiempo
que borraba de ella el programa del contrincante. Ganaba el jugador
que se hacía con toda la memoria o tenía el mayor número de
reproducciones". Uno de los tres estudiantes que crearon el juego era
Robert Morris, padre del programador del primer gusano que colapsó
Internet, llamado "Gusano de Morris".
Según Quintero, "estamos ante una versión moderna de las "core wars",
con la diferencia de que en vez de disputarse la memoria de un
ordenador, el campo de batalla es Internet. Hoy, programar un gusano
es mucho más fácil que entonces y está al alcance de cualquier
programador medio. Si además se trata de una competición pública que
ocupa la atención de los medios de comunicación, tenemos todos los
ingredientes".
CUIDADOS ANTI VIRUS
A la pregunta de "¿Cómo parar esto?", responde Manuel García, del
Equipo de Emergencias Informáticas (esCERT): "No se puede hacer nada".
Y es que la rápida aparición de nuevos virus y técnicas para colarse
en los ordenadores deja descompuesto al mejor programa antivirus. La
prevención es el mejor remedio, según los expertos de VSAntivirus, que
recomiendan:
"1. Usar regularmente un programa antivirus y actualizarlo cada día.
2. No abrir ningún mensaje ni archivo de fuentes desconocidas o muy
poco conocidas. En caso de personas conocidas, se deben igualmente
tomar precauciones, asegurándose de que esa persona es la responsable
del envío. Ante cualquier duda, borrar el mensaje.
3. Estar informado de cómo operan los virus y las novedades sobre
éstos, alertas y anuncios críticos.
4. No bajar nada de sitios web de los que no se tenga referencias de
seriedad, o que no sean medianamente conocidos. Si se bajan archivos,
copiarlos a una carpeta y revisarlos con dos o tres antivirus
actualizados antes de abrirlos."
Copyright (C) 2004 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any medium, provided this notice is preserved.
More information about the hacking
mailing list