[HACK] Virus secuestrador

merce merce at grn.es
Fri Apr 28 11:42:59 CEST 2006


19/04/06 17:37:42


UN VIRUS SECUESTRA DOCUMENTOS A CAMBIO DE UN RESCATE


Mercè Molist
Un nuevo tipo de código malicioso, los criptovirus, avanzan en una
lenta pero constante evolución, avisan los expertos. Se introducen
en los ordenadores de la misma forma que el resto. La diferencia es
que no destruyen documentos sinó que los cifran o los hacen
inaccesibles y piden un rescate. La semana pasada, aparecía un nuevo
especimen: CryZip, también llamado Zippo.

Cuando entra en un ordenador, el virus troyano Zippo busca
determinados archivos, como documentos Word, bases de datos u hojas
de cálculo, y los transforma en archivos comprimidos que precisan
una contraseña para acceder a ellos. A cambio de obtener esta
palabra de paso, la víctima deberá pagar 300 dólares a una cuenta.

Estos virus son aún rudimentarios y no fue difícil que la empresa
Sophos, después de analizarlo, descubriese dónde almacena la
contraseña. Su antecesor, PGPCoder, que apareció en mayo de 2005,
también tenía fallos, aunque su concepto estaba claro: cifraba los
documentos y pedía un rescate por descifrarlos.

La fragilidad de los criptovirus reside en su novedad: no tienen
plantillas en las que basarse, deben ser creados desde cero, lo que
explica los errores iniciales. Según Cristian Borghello, director
técnico de Eset Latinoamérica, "hasta ahora y por ser los primeros,
los métodos de cifrado han sido sencillos y fácilmente reversibles.
Además, el modo de utilización de cuentas bancarias aún no se ha
perfeccionado, lo que permite rastrearlas de forma sencilla".

Pero los expertos están seguros de su proliferación futura, al
conllevar ganancias económicas, principal motivación de la mayoría
de creadores de virus: "Es fácil imaginar que cuando se perfeccionen
usarán técnicas de cifrado fuertes, lo que imposibilitará el
descifrado de los archivos. Es inevitable que este sistema de
secuestro se perfeccione", explica Borghello.

El concepto de criptovirus es muy nuevo. Surgió en 1996, cuando los
hermanos Adam y Moti Young desarrollaron la teoría que aunaba la
virología y el cifrado. Permaneció como una hipótesis de laboratorio
hasta que en 2005 apareció PGPCoder. La única defensa, además de
usar antivirus, es realizar copias periódicas de seguridad.


Virus para Windows y Linux

También la semana pasada, Kaspersky Lab descubría un nuevo virus,
Bi.a, que infecta ejecutables tanto de Windows como de Linux. A
pesar del revuelo mediático, no es el primer virus de este tipo.
Existían ya Smile o Winux, obra del grupo español de creadores de
virus 29A. Todos pruebas de laboratorio, más que virus reales.

Según Sergio de los Santos, de Hispasec Sistemas, "Bi.a es bastante
inofensivo. Sólo se extiende sobre los archivos del directorio donde
se ha ejecutado, no causa daño y no se auto-propaga a otros
sistemas. No es más que el intento de alguien por demostrar que
pueden existir estos "bichos"".

Su capacidad de infectar Linux es mínima, afirma: "El diseño de
Linux impide casi por definición que un virus pueda reproducirse
fácilmente o que pueda ser ejecutado de forma inadvertida por el
usuario. Los virus para Linux, apenas unas decenas, poco activos y
menos agresivos, han sonado más como curiosidades que por su
capacidad de infección real".

A pesar de ello, Bi.a llamó la atención de Linus Torvalds, creador
de Linux, quien lo examinó para conocer su alcance. Torvalds
descubrió que un error del núcleo del sistema operativo impedía que
el virus pudiese ejecutarse correctamente. Alertado así por el
virus, corrigió el error del núcleo de Linux. Ahora el núcleo
funciona bien y, como consecuencia paradójica, el virus puede
infectarlo.



El troyano Zippo exige 300 dólares para recuperar datos encriptados
http://esp.sophos.com/pressoffice/news/articles/2006/03/zippo.html

Nuevas formas de hacer dinero ilegal: RansomWare
http://www.nod32-la.com/about/press.php?id=162

Nueva prueba de concepto capaz de infectar a Windows y GNU/Linux
http://www.hispasec.com/unaaldia/2734

Torvalds creates patch for cross-platform virus
http://software.newsforge.com/software/06/04/18/1941251.shtml?tid=78&tid=26



Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital medium, provided this notice is
preserved.







More information about the hacking mailing list