[HACK] Temporal de troyanos

merce illadeltresor at gmail.com
Mon Feb 5 17:59:21 CET 2007


24/01/07 16:24:18


UN TEMPORAL DE TROYANOS CONVIERTE 400.000 ORDENADORES EN "ZOMBIES"
EN UN FIN DE SEMANA


Mercè Molist
No se veía un bombardeo vírico tan agresivo desde 2005. Pero no es
un virus, ni un gusano, aunque lo llamen "Gusano de la Tormenta". Es
un programa que instala un troyano en los ordenadores con sistema
operativo Windows y los transforma en "zombies". Según la empresa de
seguridad Comendo, en sólo un fin de semana infectó 400.000 equipos.

Su nombre, "Storm Worm" o "Gusano de la Tormenta", se debe a que fue
visto por primera vez en correos electrónicos que anunciaban cientos
de muertos en Europa por el frío. Prometía más información si se
pinchaba un archivo adjunto con la extensión .exe, que mostraba
claramente que era un programa y no un documento. Aún así, "picaron"
miles de personas en todo el mundo.

Los expertos sólo se lo explican por su rápida y masiva
distribución. Empezó el viernes 19 de enero y hubo cuatro oleadas
más durante el fin de semana, cada una dirigida a millones de
direcciones. La grabación de los ataques, en el mapa electrónico
donde la empresa F-Secure localiza las infecciones víricas, se
asemeja a bombardeos aéreos a la velocidad de la luz, España incluída.

Cada oleada enviaba versiones diferentes del troyano, para que los
antivirus no pudiesen bloquearlo. Y también del correo-trampa: la
segunda ola usaba títulos en inglés como "Rusia dispara por
equivocación a un satélite chino" o "Fidel Castro ha muerto". La
tercera anunciaba, entre otros, un alarmista "La Tercera Guerra
Mundial ha empezado".

La semana pasada hubo un bombardeo por día, con mensajes más
tiernos: "Pienso en ti" o "Te envío una postal". Según la compañía
Symantec, es el peor ataque vírico desde mayo de 2005, cuando el
gusano Sober infectó cientos de miles de máquinas y marcó el fin de
las propagaciones masivas a favor de otras más discretas, para no
alertar a las compañías antivirus.

Los expertos no saben si es un caso aislado o la vuelta al pasado.
El hecho de que fuesen ataques masivos sincronizados, usando cada
vez diferentes mensajes y versiones del programa malicioso, indica
que estaba meticulosamente planeado. Christian Axel Wanscher, de
Comendo, explica: "Hemos detectado elementos en el código de estos
"gusanos" que habían sido usados en otros, lo que indica que sus
autores no eran novatos".

Presumiblemente, los criminales usaron ordenadores "zombie" para
lanzar los bombardeos. Los "zombies" son equipos infectados con
troyanos que ejecutan las órdenes de los delincuentes, sin que lo
sepan sus propietarios. El objetivo del "Gusano de la Tormenta" era
instalar a su vez más troyanos, para reclutar nuevos "zombies" e
integrarlos en "botnets" (redes de robots), usadas mayoritariamente
en el envío de correo basura.

Las "botnets" que creaba el "Gusano de la Tormenta" eran de última
generación: orquestadas al estilo P2P y subdividas en redes. Así,
explica Wanscher: "Cada ordenador sólo está en contacto con un grupo
de ordenadores infectados y no tiene información del resto. Tampoco
hay un servidor central que los coordine a todos, de forma que es
casi imposible destruir la red".



Vídeo de la propagación del "Gusano de la Tormenta"
http://www.youtube.com/watch?v=kH8cS1AkqiI

El mediático troyano de la tormenta y las lecciones no aprendidas
http://www.hispasec.com/unaaldia/3012/mediatico-troyano-tormenta-las-lecciones-aprend

Comendo
http://www.comendo.es



Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provided this notice is preserved.





More information about the hacking mailing list