2005: evolución de los programas maliciosos para Unix, Linux y similares

Este informe cubre el año 2005 y proporciona una visión general de la evolución del malware para plataformas distintas a Windows. Incluye información sobre sus tendencias, basada en las estadísticas obtenidas a lo largo del 2005 y concluye dando pronósticos sobre cómo puede evolucionar en el futuro cercano.

• Introducción
• Estadísticas
• El futuro

Introducción

La historia de los ordenadores y la virología informática no comienza con Windows ni con DOS. El primer virus de ordenador, un gusano que apareció en 1988, fue escrito para Unix. Sin embargo, la virología informática sólo comenzó a evolucionar con la aparición de millones de equipos funcionando con DOS y luego con Windows. La evolución del malware refleja la evolución de la industria de los ordenadores en su conjunto: la popularidad de una plataforma puede medirse por el número de virus que afectan a una plataforma específica.

La plataforma líder es, por supuesto, Intel + Win32 (Intel como una plataforma de hardware y Win32 como una plataforma de software). Para ser más exactos, ésta es en la actualidad la plataforma más amenazada. Sin embargo, puede que la situación cambie en el futuro cercano, a medida que las plataformas 64 bit empiecen a usarse de forma más amplia. De hecho, ya se han creado varias pruebas de virus de concepto para Win64.

Sin embargo, donde existe una tendencia principal, siempre existe una alternativa. En un momento dado, OS/2 era la principal alternativa frente a Windows. Hoy en día, las alternativas son Linux, FreeBSD y otras variantes de Unix. Linux, con su gran variedad de implementaciones, es el líder indiscutible. De forma lenta pero segura, Linux está ganando lugar a Windows no solamente en los servidores, sino también entre los ordenadores personales. También MaCOS X ya está a punto, dada la gran popularidad que está ganando Macintosh desde que Apple empezó a usar procesadores Intel.

Los ordenadores personales son el blanco principal de los ataques de malware. Los programas troyanos tales como Trojan-Spy, Trojan-Downloader y Trojan-Dropper, representan la mayoría de los programas maliciosos para Win32. En contraste, la mayoría de los programas maliciosos para Linux son puertas traseras (backdoors). Estos programas dan a los usuarios remotos maliciosos un acceso irrestricto al equipo infectado, que puede ser luego ser utilizado como una plataforma para lanzar ataques a otros equipos.

Tan pronto como una plataforma comienza a ganar popularidad, los virus y otros programas maliciosos para esa plataforma comienzan a aparecer. Al comienzo, tales programas son simples ‘pruebas de concepto’ (PoC) (proof of concept); están diseñados para demostrar que es posible infectar un equipo de un modo particular, y como regla, no tienen una carga útil maliciosa. En primer lugar, la información acerca de una vulnerabilidad específica en un sistema operativo o en una aplicación se hace pública. Después, esta información es usada para crear explotadores (exploits) o puertas traseras que aprovechan esta vulnerabilidad. A continuación, los creadores de software emiten parches para las vulnerabilidades descubiertas, lo conduce a los creadores de virus a buscar nuevos métodos y puntos débiles para atacar. En general, el malware crece como una bola de nieve. Esto es lo que está sucediendo en la actualidad con Win32, pero todavía no es típico del malware para otras plataformas. Atención: la palabra clave es ‘todavía’.

A pesar de la relativa paz que disfrutan los usuarios ajenos a Windows, las plataformas alternativas también son atacadas por programas maliciosos. Las siguientes secciones de este informe cubren algunas características de plataformas alternativas y tendencias en evolución.

Estadísticas

Para permitir un mejor entendimiento e interpretación de los datos que se presentan a continuación, el proceso de evolución del código malicioso se ha descrito arriba .

La información de esta sección cubre la evolución del malware de los sistemas Unix o similares. El gráfico de abajo muestra que, en comparación con el 2004, ha habido un significativo incremento en todos los tipos de programas maliciosos clasificados por Kaspersky Lab como MalWare.

El incremento de casi el 100% en las estadísticas del año pasado muestra que los creadores de virus están atacando de forma abrumadora a los sistemas que funcionan con Linux.

Esto no es nada sorprendente ya que Linux es el sistema de tipo Unix más popular. Debemos mencionar que, a pesar de que Linux funciona en diferentes plataformas RISC, es raro encontrar archivos binarios que no sean x86. En otras plataformas RISC, por ejemplo SPARC, es más probable encontrar archivos binarios para SunOS. Como regla, tales muestras son una colección de pequeñas utilidades que están escritas y compiladas para versiones específicas de un sistema operativo. Están diseñadas para atacar un servidor específico; pueden constar, por ejemplo, de un sniffer, una puerta trasera, un logcleaner y módulos kernel destinados a disfrazar las acciones de los atacantes: tal recopilación se denomina rootkit. Los rootkits son diseñados para atacar un equipo en particular: este tipo de ataque es mucho más difícil de combatir que un troyano lanzado por un simple script.

La principal diferencia entre el malware que ataca a Unix y el malware que ataca a Win32, es la ausencia de herramientas de compresión, que con frecuencia utilizan los programas maliciosos para evitar ser detectados. Sin embargo, hemos visto que sólo UPX y un par de sus versiones modificadas se usan en el malware para Unix.

En general, en términos de tipos de código malicioso, la situación de Unix es similar a la de Win32. La cantidad de virus que infectan archivos en el disco local está disminuyendo. Por lo general, tales virus se crean con intereses estrictamente investigativos, y no tienen una carga útil maliciosa; sin embargo, los virus con un código mal escrito pueden causar daños impremeditados, ya que pueden corromper un archivo cuando le inyectan su código. No tenemos noticias de epidemias causadas por virus para Unix, y se los suele considerar virus de ‘colección’. Sin embargo, algunos programas maliciosos para Unix son de interés: un ejemplo es Virus.Linux.Grip, que utiliza el brain fuck interpreter para generar códigos clave que luego eran empleados para cifrar datos usando el algoritmo TEA (Tiny Encryption Algorithm).

Sin embargo, este tipo de virus representa interés sólo para los investigadores y no tiene aplicación práctica. Sus autores están, tal vez, actuando bajo la filosofía de Linus Torvalds, que creó Linux “sólo por divertirse”.

Los programas que son escritos para atacar servidores y convertirlos en plataformas de ataques son un asunto diferente. Hay muchos de esos programas, incluyendo puertas traseras, explotadores, sniffers (olfateadotes), flooders y otras herramientas de piratería. La cantidad de tales programas está creciendo de forma exponencial, a la par de la popularidad de Linux.

El año pasado, se detectaron varios gusanos para Linux, incluyendo Net-Worm.Linux.Lupper y Net-Worm.Linux.Mare, una variación del tema introducido por Lupper. Ambos gusanos aprovechan la misma vulnerabilidad y tiene métodos de programación similares. Un componente que los gusanos incluyeron fue la puerta trasera Tsunami. A medida de que el gusano iba evolucionando (es decir, a medida de que se creaban nuevas variantes), se añadían nuevas funcionalidades. La variante de Net-Worm.Linux.Mare descubierta más recientemente descargaba un ircbot, que actuaba como puerta trasera.

Otro incidente de malware en el mundo Linux en el 2005 ocurrió en septiembre, cuando se encontró que una distribución en coreano de Mozilla, colocada en un servidor público, estaba infectada. La distribución contenía archivos binarios infectados con Virus.Linux.Rst.

Estos fueron los únicos acontecimientos significativos causados por el malware Linux en el 2005. En comparación con las epidemias causadas por Scalper y Slapper en el 2002 y el 2003, fue un año tranquilo.

Los rootkits son un tema candente en la prensa. Sin embargo, en contraste con la extensa actividad en el mundo del Win32, no ha habido verdaderamente nuevos rootkits para Linux, sólo variaciones de temas antiguos.

En cuanto a las plataformas Unix, la situación es aún más tranquila. Sin embargo, ello es comprensible; después de todo, otras plataformas de Unix no pueden competir ni con Linux ni con Windows en términos de popularidad.

Los datos que se muestran a continuación han sido compilados a partir de repetidos análisis de las bases de datos de antivirus de Kaspersky Lab en distintos momentos. Algunas categorías no contienen datos; esto significa que la colección de Kaspersky Lab no contiene ningún malware de estas familias que ataque a la plataforma designada .

.

Backdoor = Puerta trasera

Exploit = Explotadores

Hacktool = Herramienta de piratería

Sniffer = Olfateador

Trojan =. Troyano

Worm = Gusano

El futuro

Es arriesgado hacer pronósticos, ya que cualquier cosa puede suceder en un lapso de seis meses. Sin embargo, asumiremos ese riesgo.

Ante todo, es el comienzo de la era de la arquitectura 64 bit. Una vez que esta arquitectura esté bien arraigada en los equipos de los usuarios, la reacción de los creadores de virus no se hará esperar. Pero no todo será simple: por ejemplo, el código binario para AMD64 y para IA64 es distintos, y esto significa que se tendrán que compilar versiones distintas para cada plataforma.

Apple ofrece aún mayores posibilidades para el desarrollo y la evolución del malware, porque el uso de procesadores Intel puede representar una revolución. El hecho de que los ordenadores Apple tengan un excelente diseño y que OS X podría llamarse ‘Unix con cara humana’, podría contribuir a su éxito entre los usuarios de PC.

El módulo central de OS X está basado en FreeBSD, y la experiencia e ideas aplicadas a la creación de malware para FreeBSD podrían también ser utilizadas para la creación de malware para OS X . Además, los creadores del sistema operativo también cometieron errores. En las últimas dos semanas, hemos visto dos gusanos ‘prueba de concepto’ para OS X, y éstos ilustran claramente los errores que existen en la arquitectura del sistema. También ha habido un explotador (exploit) para el navegador de Internet Safari, que hace posible iniciar un script y ejecutar instrucciones en el ordenador del usuario. Por lo tanto, parece claro que el OS X podría ser un suelo fértil para los investigadores de seguridad.

Otro sector en rápido desarrollo son los dispositivos móviles, donde Linux también se ofrece como una alternativa a Symbian y Windows Mobile. Muchos fabricantes importantes ya han desarrollado o planean lanzar dispositivos con Linux. Lo único que se necesita para estimular la evolución de malware para Linux móvil es una masa crítica de usuarios.

Puede que el desarrollo de alguna tecnología, desconocida o poco usada por ahora, también sirva de estímulo para la evolución del malware. Las tecnologías y métodos de programación que parecen exóticos hoy en día – como lo parecía Bluetooth hace algunos años – podrían pronto convertirse en un estándar para los dispositivos móviles y los ordenadores personales.