¿Estamos ante la decadencia y caída de Slammer?

Slammer (Helkern) y yo compartimos una larga historia… desde el 25 de enero de 2003, para ser exactos. Para mí fue una memorable bienvenida a mi nuevo trabajo como analista de virus en Kaspersky Lab. Era un fin de semana y estaba solo, a cargo de vigilar el flujo entrante de archivos sospechosos. Apenas había estado en la empresa por un mes.

Ese día Internet sufrió una de las epidemias de virus más grandes de su historia: en sólo 15 minutos, un gusano que utilizaba una vulnerabilidad en MS SQ Server infectó cientos de miles de ordenadores en todo el mundo y dejó a Sud Corea sin Internet por algunas horas.

Se trataba de un virus de 376 bytes “sin cuerpo”, que no se escribe a sí mismo en el sistema, sólo se mantiene en la memoria de operaciones.

Eso fue hace más de 8 años, pero Slammer sigue dando vueltas en la red y a menudo encabeza nuestras listas de ataques de redes. Millones y miles de millones de paquetes maliciosos se envían cada día en busca de víctimas, lo que genera una gran cantidad de tráfico basura.

Pero pasó algo extraño el 9 de marzo de 2011. Nuestro sistema automático de análisis de amenazas, Kaspersky Security Network, detectó una caída significativa en la cantidad de ordenadores que lanzaban ataques y una reducción aún más grande en el número de ordenadores atacados. Recibimos los datos de nuestro módulo IDS (Sistema de Detección de Intrusiones), que monitorea los ataques de redes. El sistema también determina la fuente de los ataques.

Miren el siguiente gráfico:

Pueden ver que, durante los últimos meses, la cantidad de ordenadores atacados por los paquetes del gusano Slammer ha fluctuado mucho, pero nunca había bajado de los 200.000 alojamientos únicos en un solo día. Pero el 9 de marzo, el número bajó casi diez veces, y ahora tiene alrededor de 15.000 alojamientos únicos al día.

Al principio pensábamos que esta caída tan notoria se debía a que se habían desconectado varios canales de Internet después del terremoto en Japón. Pero esa teoría se rechazó pronto. Antes de la decadencia de Slammer, detectamos sólo alrededor de 150 ordenadores que habían sido atacados por el gusano. Después del 11 de marzo, ese número bajó a 35, pero era obvio que esto no tenía ninguna relación con el cambio general en el número de fuentes de ataques, que rondaba los cientos de miles.

La segunda teoría estaba basada en el hecho de que el gusano comenzó a desaparecer el mismo día en que se lanzaron los últimos parches de Microsoft. Parecía posible que ambos acontecimientos estuviesen relacionados, pero ninguno de los parches que se había lanzado ese día estaba relacionado con MS SQL. Además, era obvio que los ordenadores que actúan como fuente del gusano no se actualizan, ya que el gusano aprovecha una vulnerabilidad de 2002.

Otra teoría sugiere que un importante proveedor de Internet comenzó a filtrar el puerto 1434 (el que utiliza el gusano). Pero todavía había que confirmarlo. Esta es una lista de los 10 países y regiones más afectados por los ataques el 8 de marzo:

Esta es la misma lista, el 12 de marzo:

La disminución más grande se vio en China, pero la misma tendencia se repitió en Rusia, Brasil, Estados Unidos y España. La única excepción es Taiwán, que es el único país donde la amenaza creció. Estas estadísticas también acabaron con nuestra teoría del proveedor de Internet, porque no existe ningún proveedor que opere en todos estos países.

El aspecto más interesante es el cambio en el número de fuentes desde las que el gusano se propagó en estos días.

El 8 de marzo, 711 ordenadores comenzaron a enviar paquetes desde 50 países. Las 10 fuentes de ataques más frecuentes fueron las siguientes:

Cuatro días después, el 12 de marzo, estas figuras habían descendido a menos de la mitad, a 196 ordenadores en sólo 18 países.

Los datos del Instituto SANS también confirman la disminución del número de fuentes de ataques:

Los expertos del instituto también se preguntan la razón de la caída, pero todavía no hay una respuesta clara.

Lo que hemos visto es una disminución de la actividad del gusano (número de ordenadores atacados) en casi 10 veces, y una caída de más del 50% en el número de fuentes que lo propagan.