Informes sobre malware

Evolución de los programas maliciosos: enero-marzo de 2006

Introducción


Este informe de Kasperky Lab sobre la evolución de los programas maliciosos contiene detalles sobre los eventos relativos a la seguridad informática que ocurrieron el primer trimestre de 2006, y que podrían influír en la futura evolución de los programas maliciosos y las amenazas cibernéticas. El informe está dirigido a los profesionales en seguridad informática y los usuarios interesados en los programas maliciosos.

El “Criptonomicón” moderno: Nuevos frentes de combate


El eterno enfrentamiento entre la lanza y el escudo también tiene relación directa con la industria de programas antivirus. La función de armas de ataque la cumplen los programas maliciosos escritos por los autores de virus. Por su parte, las compañías antivirus deben constantemente perfeccionar el “blindaje” de los usuarios. Esta es una carrera armamentista continua, en la cual los malhechores siempre están a la vanguardia y es nuestra tarea reaccionar inmediatamente a sus nuevas tácticas.


En varias ocasiones hemos escrito sobre casos en los que los malhechores pasaron de utilizar “en secreto” los equipos infectados (para robar información, usarlos en calidad de redes-zombi, etc.) a extorsionar económicamente a las víctimas. Los primeros casos de este tipo de extorsión se detectaron en 1989. Hoy, quince años después, de nuevo están ocurriendo. Ahora existen dos métodos principales de “preparar” un ordenador para luego chantajear a su propietario: el cifrado de los datos del usuario y la corrupción de la información del sistema.


Se notifica al dueño del equipo atacado, de una forma u otra, que algo le ha pasado a sus datos, para seguidamente pedirle que transfiera una cantidad determinada de dinero a la cuenta que el hacker tiene en alguno de los sistemas de pago (EGold, WebMoney, etc). La cantidad a pagar es variable y depende directamente de cuan pudiente sea la víctima. Sabemos de casos en que los malhechores pidieron desde 50 hasta más de 2000 dólares americanos.


En el año 2005 los troyanos GpCode y Krotten fueron los más notables representantes de este tipo de ciberdelincuencia. El primero pertenece al tipo de los “cifradores de datos”, y el segundo se limita a introducir varios cambios en el registro del sistema, que lo hacen dejar de funcionar.





El troyano más activo es Gpcode: el año pasado se detectaron más de dos decenas de diferentes variantes de cifradores de datos. GpCode cambia constantemente sus algoritmos de cifrado. Sin embargo, en todos los casos hemos logrado descompilarlos e implementar la detección y descifrado de los archivos directamente en las bases antivirus, sin necesidad de crear nuevos utilitarios.


A principios del 2006 los autores de estos programas trataron de cambiar cardinalmente los métodos de cifrado de los datos, para hacer aún más difícil el trabajo de las compañías antivirus. En enero apareció una variante más de GpCode, a la que se le asignó el identificador .AC. Su rasgo característico es que usa uno de los algoritmos de cifrado más conocidos y seguros: el RSA. Anteriormente el autor se limitaba al uso de algoritmos de cifrado elaborados por él mismo, pero ahora empieza a usar “artillería pesada”.


Una vez más la fortuna está de nuestra parte. Hemos logrado descubrir el archivo del troyano que efectúa el cifrado. En la mayoría de los casos anteriores no tuvimos esta oportunidad, ya que el troyano se elimina a sí mismo después de haber hecho su trabajo. El análisis de su código en un desensamblador, que tardó varias horas, nos condujo a descubrir la clave usada para cifrar los datos. Sin embargo, también hacía falta la clave de descifrado de RSA, que no era parte del troyano. Pero el autor del troyano cometió un grave error. Utilizó una clave demasiado corta, de sólo 56 bits. Encontrar una clave semejante, conociendo el algoritmo de funcionamiento de RSA y los métodos de descifrado utilizando un ordenador moderno, les tomó a nuestros expertos menos de un segundo. El proceso descifrado de los archivos lo realizamos directamente en las bases antivirus, sin necesidad de crear un utilitario especial.


Sin embargo, los hackers no piensan rendirse. Tomando en consideración la experiencia de sus predecesores, en marzo de 2006 alguien (posiblemente el mismo autor de GpCode), publicó un nuevo representante de la categoría “RansomWare”. Con este término se nombra a los troyanos de este tipo en algunos artículos de las compañías antivirus y de los investigadores independientes. Más información en: http://en.wikipedia.org/wiki/Ransomware and http://www.halfbakery.com/idea/Computer_20ransomware).


Los malhechores dejaron de usar algoritmos de cifrado. El troyano Cryzip.a no usaba ni RSA, ni AES, ni PGP. Más bien buscaba en el sistema atacado documentos según una lista de extensiones de los archivos: documentos MS Office, PDF, archivos comprimidos, imágenes y otros. Cada archivo que encuentra lo comprime usando un ZIP con contraseña. El troyano deja en cada directorio una nota para el usuario, AUTO_ZIP_REPORT.TXT, en el cual le comunica que es posible recuperar los datos si se abona 300 dólares americanos a una de las varias decenas de cuentas en el sistema E-Gold.





El autor del troyano amablemente le notifica que la contraseña usada consta de más de 10 caracteres y que es inútil tratar de averiguarla. En efecto, los programas capaces de descifrar las contraseñas ZIP pueden hacerlo en 5-10 minutos si éstas constan de hasta 5 caracteres, pero si son de 6-7 caracteres, es un proceso excesivamente largo.


Posteriormente se llegó a saber que varias compañías antivirus se habían dedicado simultáneamente a la búsqueda de la contraseña. Algunas lograron descubrir el archivo del troyano y al analizarlo determinaron la clave usada para comprimir los archivos. Como nosotros no teníamos el archivo del troyano, decidimos usar otra técnica y nos pusimos a buscar la contraseña usando diferentes tipos de ataques a los archivos ZIP. Como resultado, pudimos ahorrar mucho tiempo en los ataques de “fuerza bruta”. No mencionaré los detalles del proceso, pero nos tomó una noche abrir el archivo protegido con la contraseña.


El autor usó como contraseña el nombre de un directorio: «C:Program FilesMicrosoft Visual StudioVC98». De esta manera, probablemente confiaba en que, incluso si el troyano fuese interceptado por las compañías antivirus, los analistas podrían pensar que esta línea era parte de los archivos creados en Visual C++, y no la contraseña.


De una manera u otra, una vez más pudimos resolver la tarea de reestablecer los datos del usuario. Lamentablemente, no nos fue posible organizar la recuperación de los datos desde dentro de las bases antivirus, pero al conocer la contraseña, el usuario puede hacerlo por sí mismo.


Hay que mencionar que existe un tercer programa malicioso que se comporta de una forma similar. Nos referimos a Skowor.b, que a diferencia de su primera variante (gusano de correo), no cuenta con la función de propagación por correo electrónico. Sin embargo, trata de propagarse creando directorios compartidos de red. Al igual que GpCode y Crypzip, después de activarse le muestra al usuario una nota, donde se afirma que para recibir la contraseña que le permitirá eliminar el gusano, es necesario reiniciar cinco veces el ordenador. En caso contrario, el gusano trata de cifrar varios archivos importantes y cambiar las contraseñas del administrador y el usuario en el ordenador infectado. Afortunadamente, el código del gusano contiene muchos errores y solo una pequeña parte de sus funciones trabajan correctamente.


La aparición de todos los troyanos descritos, que fueron descubiertos en el primer trimestre de 2006, nos hace llegar a la conclusión de que secuestrar los datos de los usuarios es uno de los métodos más peligrosos que se está desarrollando rápidamente en el ámbito de la delincuencia cibernética. Por eso, es muy importante organizar los sistemas de almacenamiento de copias de seguridad, ya que si bien hasta ahora ha sido posible recuperar los datos, es grande el peligro que representa el uso de un algoritmo de cifrado más complejo o una contraseña de compresión más segura.


Tampoco hay que olvidar que los troyanos no aparecen por sí mismos en el sistema. Pueden ser instalados por algún programa malicioso ya existente en el ordenador o entrar al sistema aprovechando las vulnerabilidades de los navegadores. El único método de defensa es la prevención: es necesario escanear el sistema y los archivos bajados de Internet con un antivirus, instalar las actualizaciones del sistema operativo y el navegador y almacenar sin falta copias de seguridad de los datos más importantes.


Si los datos ya han sido “secuestrados” y cifrados, como hemos visto en los ejemplos anteriores, las compañías antivirus pueden resolver este problema, incluso en plazos mínimos. Por esta razón, en ningún caso se debe seguir el juego a los chantajistas. Cualquier pago que les enviemos sólo les servirá de estímulo para crear más programas maliciosos.

MacOS X en la mira de los delincuentes cibernéticos


Los problemas que describimos tienen que ver con el sistema operativo Windows. Pero también existen los ordenadores Macintosh, que gozan de gran popularidad. Sus problemas, que antes eran poco significativos, adquieren cada vez más importancia. La compañía Apple es sin duda una de las más importantes en el mundo de las TI. La sensacional noticia de que las nuevas versiones de MacOS funcionarán en sistemas con procesadores Intel, ha obligado a muchas personas a reconsiderar su opinión sobre el futuro de los ordenadores tradicionales. Hasta ahora, los ordenadores personales se dividían entre las plataformas Windows y Linux. Sin embargo, la posibilidad de usar MacOs en los PCs ha despertado interés en muchas personas. La potencial popularidad y la probabilidad de que MacOS se difunda a pasos acelerados, despierta el interés no sólo entre los usuarios y expertos, sino también entre los autores de virus y hackers de todo el mundo.


Dejaremos de lado las vulnerabilidades críticas descubiertas en MacOS en los meses recientes, y la velocidad con que se puede penetrar desde Internet a un ordenador con MacOS. Nos dedicaremos estrictamente a nuestro tema: los virus para ordenadores.


Hasta ahora, MacOS X no había despertado el interés de los malhechores. Existen pocos troyanos primitivos, una serie de exploits y nada más.


Pero en febrero del 2006 vimos que los virus y gusanos para OSX son posibles. Primero, en ciertos sitios y foros de aficionados al OSX, apareció un archivo, “latestpics.tgz” que se anunciaba cómo un conjunto de capturas de pantalla (screenshots) de la nueva versión de OSX, 10.5 (Leopard).


En realidad, era un virus-gusano, denominado Leap. Este gusano utilizaba el sistema IChat para entrar al sistema, dónde continuaba multiplicándose e infectando las aplicaciones del sistema, de la misma manera que un virus clásico. Leap demostró que en OSX existe la posibilidad de realizar ataques virales.


Dos días después de que Leap fuera detectado, las compañías antivirus capturaron a un nuevo representante de los programas maliciosos para OSX. Era un gusano denominado Inqtana. A diferencia de Leap, no infectaba archivos. Su principio de reproducción hasta ahora sólo se había encontrado entre los virus de teléfonos celulares, pero nunca entre los de PC. Inqtana es capaz de propagarse vía Bluetooth. Es precisamente de esta forma como se propagaba el famoso gusano para celulares Cabir. Este es un ejemplo muy interesante de simbiosis: las tecnologías de transmisión de datos creadas para dispositivos móviles empiezan a utilizarse para infectar ordenadores comunes.


Inqtana utiliza la vulnerabilidad del servicio “Bluetooth File and Object Exchange” (CAN-2005-1333) en las siguientes versiones de OSX: OS X v10.4.1, Mac OS X Server v10.4.1, Mac OS X v10.3.9 y Mac OS X Server v10.3.9. Si el ordenador atacado acepta la transmisión de archivos, el gusano trata de obtener acceso a los directorios y archivos que están fuera del catálogo “Bluetooth File and Object Exchange” para luego instalarse en el sistema en régimen de búsqueda constante de nuevos dispositivos Bluetooth. La compañía Apple eliminó esta vulnerabilidad en junio de 2005.


Al poco tiempo, la opinión pública supo el nombre del autor del gusano Inqtana. Era un tal Kevin Finisterre, uno de los miembros activos de la comunidad OSX. En una entrevista concedida a la prensa (http://www.securityfocus.com/columnists/389), explicó por qué motivo había creado el gusano. De esta manera, trataba de llamar la atención de la opinión pública y de los desarrolladores de OSX sobre los problemas en el campo de la seguridad del sistema y estimular la creación de nuevas soluciones que fueran más seguras.


Desde nuestro punto de vista, estos métodos de llamar la atención hacia los problemas de seguridad no tienen justificación, ya que por lo general no conducen a la resolución del problema, sino que más bien facilitan la labor de los malhechores al poner a su disposición instrumentos de creación de nuevos virus. Así, los “investigadores voluntarios” hacen más llevadera la vida de los hackers. Lo más triste es que semejante práctica tiende a hacerse cada vez más popular, y en el primer trimestre de 2006 hubo varios casos similares, en los cuales tecnologías virales potencialmente peligrosas se crearon y publicaron con propósitos “académicos”.


El futuro de los programas maliciosos (vmware rootkits, boot rootkits, bios backdoors)


A pesar de que existen muchas tecnologías modernas que dificultan la creación de virus “indetectables”, ya hoy vemos que hay amenazas que estarán presentes en el mundo informático futuro y que obligarán a desarrollar nuevos y nuevos métodos de lucha contra ellas.

Los fenómenos más notables en el campo de la “teoría de los virus informáticos” fueron tres realizaciones conceptuales creadas con fines estrictamente de investigativos. Sin embargo, las tecnologías aplicadas son muy peligrosas y sin lugar a dudas, serán seguidas con atención por el underground..

La primera de estas tecnologías es el prototipo de “puerta trasera” (backdoor) ubicado en el sector de arranque del disco duro y que se apodera del control antes del inicio del sistema operativo. Al arrancar de esta manera, tiene la posibilidad de modificar o sustituir muchas de las funciones del sistema operativo. En agosto de 2005 la compañía eEye Digital Security presentó la “puerta trasera” eEye BootRoot.


A pesar de que prácticamente todos los programas antivirus modernos tienen una función de verificación de los sectores de inicio de los discos (ya que la historia de los antivirus empezó precisamente con estos virus), el problema de la detección de la intercepción y sustitución de las funciones del sistema sigue teniendo vigencia y no ha sido totalmente resuelto ni siquiera respecto al funcionamiento de los troyanos y el antivirus en un sistema operativo dado, y menos aún si se trata de una “puerta trasera” que se inicia antes que el sistema operativo.


Este trabajo tuvo resonancia y pronto aparecieron nuevos adeptos. En enero de 2006, John Heasman, empleado de la compañía Next-Generation Security Software, declaró que el conjunto de funciones de gestión de energía del ordenador (las funciones ACPI- Advanced Configuration and Power Interface) permiten crear programas rootkit que pueden guardarse en la memoria flash del BIOS.


La tecnología de guardar virus en la memoria flash del BIOS no es nueva. Ya en 1998, el tristemente famoso CIH (“Chernobyl”) borraba la memoria flash del BIOS si no podía obtener acceso a éste. Posteriormente aparecieron programas troyanos que realizaban ataques similares.


Heasman creó también un prototipo de código que permite obtener más privilegios en el sistema y leer los datos de la memoria del ordenador.
Utilizar el BIOS como lugar de almacenamiento de código malicioso dificulta aún más su detección en comparación con las “puertas traseras”.

En marzo de este año, entre los especialistas en seguridad informática, hubo un gran alboroto: se discutía acaloradamente la idea de ciertos rootkit “indetectables”, basados en la tecnología de ordenadores virtuales. Surge la pregunta: ?de qué se trata todo esto? ?es digno de preocupación?.

El proyecto de un rootkit que funcione en un nivel inferior al sistema operativo está siendo desarrollado en la Universidad de Michigan, bajo los auspicios de Microsoft. La opinión pública se enteró de esto después de la publicación del programa de la conferencia IEEE Symposium on Security and Privacy, donde será presentada esta prueba de concepto.

Todos los programas maliciosos modernos funcionan en el mismo ámbito que los sistemas de defensa. De esta manera, sólo la “carrera armamentista” define la superioridad de uno u otro bando.

Siempre será más fuerte el bando que funcione en el nivel más bajo del sistema. La idea de los “muchachos” de Michigan consiste en que es posible ubicar el programa malicioso fuera de los márgenes de esta “matriz”, haciéndolo potencialmente invisible desde el sistema operativo.

Con este objetivo, se introduce entre el sistema operativo y el equipo una capa intermedia: un monitor de ordenadores virtuales (VMM, Virtual machine Monitor). En la fase de inicio del equipo, el BIOS no transfiere sus funciones al mecanismo de inicio del sistema operativo del usuario, sino al monitor de ordenadores personales, que a su vez inicia el sistema operativo instalado. Así, éste último se convierte en “ordenador virtual”. Como resultado, la interacción entre los programas del usuario y el equipo se lleva a cabo a través del VMM.

Al mismo tiempo, el VMM inicia otro sistema operativo, de la misma manera en que en VMWare se inician varios ordenadores virtuales. En el primero se pueden activar programas maliciosos. Ambos sistemas operativos se basan en un bus común, el VMM, que a su vez tiene acceso directo al hardware.

He aquí un ejemplo practico: el VMM, durante el uso del teclado, envía la información sobre las teclas pulsadas tanto al sistema operativo del usuario, como al “malicioso”, dónde un programa especial (keylooger) la intercepta y la envía a su “dueño”, eludiendo el sistema operativo del usuario y sus medios de protección. El código del rootkit y todas las huellas que deja se encuentran fuera de los límites del sistema operativo del usuario, por lo que no puede ser detectado directamente desde dentro, ni siquiera utilizando el antivirus o cortafuegos más potente.

Para realizar su “prueba de concepto” en Windows XP, los investigadores necesitaron el código de Virtual PC, un sistema operativo parásito y la introducción de ciertas modificaciones en los controladores del sistema operativo del usuario.

A pesar de lo amenazante que pueda parecer esta “prueba de concepto”, no vemos motivos de preocupación.

En primer lugar, la implementación de este rootkit es compleja, y está fuera del alcance de la mayoría de los escritores de virus, a pesar de que se ha tomado como base el motor de un VMM ya existente.

En segundo lugar, es imposible ocultar la presencia de la capa intermedia entre el hardware y el sistema operativo. El nivel de abstracción complementario genera los siguientes efectos adicionales:


  • ralentización del inicio del sistema;

  • cambio del timing del procesador y ralentización del funcionamiento del sistema;

  • disminución del espacio libre disponible en el disco (los investigadores informa que el VMR ocupaba 100-200 Mb);

  • deterioro en las prestaciones gráficas, como resultado de la incorrecta emulación del controlador gráfico;
    modificación de los archivos del sistema, para garantizar el correcto funcionamiento del sistema operativo con el hardware emulado (y no con el verdadero).

En tercer lugar, es bastante fácil detectar la presencia del rootkit virtual. Además de los síntomas mencionados, la forma más sencilla de detectar el rootkit es iniciar el ordenador desde un dispositivo externo (USB, CD) y escanear el disco duro desde el mismo. Si bien el VMR emula el reinicio -como se afirma en las tesis de los investigadores- para apoderarse del control y hacerse invisible, basta utilizar un “reinicio frío” (cold reboot) para eludir este truco. Es decir, desconectar el equipo del enchufe.


Sin embargo, al igual que eEye BootRoot, SubVirt anuncia el advenimiento de la época de los medios de defensa basados en hardware.


Junto con las pruebas de concepto, que definen el rostro de las amenazas virales en los próximos años, seguimos tropezándonos con reencarnaciones de antiguas tecnologías, modernizadas y adaptadas a las nuevas realidades. Este fenómeno se expresa en el comportamiento viral más antiguo: la infección de archivos, es decir, la integración del propio código en otros programas.


En 2004 apareció Backdoor.Win32.PoeBot, que usaba el siguiente algoritmo: El delincuente pone a punto una “puerta trasera” conocida (por ejemplo, de la serie Backdoor.Win32.SdBot), toma un programa popular (por ejemplo, WinRar), le integra un troyano por medio de la tecnología EPO y lo empieza a propagar usando los medios estándar. El resultado es que la velocidad de reacción de la compañía antivirus se reduce, ya que es necesario desarrollar un procedimiento de detección del programa malicioso y excluir los “falsos positivos” en los programas legítimos, algo que lamentablemente ocurrió entonces con varias compañías antivirus.


En 2005 apareció una nueva familia de troyanos, Virus.Win32.Bube, que infectaba el archivo explorer.exe y trataba de cargar otros programas troyanos varias veces por hora. Así, Explorer.exe se convirtió en un verdadero troyano-downloader.


Después de Bube vino Virus.Win32.Nsag, que es un downloader con un disfraz aún más sofisticado. Este virus infecta la biblioteca del sistema wininet.dll, incrustando su código malicioso en la función HttpSendRequestA. De esta forma, el troyano está inactivo hasta que detecta cualquier actividad de red del sistema infectado, durante la cual toma el control.


La llegada del año 2006 trajo consigo varios programas similares a los descritos, lo que es una prueba de que los autores de virus experimentan un gran interés por este tipo de distribución de código malicioso.


Para empezar, pondremos nuestra atención en Trojan-Spy.Win32.Banker.alr, el cual, además de robar información, modifica las bibliotecas sfc.dll y sfc_os.dll de tal manera que se desactiva la recuperación automática de los archivos del sistema.


Considerando que este tipo de troyanos aparece con bastante frecuencia, hemos decidido incluirlos en una nueva familia denominada Trojan.Win32.Patched.


Trojan.Win32.Patched.a
Infecta svhost.exe. Se añade al archivo un código que carga el archivo mshost.dll (Trojan-Spy.Win32.Agent.ki) y activa un troyano.


Trojan.Win32.Patched.b
Infecta un archivo del sistema elegido al azar, inoculándole un código que activa un programa troyano en el flujo NTFS de un archivo .txt. El nombre del archivo infectado suele coincidir con el nombre del programa infectado. Por ejemplo, el troyano infecta el archivo sysformat.exe, y el componente principal del troyano se inicia desde el flujo de sysformat.txt (C:WINDOWSsystem32sysformat.txt:tamrofsys.exe).


Trojan.Win32.Patched.c
Infecta un archivo del sistema elegido al azar, por ejemplo notepad.exe, en el cual se incrusta un brevísimo código (35 bytes), que al iniciar notepad.exe inicia el archivo .log del directorio del sistema del Windows.


?Cuál es el objetivo de estas operaciones y que ocurrirá más adelante?
Para nadie es secreto que los antivirus y cortafuegos modernos (firewall) controlan determinadas ramas del registro y las actividades de red.


Como es natural, estos medios de protección admiten excepciones, que son creadas para no importunar al usuario cuando hace algunos ajustes al sistema. Las tendencias de 2005 y 2006 demuestran que los autores de virus están empezando a usar métodos atípicos con el objetivo de engañar a estos medios de protección:
– no activan el troyano por medio de la clave Run del registro, sino que lo hacen después del inicio del archivo infectado;
– cargan programas troyanos desde el proceso de explorer.exe o wininet.dll.
Además de que es bastante difícil detectar estos programas, las compañías antivirus necesitan más tiempo para crear los procedimientos correctos de detección y curación, ya que la infección afecta a las bibliotecas del sistema.


Es posible que en un futuro cercano aparezcan muchos programas maliciosos que funcionen según el principio de “ya que los monitores controlan los cambios de los parámetros de los módulos del sistema operativo, entonces modificaremos los módulos en sí”. Un principio semejante se utiliza desde hace mucho tiempo durante la creación de rootkits para los sistemas operativos UNIX.



4. Noticias del mundo de los dispositivos móviles


El problema de la seguridad antivirus para los dispositivos móviles se vuelve cada mes más vigente.El tímido arroyo de troyanos para teléfonos Symbian que observábamos los años anteriores, a finales de 2005 se ha convertido en un torrente seguro de sí mismo. Actualmente, cada semana añadimos a nuestras bases antivirus hasta 10 nuevos troyanos que infectan a los smartphones. Una gran parte la conforman los troyanos de la región asiática, en particular de Corea del Sur. Este país es el líder en la creación de virus para teléfonos celulares.
Las tecnologías móviles están en constante desarrollo, y junto a ellas, también se desarrollan los virus.


Febrero del 2006 fue un mes intenso: se detectaron dos nuevos virus. Kaspersky Labs fue partícipe directo del descubrimiento del primero de ellos. Uno de nuestros usuarios notó que en varios sitios web rusos se promocionaba activamente cierto programa denominado RedBrowser. Según sus autores, este programa permite obtener acceso a los sitios Wap sin utilizar conexión a Internet. Esta función supuestamente se realizaba por medio del envío y recepción de mensajes SMS, en los cuales estaría el contenido del sitio en cuestión.


El usuario cargó el programa y empezó a probarlo en su teléfono. Efectivamente, éste enviaba mensajes SMS. Solo que no había ningún “acceso gratuito a Internet sin conexión”, como se pretendía. Los mensajes SMS se enviaban a números VIP de pago, y cada uno de ellos costaba 5-6 dólares.


Cuando recibimos el programa, lo analizamos escrupulosamente y llegamos a la misma conclusión. El troyano venía en forma de archivo JAR y estaba destinado a funcionar en el sistema operativo J2ME, que está instalado en la aplastante mayoría de los teléfonos celulares, y no sólo en los smartphones.


Algo que parecía imposible resulto real. Prácticamente todos los teléfonos móviles existentes son susceptibles de ser infectados: es evidente que el troyano estuvo funcionando en el mundo real, y causó víctimas. El troyano recibió el nombre de Trojan-SMS.J2ME.RedBrowser.a (y posteriormente encontramos una nueva variante).


La aparición de programas troyanos para J2ME es un acontecimiento tan serio como la aparición del primer gusano para smartphones en junio de 2004. Por el momento es difícil estimar todas las amenazas potenciales, sin embargo, el hecho de que los teléfonos celulares son mucho más numerosos que los smartphones, y de que la posibilidad de aprovechar los teléfonos infectados ya haya sido realizada por los delincuentes, nos obliga a empezar las investigaciones en el campo de la creación de antivirus para este tipo de dispositivos.


Es posible que muy pronto aparezcan troyanos como éste (que envían mensajes SMS a teléfonos de pago) para la plataforma Symbian.


El porcentaje de smartphones y PDAs que funcionan con Windows Mobile está creciendo constantemente. Hasta ahora, sabíamos de sólo dos programas maliciosos para Windows MobilePocket PC: el virus Duts y la puerta trasera Brador. En febrero de 2006 han aparecido otros. Ahora bien, esta es una historia muy misteriosa y nos plantea varios serios asuntos. Veamos:


Todo empezó cuando una organización autodenominada MARA (Mobile Antivirus Researchers Association) publicó una declaración de prensa, dónde afirmaba que había recibido de un autor anónimo un nuevo virus de concepto, que funcionaría no sólo en los ordenadores con Windows, sino también en los teléfonos celulares con Windows Mobile. Considerando que los virus para Windows Mobile son bastante escasos, y que en esta ocasión se estaba hablando de un virus multiplataforma completamente funcional, el comunicado de MARA captó la atención de la prensa y de las compañías antivirus.


Como es natural, todas las compañías antivirus solicitaron a MARA que les enviase un ejemplar del virus para analizarlo y añadirlo a sus bases antivirus. Todas estas solicitudes recibieron la misma respuesta. Era la propuesta de ingresar a MARA, ya que según su reglamento, el intercambio de especimenes de virus es posible exclusivamente entre sus miembros.


Semejante comportamiento resultó algo totalmente inesperado. En la industria antivirus, desde el mismo momento de su aparición, existe determinada ética de comportamiento, que incluye, entre otras cosas, el intercambio regular de los especimenes de los nuevos virus. Para esto no se requiere ser miembro de ninguna organización. Menos aún en aquellos casos relacionados con los virus de concepto, que pueden marcar hitos en el desarrollo de la virología informática. Por el contrario, las compañías antivirus hacen todo lo posible para proteger la mayor cantidad posible de usuarios, sin importar que antivirus tienen instalado. La competencia entre las compañías antivirus se lleva a cabo sólo en el campo del mercadeo y de la prestación de servicios.


Desde luego, las compañías antivirus rechazaron enfáticamente la propuesta de convertirse en miembros de esta organización casi desconocida, para no hacerle publicidad y elevar su prestigio. Al mismo tiempo, surgieron varias preguntas sobre la estructura de la asociación. Se llegó a saber que los miembros eran aproximadamente diez personas, la mayor parte de las cuales eran completamente desconocidas en el campo de la industria antivirus y no tenían información de contacto. El miembro más conocido de la asociación es el doctor Cyrus Peikari, autor de varios libros sobre seguridad y director general de la compañía AirScanner, que desarrolla soluciones antivirus para teléfonos celulares. Peikari adquirió gran fama hace varios años, después de publicar el código ejecutable del virus WinCE.Duts, acompañándolo de un artículo analítico que era prácticamente un manual de creación de virus para Windows Mobile. Lo más triste es que el autor de este artículo fue un miembro del grupo 29A, conocido con el nombre de Ratter. Precisamente Ratter es el autor del virus Duts, y fue él quien le transfirió el código ejecutable del virus a Peikari.


El mismo hecho de tener como coautor y colaborador a un escritor de virus es algo totalmente inaceptable desde el punto de vista de la industria antivirus. La reputación de Peikari y de la compañía AirScanner había sido manchada.
Las preguntas surgían una tras otra en la historia del virus multiplataforma (Crossover, según la versión de MARA). Es incomprensible la exigencia de ingresar a MARA para poder recibir el espécimen del virus; la relación entre un miembro de la asociación con un autor de virus (conocido por haber creado virus precisamente para WinCE) es patente… Tampoco está claro por qué el virus fue enviado por un autor anónimo a uno de los miembros de MARA, a quién tampoco se menciona, y no a una compañía antivirus conocida, como siempre sucede con los virus de concepto.


Se decidió dejar de relacionarse con MARA. El 8 de marzo de 2006, Cyrus Peikari publicó un detallado análisis del virus Crossover con ejemplos de su código, el cual se convirtió nuevamente en un manual de creación de virus para Windows Mobile. Esta vez no se mencionaba al coautor. A la vez, la lista de miembros de MARA desapareció del sitio web.


A fin de cuentas, las principales compañías antivirus consiguieron un espécimen de este virus. Éste recibió el nombre de Cxover.


Al ser activado, el virus identifica el sistema operativo y si es un ordenador personal, busca dispositivos móviles a través de ActiveSync. A continuación, el virus envía una copia de sí mismo al dispositivo encontrado via ActiveSync. Al llegar al teléfono o PDA, el virus trata de realizar el procedimiento inverso, es decir, copiarse al ordenador.


También puede eliminar del dispositivo móvil los datos del usuario.


?Qué conclusiones podemos sacar? La posibilidad teórica de la existencia de virus capaces de funcionar de forma simultánea tanto en ordenadores personales, como en teléfonos móviles ha sido confirmada en la práctica. Los códigos ejecutables han sido publicados y los detalles divulgados.


?Bienvenidos al futuro!

Evolución de los programas maliciosos: enero-marzo de 2006

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada