Boletín de seguridad de Kaspersky

Kaspersky Security Bulletin 2006. Programas nocivos para UNIX y similares

  1. Desarrollo de los programas maliciosos en 2006
  2. Programas nocivos para UNIX y similares
  3. Virus para dispositivos móviles
  4. Ataques Internet: 2006
  5. El correo no solicitado en el año 2006

Introducción

Todos los sistemas operativos que existen en el mundo informático moderno, sin importar su variedad, se pueden clasificar en dos categorías principales: sistemas operativos de Microsoft y sistemas operativos Unix y similares. Este documento es un análisis de la situación de los virus en los sistemas operativos Unix y similares.

Linux es el sistema operativo similar a Unix más popular. A pesar de ser la principal alternativa frente a Windows, se usa principalmente en servidores. En calidad de puestos de trabajo (de la misma manera que los demás sistemas similares a UNIX), los utilizan sólo los entusiastas y los profesionales. Los autores de virus y otros personajes delincuenciales, al parecer, están mucho menos interesados en Linux. Por una parte, este sistema operativo ya no es tan exótico, pero tampoco goza de tal difusión que permita hacer negocios criminales en el mismo. Por esto, una gran parte de los programas maliciosos aparecidos en 2006 ha estado conformada por “pruebas de concepto” y exploits, que demuestran las nuevas vulnerabilidades, además de versiones recompiladas de programas ya conocidos.

La aparición de nuevos ejemplares de programas nocivos es algo bastante raro. Al mismo tiempo, en los programas para Unix y Linux y en los núcleos de estos sistemas operativos se descubren tantas vulnerabilidades como en los programas para Windows. Por esta razón, los usuarios de UNIX pueden estar en relativa tranquilidad hasta que este sistema operativo gane la suficiente popularidad que lo haga atractivo para los delincuentes cibernéticos. Por supuesto, los desarrolladores tratan de reparar sin demora las vulnerabilidades encontradas y los fabricantes de distribuciones publican actualizaciones. Los usuarios deberían instalarlas, pero no siempre lo hacen.

Resumen de 2006

De año en año el flujo de programas nocivos crece, pero no podemos decir lo mismo de los programas nocivos para Unix. Su número siempre fue una parte modesta del total de programas nocivos, y en 2006 tuvo lugar una significante reducción de la cantidad de programas nocivos para Unix, en comparación con los años anteriores.

En 2005, Kaspersky Lab elaboró la estadística de los programas nocivos para sistemas similares a UNIX usando las bases de datos antivirus y la cantidad de nuevos programas nocivos correspondía a la cantidad de registros éstas. Es decir, si habían dos o más modificaciones de un mismo virus, por menores que fuesen las diferencias, cada una aumentaba el número de nuevas variantes.

En 2006 el método de conteo de los programas nocivos cambió: en calidad de nuevos se toman en cuenta sólo aquellos programas nocivos que no son modificaciones de los que ya están registrados en las bases.

Como resultado de la aplicación del nuevo método, el número de programas nocivos para sistemas similares a UNIX se redujo en un 43% en 2006.

Distribución de los programas nocivos para diferentes sistemas UNIX según plataformas

La reducción del número de nuevos ficheros nocivos para sistemas Unix adquiere un carácter aún más marcado sobre el fondo del flujo total de programas nocivos, que en el 2006 aumentó en un 41%. Este flujo está constituido sobre todo por programas nocivos para Windows, mientras que el porcentaje de programas nocivos para Unix se redujo aún más. Sólo la baja popularidad de Unix entre los usuarios puede explicar esta situación (ver más arriba).

El hecho de que Linux es el sistema operativo más popular de entre los similares a UNIX lo confirma el que la aplastante mayoría de software nocivo está destinado precisamente a Linux. No obstante, muchos programas nocivos se pueden portar sin grandes dificultades a otros sistemas Unix, incluyendo MacOS X.


Número de programas nocivos para plataformas UNIX

Distribución de los programas nocivos para diferentes sistemas UNIX en 2006

La aparición del segmento de MacOS X en la distribución de los programas nocivos para sistemas similares a UNIX es la principal diferencia de 2006 respecto a los años anteriores. MacOs X es un sistema operativo joven (2001) con una gran herencia (Mach y FreeBSD), pero el paso de la compañía Apple a los procesadores x86 ha aumentado significativamente su popularidad. En 2006 Kaspersky Lab también agregó MacOS X como plataforma afectada en su clasificación de programas nocivos.

Y a pesar de que ahora el porcentaje de programas nocivos para OS X constituye sólo el 4%, este sistema operativo adquiere cada vez más adeptos y parece que será precisamente este sistema el que le quite popularidad a otros sistemas UNIX, incluso a Linux.

La tendencia de reducción del número de nuevos programas nocivos para UNIX se conservará hasta que los sistemas Unix y similares se hagan populares entre los usuarios. En este momento los autores de virus y otros delincuentes cibernéticos no tienen motivación para escribir programas maliciosos: no se puede ganar mucho dinero con los pocos usuarios de Unix. Por esta misma razón, la búsqueda de vulnerabilidades en los sistemas Unix es un trabajo de los investigadores de seguridad.

En noviembre de 2006 se puso en marcha el proyecto “the Month of Kernel Bugs” (MoKB), cuyo objetivo es la detección y publicación de información sobre las vulnerabilidades en los núcleos de los diferentes sistemas operativos. Según los resultados de las investigaciones de noviembre, entre todos los sistemas operativos Linux resultó ser el líder en cantidad de vulnerabilidades: en su núcleo se encontraron 11 vulnerabilidades, mientras que en OS X se encontraron 10. En esta lista también estaban FreeBSD, Sun OS, Microsoft y los productores de drivers.

A juzgar por la cantidad de problemas encontrados en el núcleo de Linux y en sus aplicaciones, las posibilidades de escritura de código nocivo para Linux no son nada inferiores que para Windows, y en el futuro la situación con la plataforma Linux puede ser tan peligrosa, como la de Windows.

Distribución de las conductas de los programas nocivos orientados a UNIX

Al analizar la estadística, podemos notar que durante los últimos tres años la composición del flujo en su totalidad no ha cambiado mucho.


Distribución de las conductas de los programas nocivos orientados a UNIX

Al igual que los años pasados, los exploits y backdoors ocupan la mayor parte del flujo de programas nocivos. Hacktool ocupa el tercer lugar en la lista de popularidad de programas maliciosos para UNIX. Los demás -gusanos, troyanos, rootkits- en su conjunto ocupan un poco más de lugar que hacktool. En general, es un cuadro que se ha venido repitiendo de año en año, no hay nada insólito en esta distribución.

La predominancia de los backdoors como clase se puede explicar por las peculiaridades del uso de los ordenadores que usan Unix: la principal aplicación de Unix son diversos servidores. Como regla, estos servidores ofrecen acceso a distancia y otros servicios de red. Un backdoor instalado en el equipo, y que además tenga los derechos de root, permite obtener acceso irrestricto al mismo, y por lo tanto, también a los recursos de la red. Además, el equipo infectado puede usarse para realizar ataques subsiguientes, envíos de spam y otras tareas.

Los exploits y utilitarios para hackers se pueden usar con malas intenciones, para penetrar sistemas, o con buenas, para detectar vulnerabilidades. De esta manera, por ejemplo, Metasploit lo pueden usar los especialistas en seguridad para probar la existencia de vulnerabilidades, o los hackers. Por su parte, el utilitario de red netcat puede cumplir funciones de backdoor y ejecutarse en el equipo afectado para ofrecer acceso a distancia.

A pesar de que se puede encontrar el texto fuente de la mayoría de los programas nocivos para plataformas Unix, muy pocos de ellos se han seguido desarrollando: sus nuevas versiones se diferencian muy poco y a veces tienen un código binario diferente gracias a modificaciones en las opciones del compilador.

Los virus para Unix, al igual que para Windows, en general se están convirtiendo en un tipo infrecuente de programa nocivo. En la fig. 3 entre las conductas de los programas nocivos para Unix los virus están ausentes, porque el único nuevo virus detectado en 2006 fue Virus.Multi.Bi.

Como su nombre lo indica, el virus está destinado a varias plataformas: Virus.Multi.Bi infecta los ficheros ejecutables en formato PE y Elf. Es un virus no residente, escrito en assembler y bastante primitivo (infecta sólo los ficheros del catálogo donde se encuentra). Este no es el primer virus multiplataforma para Windows-Linux. No obstante, el número total de estos programas nocivos no supera la decena.


La ventana que aparece al iniciarse el dropper de Bi en Windows

Actualmente, las redes modernas son sistemas heterogéneos en los cuales se usan diversas plataformas y sistemas operativos. Por esto, los intentos de crear un código nocivo que funcione en diferentes plataformas se pueden encontrar con cada vez más frecuencia. Los programas nocivos multiplataforma probablemente no se conviertan en un fenómeno común, pero los intentos de crearlos permiten sacar conclusiones sobre las tendencias de desarrollo de los programas nocivos en esta dirección. El uso de diferentes idiomas de script, que permiten crear códigos que funcionan de la misma manera en diferentes sistemas operativos, facilita las cosas. Pero es necesario que en el sistema esté instalado un interprete del idioma.

Como ya lo habíamos mencionado más arriba, el contenido del código malicioso está condicionado por la forma en que se usa cada plataforma: como puesto de trabajo, ordenador doméstico o servidor. El cambio de objeto del interés de los usuarios se reflejará sin falta en el contenido del flujo malicioso. Y si Linux llega a ganar popularidad entre los usuarios particulares, el interés de los delincuentes cibernéticos, sin lugar a dudas, se concentrará en esta plataforma.

OS X: la plataforma con más perspectivas

Con el cambio a la arquitectura x86, la plataforma OS X indudablemente se ha hecho más popular. Una cantidad cada vez mayor de usuarios han empezado a considerar a Mac OS X como una alternativa no solo de Windows, sino también de Linux. El agradable interfaz y la estabilidad de este sistema operativo le permiten ganarse nuevos admiradores. Los investigadores de seguridad se sienten atraídos por la relativa novedad de esta plataforma: un verdadero escudriñador de código siempre está interesado en investigar nuevas plataformas y tecnologías.

Sin embargo, el promisorio principio de año no tuvo una continuación acorde con las expectativas: el paso a la arquitectura x86 no condujo al aumento del número de usuarios de OS X. Como resultado, OS X todavía no se ha convertido en objeto de interés comercial de parte de los delincuentes cibernéticos. No obstante, han aparecido varios “pruebas de concepto” nocivas para esta plataforma.

En febrero apareció el primero de ellos, IM-Worm.OSX.Leap. Este gusano se propaga a través del cliente de mensajería instantánea para OS X iChat, enviándose a si mismo a todas las direcciones de la libreta.


La ventana que aparece durante el inicio de IM-Worm.OSX.Leap

Otro gusano, Worm.OSX.Inqtana, apareció casi al mismo tiempo que Leap. Inqtana, escrito en Java y difundido vía Bluetooth, utiliza la antigua vulnerabilidad CVE-2005-1333, que se publicó en mayo de 2005.

La historia de Inqtana tuvo continuación. El gusano Worm.OSX.Niqtana era una variación sobre el mismo tema, también se propagaba vía Bluetooth, pero utilizaba otras vulnerabilidades: CVE-2005-0716 para OS X 10.3.x y CVE-2006-1471 para 10.4.x.

La aparición en noviembre de una “prueba de concepto” más, Virus.OSX.Macarena para OS X amplió los horizontes de este campo. Macarena es el primer intento de crear un virus para Mac OS X que infecte los ficheros ejecutables en el formato mach-o. El virus infecta sólo los archivos del catálogo donde se encuentra, y solo en la plataforma Intel, o sea que no representa peligro para la arquitectura PowerPC.

Estos programas maliciosos tienen carácter meramente conceptual, muestran que existe la posibilidad de crear programas similares y en el futuro debemos estar preparados para su aparición en el mundo real. Tanto los usuarios como los programadores de OS X tendrán que adoptar una actitud más seria a los problemas de seguridad. Y a pesar de que estos programas nocivos no están en circulación en el mundo real, su aparición ha hecho que los que partidarios de la opinión de que Macintosh es más segura que Windows hayan disminuido en número.

Conclusiones y pronósticos

2006 ha sido un año tranquilo para la comunidad de usuarios de Unix en lo concerniente a la seguridad. No han ocurrido epidemias ni acontecimientos serios.

Sin embargo los usuarios de Unix no deben despreocuparse de los problemas de seguridad. Las posibilidades de escritura de códigos nocivos para sistemas operativos similares a Unix no son menores que las que ofrece Windows. Los productores de software publican con regularidad actualizaciones que corrigen los errores de los programas, pero el usuario es quién debe responsabilizarse de su instalación y correcta configuración.

En cierta medida 2006 ha sido un año en el que esperabamos la extensa implementación de nuevas tecnologías, tales como Mac OS X para x86 y los procesadores y sistemas operativos de 64 bites. Sin embargo, estas tecnologías todavía no han causado grandes cambios en el mundo. Pero estos cambios tendrán lugar en el futuro. Tanto los delincuentes como los especialistas en seguridad informática se están preparando para estas transformaciones.

Si tenemos que hacer pronósticos, podemos suponer que sucederá lo siguiente:

  • Mac OS X, que despertó tantas expectativas, continuará siendo el jugador con más perspectivas entre los sistemas operativos y en 2007 parte de los usuarios de Windows y Linux pueden pasar a las filas de Mac OS X.
  • Se puede esperar que con la expansión de Linux en diferentes dispositivos, ya sean teléfonos celulares, ordenadores de a bordo en automóviles o consolas de juego como PS3, aparecerán programas maliciosos dirigidos a los usuarios de este tipo de equipos.
  • Los programas nocivos para plataformas múltiples también pueden desarrollarse, ya que la tarea prioritaria de los delincuentes es abarcar el círculo más amplio de usuarios.
  • Entrarán en juego nuevos métodos de propagación de programas nocivos, que usarán masivamente las tecnologías modernas, como por ejemplo Bluetooth, Wi-Fi o Skype.

Las nuevas tecnologías no se quedarán en su lugar y con su implementación aparecerán nuevas posibilidades que podrán ser usadas de diferentes maneras, hasta con fines criminales. Por supuesto, quisiéramos que la tendencia de 2006 de reducción del número de programas nocivos para Unix y similares se conserve en el futuro, pero que no sea debido a la reducción de la popularidad de las plataformas Unix.

Kaspersky Security Bulletin 2006. Programas nocivos para UNIX y similares

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada