Nuestro informe anual sobre los virus y las amenazas informáticas 2007 publicado hace unos meses contenía varios pronósticos de cómo se desarrollaría la situación en 2008. Ahora, cuando han pasado los primeros tres meses del año, ya se pueden sacar las primeras conclusiones.
Por más lamentable que sea, como sucede con frecuencia en la industria antivirus, estas conclusiones son bastante tristes. Continúa creciendo la velocidad de crecimiento de los programas nocivos, miles de cuyas variantes se detectan cada día. Este proceso también está empezando a acarrear paulatinamente el crecimiento de su complejidad tecnológica y el desplazamiento del vector de ataque hacia aquellos campos de la seguridad informática que todavía no están protegidos en el mismo grado que los tradicionales. Me refiero a las tecnologías Web 2.0 y a los dispositivos móviles.
Al igual que antes, estamos ante la reencarnación de las viejas ideas y técnicas, cuya realización en un nuevo nivel implica un grado de peligro completamente diferente. Me refiero a la infección de los sectores de inicio de los discos duros, la propagación de programas nocivos mediante medios extraíbles y la infección de los archivos.
Quizá haya sido en el primer trimestre de 2008 cuando tuvo lugar la simbólica, pero definitiva muerte de la “escuela tradicional” de creación de virus. A finales de febrero en el sitio del legendario grupo 29A apareció un mensaje sobre la extinción oficial del mismo.
Mensaje en el sitio del grupo 29A en el que se notifica su extinción
Las personas que crearon Cap (el primer macrovirus que causó una epidemia global), Stream (el primer virus para flujos adicionales de NTFS), Donut (el primer virus para la plataforma .NET), Rugrat (el primer virus para la plataforma Win64), los programas nocivos para teléfonos celulares Cabir y Duts, así como muchos otros, cedieron ante la arremetida de la comercialización de la creación de virus. Y es que ahora nadie crea programas nocivos para expresarse, autoafirmarse o por el gusto de investigar. Es mucho más lucrativo generar cientos de troyanos primitivos para ponerlos a la venta.
La desaparición de 29A fue mencionada por casi todas las grandes compañías antivirus y cada una de ellas arrojó un puñado de tierra virtual a la tumba del grupo que en su momento fue el dolor de cabeza de muchos expertos en virus. Nosotros también guardamos un minuto de silencio.
Analizaremos lo que llegó para reemplazar a la “creación romántica de virus” en 2008 en los siguientes capítulos:
- Bootkit
- Sigue la tormenta
- TrojanGet
- Gusanos sociales
- Noticias de la telefonía celular
Bootkit
El principal problema de facto de la industria antivirus a principios de 2008 son los rootkits que pueden cargarse desde los sectores de arranque de cualquier tipo de dispositivos. Tomando en cuenta las exigencias más estrictas, las dimensiones reales del problema siguen siendo desconocidas para el gran público, pero es posible que pronto le ataña a todo el mundo..
Historia
Esta historia empezó en noviembre de 2007. O quizá sea más correcto decir que esta historia empezó en 2005. Pero tampoco esta afirmación es cierta. Creo que tendríamos que hacer una excursión al pasado y recordar lo que pasó 22 años atrás, en 1986.
He aquí cómo se describen los sucesos de este año en la “Enciclopedia de virus informáticos” en nuestro sitio viruslist.es
Se detectó la primera epidemia global de virus para ordenadores compatibles con IBM. El virus Brain, que infectaba el sector de arranque, se extendió por casi todo el mundo en pocos meses. La casi total falta de atención prestada por la comunidad informática a la protección de los equipos contra los virus aseguró el éxito de Brain. De hecho, la aparición de numerosas películas de ciencia ficción empezaron a usar este tema, sembrando el pánico entre los usuarios, en vez de enseñarles a protegerse.
El virus Brain fue escrito por un programador Pakistaní de 19 años, Basit Farrq Alvi, y su hermano Amjad, e incluía una línea de texto que contenía sus nombres, direcciones y número de teléfono. Según los autores del virus, que trabajaban en el sector de ventas de una compañía de software, ellos querían conocer el nivel de piratería en su país. Además de infectar el sector de inicio del disco y cambiar el nombre del disco a ‘© Brain’, el virus no hacía nada: no tenía carga útil y no corrompía los datos. Desafortunadamente, los hermanos perdieron el control de su “experimento” y Brain se propagó por todo el mundo.
Otro dato interesante es que Brain fue también el primer “virus invisible” (stealth virus): cuando detectaba un intento de leer el sector infectado, el virus mostraba los datos originales, como si no estuvieran infectados.
Y entonces empezó todo. Los virus de sector de inicio por más de 10 años fueron el tipo de programa nocivo más propagado.
El principio de acción es bastante simple: se aprovechan los algoritmos de inicio del sistema operativo cuando se enciende o se reinicia el ordenador y el programa de inicio del sistema operativo lee el primer sector físico del disco de inicio (A:, C: o CD-ROM según los parámetros del BIOS Setup) y se obtiene el control del proceso. Si en el sector de inicio hay un virus, éste obtiene el control.
Los disquetes se contagiaban de una sola forma: el virus grababa su código en lugar del de sector de inicio original del disquete. El disco duro se contagiaba de tres formas: el virus se grababa en lugar del código MBR, en lugar del sector de inicio del disco de inicio (por lo general C:) o modificaba la dirección del sector de inicio en la tabla Disc Partition Table que se encuentra en el MBR del disco duro.
Principales etapas de inicio del sistema operativo Windows
Durante la infección del disco, el virus en la mayoría de los casos reubica el sector de inicio original (o MBR) a cualquier otro sector del disco (por ejemplo, al primer sector libre).
Después los fabricantes de ordenadores empezaron a poner una protección contra la escritura del MBR, apareció Windows 95/98, los disquetes empezaron a dejar de usarse rrápidamente y durante casi 10 años los virus de inicio desaparecieron de la escena y quedaron sólo en las crónicas de días pasados.
En la siguiente versión del bootkit los autores prometieron implementar la infección del BIOS.
En resumidas cuentas, pasó lo que tenía que pasar: la antigua tecnología de contagio de los sectores boot se combinó con la moda de los rootkits. A pesar de que casi la totalidad de los antivirus modernos cuentan con la función de escaneo de los sectores de inicio de los discos, el problema de la detección de las funciones del sistema interceptadas y sustituidas sigue teniendo mucha actualidad hasta hoy y no ha sido resuelta hasta el final ni en los casos de los troyanos, sin mencionar las puertas traseras que se inician antes que el sistema operativo.
Todo esto tenía el aspecto de un detonante que podía explotar en cualquier instante. Y estalló en noviembre de 2007. Pero la explosión salió a la luz un poco más tarde, a finales de diciembre, cuando miles de usuarios (no sabemos con exactitud cuántos) sufrieron ataques de la primera realización nociva de las ideas de rootkits de inicio.
Los rootkits de inicio (boot rootkits)
Del 19 al 28 de diciembre de 2007 aparecieron en Internet varios sitios web creados con la técnica drive-by-download (infección con exploits ubicados en sitios web) que propagaban un programa nocivo. El análisis detallado de este programa mostró que estábamos ante un código capaz de infectar el MBR y los sectores del disco duro.
El programa nocivo después de llegar al ordenador modifica el MBR, escribe sus partes de rootkit en los sectores del disco, extrae de sí mismo e instala una puerta trasera en Windows para después autoeliminarse.
Esquema de funcionamiento del instalador del bootkit
La infección pone en el MBR instrucciones que transmiten el control de la parte principal del rootkit que a su vez se encuentra en varios sectores del disco duro y que no está representado en forma de fichero en el sistema. Esta parte después toma el control del sistema operativo Windows y durante la lectura (interceptando y modificando las funciones del sistema) oculta el MBR infectado y los sectores “sucios”, mostrando en lugar de éstos copias “limpias”.
Esquema de funcionamiento del sistema operativo infectado
Además de ocultar su presencia en el sistema, el código nocivo instala una puerta trasera en Windows, la que se ocupa a robar información como cuentas de acceso a una serie de sistemas bancarios.
La reconstrucción de los sucesos basada en las variantes detectadas del rootkit, el análisis de los sitios infectados y el código que se descargaba desde ellos mostró que desde principios de noviembre de 2007 los desconocidos autores habían empezado a preparar el lanzamiento del código nocivo. Justo en este periodo (finales de noviembre y mediados de diciembre) se detectaron las primeras variantes del programa nocivo, de hecho “versiones alfa” con serios errores en su código y que reflejaban la búsqueda de variantes óptimas.
Lo que se dio a luz a finales de diciembre ya podía funcionar con relativo éxito. El programa nocivo con funciones de bootkit y puerta trasera entró en nuestra clasificación como Backdoor.Win32.Sinowal, ya que muchas funciones de la puerta trasera y el uso del método de “ofuscación” del código eran idénticos a las que ya conocíamos desde hace tiempo gracias al programa-espía Trojan-PSW.Win32.Sinowal.
A pesar de todos los subterfugios y novedades implementadas, el bootkit sólo podía defenderse a sí mismo dejando al fichero de la puerta trasera al descubierto para ser detectado y eliminado. Esto evidencia que los programadores del bootkit y la puerta trasera eran diferentes personas y una serie de señales indirectas nos hacen suponer que los creadores del bootkit eran rusos. Son bien conocidos los ejemplos de cooperación entre escritores de virus, pero en este caso el resultado parecía un caballero guerrero al que le pusieron una armadura ajena, adaptada de prisa y por lo tanto, inútil.
A pesar de todo, el bootkit tiene la apariencia de una plataforma autosuficiente, que se puede agregar con facilidad a cualquier programa nocivo existente para protegerlo y camuflarlo. Esto significa que es posible que pronto se ponga en venta un bootkit similar, lo que haría que su tecnología esté al alcance de miles de “muchachos traviesos” y que podría llegar a ser una de las amenazas más propagadas, a juzgar por el ritmo actual de crecimiento del número de programas nocivos.
Problemas de la defensa contra bootkits
¿Cuáles son las dificultades concretas de la lucha contra los bootkits?
Son varios los principales problemas:
- El código nocivo recibe el control antes del inicio del sistema operativo y del programa antivirus.
- Es difícil detectar la intercepción de funciones desde dentro del sistema operativo infectado.
- El restablecimiento de las funciones interceptadas puede causar fallas en todo el sistema operativo.
- El tratamiento del MBR es posible sólo si se tiene acceso al MBR original.
Es evidente que el método más efectivo de defensa es impedir la infección del sistema, ya que el bootkit no aparece por arte de magia y tiene que llegar de alguna manera al ordenador. Algunos programas antivirus pueden prevenir que los nuevos programas nocivos todavía desconocidos infecten el ordenador. Pero todavía existe la probabilidad de evadir esta defensa y de una forma u otra tenemos que vérnoslas con la necesidad de curar un ordenador ya infectado.
Aquí existen dos posibilidades: cuando el antivirus ya existe en el sistema (y se le pueden aplicar los cuatro puntos expuestos más arriba) o cuando no había ningún antivirus en el sistema y hay que instalarlo. En el segundo caso nos vemos ante un problema más, que deriva del primer punto: el código nocivo puede impedir la instalación de un antivirus.
Los creadores de virus analizaron las técnicas que usan las compañías antivirus para resolver los problemas expuestos más arriba y en febrero de 2008 lanzaron una nueva y reforzada versión del bootkit. Como resultado, los métodos existentes para contrarrestar a los bootkits de nuevo resultaron inútiles.
Al mismo tiempo, empezó un nuevo estadio de propagación del bootkit. En varios sitios europeos atacados se encontraron enlaces con exploits que instalaban el rootkit.
Excepto Sinowal, hasta el momento todavía no se han registrado otros programas nocivos que contengan un bootkit. La confrontación entre las compañías antivirus y los escritores de virus sigue transcurriendo según el esquema clásico de “el proyectil y la armadura”: se puede eliminar hasta los más nuevos bootkits sin hacer cambios significativos en los programas antivirus.
Pero si nos adelantamos un par de pasos, nos es evidente que tarde o temprano nos encontraremos con una situación, cuando para detectar y eliminar estos programas nocivos quedará sólo una forma: pasar de la protección software a la protección hardware.
La palabra clave es ¿quién recibe el control antes? Si lo hace el virus, el antivirus será a priori inútil.
Así, los virus de nuevo han llegado al MBR. 10 años atrás resolvimos este problema con la ayuda de disquetes con antivirus. Parece que está llegando la época del regreso de las antiguas tecnologías no sólo en los programas nocivos, sino también en los antivirus.
Sigue la tormenta
A mediados de 2008 se cumplió un año desde la aparición en Internet de los primeros ejemplares de los programas que luego se denominarían Zhelatin, Nuwar y Strom Worm. Antes, la historia no conocía ejemplos de programas nocivos que se desarrollaran de forma tan dinámica y diversa.
Zhelatin fue un digno seguidor de las ideas y conceptos que antes habían implementado los gusanos Bagle y Warezov. Del primero, Zhelatin tomó su estructura modular; del segundo, la frecuencia de aparición de nuevas variantes, la renuncia al envío de las principales funciones por correo electrónico, el uso de centenares de sitios infectados y la propagación mediante Skype y IM. En adición se usaban trucos de ingeniería social, tecnologías rootkit, métodos de contraataques a las compañías antivirus y redes zombi descentralizadas. Y en menos de un año Storm Worm se convirtió en el principal problema de la seguridad informática, sobre todo por su casi mítica red zombi.
Las dimensiones exactas de la red zombi siguen siendo un misterio. En 2007 pudimos escuchar al mismo tiempo las más variadas apreciaciones sobre la cantidad de equipos infectados. Por ejemplo, en septiembre algunos expertos consideraban que la red contenía dos millones de equipos; otros presumían que la cantidad de equipos infectados iba de 250.000 a un millón, otros más estimaban que la red zombi llegaba a los 150.000 equipos. Había algunos que declararon que se trataba de 50 millones de ordenadores. La causa de semejantes divergencias es evidente: debido a que las redes zombi son descentralizadas, es imposible establecer la cantidad exacta de sus componentes. Se puede operar sólo con indicadores indirectos, que son bastante discutibles.
De una forma u otra, la red zombi existía. Pero estaba en estado pasivo. No se logró detectar ninguna actividad “clásica” de la red zombi: no se detectaron envíos masivos de spam, ni ataques DDoS. Pero esto no significa que los delincuentes informáticos no la usaran de otras formas. Se tenía la impresión de que la red no cumplía ninguna función excepto la propagación de Storm Worm (envío masivo de nuevos mensajes con enlaces a los sitios infectados e instalación en los ordenadores infectados de nuevos módulos para infectar a nueva víctimas). Y era completamente incomprensible el objetivo de su creación. ¿Era acaso una red zombi creada por amor al arte? Pero eso no podía ser. Se habían gastado muchos recursos en su creación y su manutención.
Desde octubre de 2007 los envíos masivos de Zhelatin empezaron a ser menos intensivos. Los expertos, que antes hablaban de millones de equipos infectados, ahora limitaban las dimensiones de la red zombi a 150-200 mil ordenadores. Surgieron hipótesis de que la red sería vendida en partes. Aparecieron también los primeros casos de envíos masivos de spam desde ordenadores infectados por Storm Worm. Pero no se puede aseverar que el spam se enviaba mediante la red zombi y no con la ayuda de otros programas nocivos que podrían estar presentes en los ordenadores infectados.
La respuesta a la pregunta de qué sucedía con StormWorm se conoció a finales de 2007 y principios de 2008.
En Navidad Storm Worm hizo su triunfal regreso. La red zombi empezó a enviar millones de cartas con títulos como “Encuentra cuentos de Navidad”, “Abrígate en estas Navidades” y “Papá Noel ha salido esta noche”, atrayendo a los usuarios al sitio merrychristmasdude.com, donde había exploits que usaban la tecnología drive-by-download que descargaban Storm Worm a los ordenadores de las víctimas. En realidad el sitio merrychristmasdude.com no era un solo sitio que se pudiese cerrar de inmediato para detener la epidemia. Zhelatin usaba hasta las últimas consecuencias la modificacion fast-flux de las direcciones DNS, cambiando la dirección real del sitio entre más de 1000 ordenadores preparados para este fin.
Estos ataques, con pequeñas modificaciones, se repitieron durante algunos días más, hasta el 15 de enero, cuando sucedió algo extraño. Quizá fue una broma de los autores, o de verdad se equivocaron, pero la red zombi empezó a enviar cartas con tarjetas de felicitación por el día de San Valentín un mes antes del 14 de febrero.
Tarjeta de felicitación enviada por la red zombi de Storm Worm en enero
Mensajes con títulos como “Enviada con amor”, “Nuestro amor es fuerte”, “Tu amor ha empezado”, etc. de nuevo llevaban a los usuarios a sitios fast-flux.
Los envíos de enero fueron más masivos y no sólo llamaron la atención en el primer trimestre de 2008, sino que superaron los índices de la segunda mitad de 2007. Con un par de potentes golpes los autores de Zhelatin, sin duda, hicieron que las dimensiones de su red zombi volviera al estado anterior, o quizá hasta lo superara. Los ordenadores infectados empezaron a detectarse en algunos ataques DoS y la compañía MessageLabs empezó a considerar que la red zombi de Storm Worm era la responsable del 20% del spam enviado en Internet en ese momento.
Casi al mismo tiempo, la compañía Fortinet anunció que consideraba que esta red zombi estaba involucrada en el ataque phishing a los bancos Barclays y Halifax. Si esto es cierto, es el primer caso del uso directo de la red Storm Worm para fines delictivos “clásicos”.
Al mismo tiempo que crecía la actividad de Storm Worm, una vez más se incrementaban los comentarios sobre la necesidad de arrestar y juzgar a sus autores. Pero los expertos tienen diferentes opiniones sobre el país de origen del autor de Storm Worm, que divergen aún más si se trata de dar un nombre en concreto.
En la actualidad prevalecen dos puntos de vista. Dmitry Alperovich de Secure Computing considera que el responsable del “gusano de la tormenta” es un ciudadano ruso, precisando su ubicación en San Petersburgo y haciendo paralelos con la famosa red RBN (Russian Business Network) y los autores del conjunto de exploits Mpack. Muchos otros expertos tienen la misma opinión respecto a la huella rusa del caso.
Otros consideran que Storm Worm es una creación de norteamericanos. Esta conclusión se basa en que los autores de Storm Worm muestran en sus ataques de ingeniería social un conocimiento muy profundo para un extranjero de la realidad y la sicología norteamericanas. En los envíos que hace Storm Worm se usan noticias y eventos muy específicos, que pueden despertar el interés sólo del público norteamericano. Estos pueden ser completamente desconocidos a los autores de virus de otros países, sobre todo de Rusia.
Nosotros no contamos con información que pueda confirmar ninguno de los puntos de vista. En nuestra opinión, una de las variantes más probables es la actividad de un grupo internacional con tareas muy definidas para cada miembro. Uno de ellos crea el software, otro se encarga de los envíos de spam, otro pone el gusano en los sitios infectados, otro ataca los sitios, otro es responsable de la propagación del programa nocivo a través de sistemas de mensajería instantánea y otro se encarga de crear los exploits.
Las dimensiones y los vectores en que existe y se desarrolla Storm Worm son demasiado amplios para estar al alcance de una, dos o tres personas. Si nuestras conjeturas son ciertas, entonces Storm es una ilustración ideal de la delincuencia cibernética moderna con su distribución internacional del trabajo. A decir verdad, todavía no está del todo claro cuál es la manera en que los delincuentes ganan dinero mediante Storm Worm.
Y mientras nosotros buscamos respuesta a las preguntas relacionadas con Storm Worm, los autores del gusano hicieron un nuevo envío masivo de sus mensajes. Esta vez el motivo fue el “Día de los Inocentes”, que tiene lugar el primero de abril y es una fiesta popular en EEUU, Europa y Rusia.
Pero…, ¿quién será el inocente en esta historia?
TrojanGet
Los incidentes de seguridad informática cuando el software y las compañías legales sin quererlo se convierten en transmisores de infecciones son bastante raras, pero suelen ocurrir. En las historias de los años pasados se relata sobre las distribuciones infectadas y sobre los documentos infectados que se envían a los clientes y socios.
Cada uno de estos incidentes es un gran golpe a la reputación del software o la compañía y afecta a los usuarios que cumplen las reglas básicas de seguridad informática y crea problemas a las compañías antivirus que consideran que el software legal es fiable.
El primer trimestre de 2008 escribió un nuevo capítulo en la crónica de estos hechos.
A principios de marzo los expertos de Kasperksy Lab recibieron llamadas y mensajes de los usuarios que se quejaban de un programa troyano en el directorio del popular descargador FlashGet. El análisis de la situación mostró que el problema existía y afectaba a los usuarios de este programa en todo el mundo. Los principales síntomas son la aparición en el sistema de ficheros con los nombres inapp4.exe, inapp5.exe, inapp6.exe, que Kaspersky Anti-Virus detecta como Trojan-Dropper.Win32.Agent.exo, Dropper.Win32.Agent.ezo y Trojan-Dowloader.Win32.Agent.kht.
La situación tenía una apariencia muy extraña, ya que no había ningún otro programa troyano que pudiese haber sido usado para descargar estos ficheros en el sistema. Algunos de los usuarios afectados habían instalado todos los parches para sus sistemas operativos y navegadores de Internet. ¿De qué manera los programas nocivos penetraron al ordenador?
Nos llamó la atención la ubicación de los troyanos, en el directorio mismo de FlashGet. La comprobación estableció que además de los troyanos, el fichero FGUpdate3.ini tenía una fecha de creación reciente (marcamos con azul las diferencias con el fichero original):
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031
[AddEx]
[fgres1.ini]
url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%
[inapp4.exe]
url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%
El enlace al fichero inapp4.exe, que era un troyano, llevaba al verdadero sitio de FlashGet. Y precisamente desde allí se descargaba como appA.cab.
En el sitio de FlashGet no había ninguna información sobre el incidente, pero en el foro de usuarios del programa había una gran cantidad de mensajes sobre casos de infección, mientras que los desarrolladores guardaban completo silencio.
A juzgar por la información que encontramos en la red, los primeros casos de infección se registraron el 29 de febrero. El último caso de que tenemos noticias es del 9 de marzo. Durante 10 días este software legal funcionó como un troyano-descargador, instalando y lanzando programas troyanos en los sistemas de los usuarios, programas que descargaba desde el sitio de la compañía productora.
Podría parecer que el incidente había sido superado. Cuando publicamos la información sobre el incidente, ya se había eliminado los troyanos del sitio y FGUpdate3.ini (que también se descarga de Internet) estaba en su versión original. Sin embargo, menos de dos semanas después, el 22 de marzo Steve Bass, el redactor de la popular revista PC World, descubrió en su catálogo de FlashGet el troyano Trojan-Downloader.Win32.Agent.kht. Todo parece indicar que la historia se repetía: el sitio de FlashGet y el programa una vez más habían empezado a propagar el código nocivo.
Nos parece que los modos en que FlashGet se puede convertir en un troyano-descargador son dos.
El primero es el más evidente: un ataque al sitio de la compañía. Gracias a este supuesto ataque los delincuentes pudieron reemplazar el fichero de configuración estándard por el fichero del troyano que se encuentra en la misma dirección. No sabemos por qué los hackers no usaron otro sitio, es posible que lo hubiesen hecho para camuflarse mejor (el enlace al sitio de FlashGet en el fichero de configuración no despierta sospechas).
Nosotros decidimos comprobar si se puede usar este truco para descargar otros ficheros desde cualquier otro sitio. La respuesta es sí. Basta con agregar al fichero FGUpdate3.ini un enlace a cualquier objeto y éste se descargará y ejecutará de forma automática cada vez que se inicie FlashGet. Incluso si usted no pulsa el botón “Actualizar”, FlashGet usa por sí mismo la información del fichero .ini.
Esta “vulnerabilidad” existe en todas las versiones de FlashGet 1.9.xx. Esto significa que a pesar de que en este momento el problema con el ataque a FlashGet ha sido resuelto, la vulnerabilidad en el sistema de seguridad de los usuarios permanece intacta. Cualquier programa troyano puede modificar el fichero .ini local de FlashGet, obligándolo a actuar como troyano-descargador. Y este es el segundo método de los dos que mencionamos más arriba.
¿Tenemos acaso que decir que FlashGet cuenta con la confianza de los usuarios, que lo consideran una aplicación fiable a la que se le permite cualquier actividad de red y acceso a cualquier sitio web?
Hasta el momento la compañía china que fabrica FlashGet no ha hecho ninguna declaración oficial. Los verdaderos motivos de lo ocurrido siguen sin conocerse y no hay ninguna garantía de que no vuelva a suceder.
Saque usted sus propias conclusiones…
Las compañías antivirus se reservan el derecho de tomar una decisión sobre el potencial peligro que representa FlashGet y empezar a clasificarlo como Riskware. Y tienen razones más que suficientes para hacerlo.
Gusanos sociales
En nuestro informe anual ya hemos escrito sobre las amenazas para los usuarios de redes sociales. Según nuestros pronósticos, en 2008 los usuarios de las redes sociales se convertirán en el blanco principal del phishing. Los datos de las cuentas de los usuarios de servicios como Facebook, MySpaces, Livejourna, Blogger y similares tendrán una gran demanda entre los delincuentes. Esto se convertirá en una peligrosa alternativa al método de colocar programas nocivos en los sitios atacados. En 2008 una gran cantidad de programas troyanos se propagarán justo mediante las cuentas de los usuarios de redes sociales, sus blogs y perfiles.
Febrero de 2008 mostró la exactitud de estas expectativas. Una vez más la popular red Orkut perteneciente a Google fue el objetivo del ataque.
Orkut se ha granjeado una inmensa popularidad en varios países del mundo, sobre todo en Brasil e India. Según la información del servicio Alexa.com, en el presente más del 67% de las conexiones a Orkut se realiza desde Brasil y más del 15% desde la India.
Desde hace unos años Brasil se considera uno de los países más “virales” del mundo. Los creadores brasileños de virus son famosos por haber escrito miles de diversos programas troyanos destinados al robo de cuentas de sistemas bancarios. Las familias de troyanos como Bancos, Banpaes y Banload están conformadas por casi un 100% de troyanos creados en América del Sur.
En Brasilia es muy popular el sistema de acceso a cuentas bancarias por Internet. En Brasilia es muy popular el Orkut. En Brasil hay muchos, pero muchos creadores de virus. Estos tres factores pueden llevar solo a una cosa: la aparición de un gusano que se difunda mediante Orkut y que robe las cuentas de acceso a los sistemas bancarios.
La lista de programas nocivos para Orkut es, quizá, la más amplia entre todas las redes sociales. En 2006 y 2007 en esta red ocurrieron epidemias virales, en 2005-2007 Orkut fue víctima de ataques de hackers y se detectaron muchas vulnerabilidades. El último incidente que causó gran resonancia fue la aparición de un gusano-script en diciembre de 2007, que infectó a unos 700.000 usuarios.
Después de dos meses, en febrero de 2008, tuvo lugar una nueva epidemia. Esta vez los hackers decidieron no martirizarse buscando vulnerabilidades XSS en Orkut. El esquema de funcionamiento del nuevo gusano era bastante simple:
- El usuario recibe de uno de sus contactos un mensaje con una imagen pornográfica en flash.
- Al pulsarla, se remite al usuario a un sitio nocivo.
- Se le propone al usuario instalar un reproductor de flash, que en realidad es un programa troyano.
- Una vez instalado, el troyano descarga desde Internet una serie de componentes y los instala en el ordenador.
- La cuenta del usuario se usa para crear nuevos mensajes similares al descrito en el punto 1.
- El módulo nocivo hace un seguimiento de las conexiones del usuario al sitio de Orkut.
- Los demás componentes modulares se encargan de capturar la información que el usuario escribe en el teclado cuando se conecta a los sitios de los bancos.
No es posible establecer cuantas víctimas generó este ataque, pero nuestros colegas de Symantec dicen que fueron por lo menos 13.000 usuarios.
Este incidente muestra una vez más lo vulnerables que pueden ser los usuarios de las redes sociales. Los principales factores que garantizan el interés de los usuarios y los hackers hacia los servicios Web 2.0 son:
- La migración de los datos de los usuarios desde el ordenador personal a Internet.
- El uso de una sola cuenta para conectarse a varios servicios.
- La información detallada sobre el usuario
- La información sobre sus relaciones, contactos y amigos
- Un lugar para publicar cualquier cosa
- Las relaciones de confianza entre los contactos
El problema es bastante serio porque en este momento ya tiene todas las probabilidades de convertirse en el principal problema de la seguridad informática. Nosotros volveremos a tratar este tema muy pronto en un artículo especial.
Noticias móviles
Las noticias del mundo de los virus para dispositivos móviles han sido muchas en el primer trimestre de 2008. Es evidente que continúa el progreso en el desarrollo de las tecnologías y el incremento del número de participantes en este progreso, tanto entre los autores de virus, como entre las compañías antivirus.
Los nuevos programas nocivos se han distribuido por igual entre los cuatro principales blancos de las amenazas móviles: OS Symbian, Windows Mobile, J2ME y iPhone.
Symbian
En lo relativo a Symbian, hay un nuevo virus de una nueva familia independiente. Hasta ahora sabíamos de la existencia de dos fundadores de este grupo, el gusano Cabir, que se propaga por Bluetooth, el gusano ComWar, que se propaga por MMS y sus diferentes modificaciones.
A finales de diciembre apareció en las bases antivirus algo que parecía un clon de ComWar, variante .y. Pero su aparición en noviembre en el tráfico de telefonía celular de uno de los operadores más importantes nos obligó a estudiar con más profundidad el nuevo espécimen.
El análisis realizado por nuestro socio, la compañía finlandesa F-Secure mostró que en realidad es una familia completamente nueva, que no tiene raíces comunes con el ComWar creado tres años atrás en Rusia.
El principio de funcionamiento del gusano, clasificado como Worm.SymbOS.Beselo.a (poco más tarde se detectó una variante más, Beselo.b) es muy parecido a ComWar y es un esquema clásico usado por los gusanos de este tipo. Su propagación se realiza a través del envío masivo de ficheros SIS infectados por MMS y Bluetooth. Después de iniciarse en el equipo atacado, el gusano empieza a enviarse a sí mismo a los números de la libreta del smartphone, así como a todos los dispositivos que se encuentren en el radio de cobertura de Bluetooth.
La noticia en sí es la aparición de una nueva familia activa de gusanos móviles (y de un autor activo de virus) y la presencia de este gusano fuera de laboratorio. No se excluye que las nuevas modificaciones de Beselo puedan conducir a serias epidemias locales, como sucedió en primavera del año pasado en Valencia, cuando 115.000 usuarios de smartphones resultaron víctimas de una modificación española del gusano ComWar.
Windows Mobile
La aparición de un programa nocivo para Windows Mobile, que hasta ahora no había merecido suficiente atención de los creadores de virus es ya un hecho digno de mención. Sin embargo la detección en febrero del troyano InfoJack.a reviste interés por una serie de razones.
InfoJack.a:
- ataca Windows Mobile;
- ha sido detectado fuera de laboratorio, en condiciones reales;
- se propaga en China;
- se dedica al robo de información.
Este es el primer código nocivo para Windows Mobile en toda la historia que ha aparecido en libertad y causado muchas infecciones. Su foco de infección estaba en uno de los sitios chinos de software legal. El troyano fue agregado a las distribuciones de productos móviles, como el cliente para Google Maps y diferentes juegos. El usuario del sitio desde donde se propagaba el troyano declaró que no perseguía ningún objetivo criminal, sino que quería reunir información sobre sus visitantes para mejorar sus servicios y analizar el mercado de aplicaciones móviles.
Al penetrar en el sistema, el troyano trata de deshabilitar la protección contra la instalación de aplicaciones sin la firma digital puesta por el fabricante. Después de que el Smartphone infectado se conecta a Internet, InfoJack empieza a enviar a su sitio web la información personal almacenada en el teléfono: su número de serie, información sobre el sistema operativo y las aplicaciones instaladas. Al mismo tiempo puede descargar al teléfono ficheros adicionales e instalarlos (sin notificar al usuario, ya que la protección contra las aplicaciones sin firma está deshabilitada).
Después de varios días la actividad del sitio cesó, quizá por la investigación que llevó a cabo la policía china.
En este informe ya hemos escrito sobre lo que pasa cuando los autores de virus ponen bajo su mira los servicios populares (ataques a Orkut en Brasil). China es el líder indiscutible por la cantidad de programas nocivos creados en su territorio: en este momento más del 50% de los nuevos programas nocivos descritos en nuestras bases antivirus son de origen chino. Hasta ahora los principales objetivos de los hackers chinos eran los usuarios de los juegos en línea. Pero el caso de InfoJack muestra que en China existe la posibilidad de organizar epidemias masivas con virus móviles.
China se convirtió en el primer país afectado por un troyano para Windows Mobile. Es posible que el autor de InfoJack en realidad no haya perseguido fines criminales, pero ha marcado el inicio y su ejemplo podría ser contagioso para miles de hackers chinos que ahora se dedican a crear virus para ordenadores personales.
J2ME
En el primer semestre de 2008 los troyanos para J2ME (que funcionan en casi cualquier teléfono celular moderno y no sólo en los smartphones) han aparecido con una regularidad alarmante. En enero descubrimos Smarm.b; en febrero, Smarm.c y Swapi.a y en marzo SMSFree.d.
Todos fueron detectados en Rusia y usan el mismo método de lucro: enviar SMS a números de pago platinum. (La investigación del incidente con el troyano SMS Viver que realizamos el año pasado mostró que en sólo tres días el autor del troyano pudo ganar unos 500 dólares americanos). A pesar de todos los incidentes, los proveedores rusos de telefonía continúan ofreciendo un alto nivel de anonimato a todos los clientes que registran números Premium, lo que lleva a que los creadores de virus sigan impunes. La aparición de nuevas variantes de programas nocivos y la falta de arrestos de sus autores son una confirmación de lo dicho.
Además de los troyanos para J2ME mencionados, el envío masivo de SMS de pago también lo realizan dos programas nocivos escritos en el idioma Python y que afectan a smartphones: Flocker.d y Flocker.e, detectados en enero de 2008.
El método de propagación de estas amenazas es idéntico al de InfoJack, es decir, mediante sitios populares donde hay software para teléfonos celulares. Los troyanos se hacen pasar por utilidades o se incluyen en los mismos.
iPhone
Terminaremos nuestro resumen de amenazas móviles con la información sobre un evento largamente esperado: en marzo salió a la luz el SDK para iPhone.
Hace un tiempo suponíamos que la publicación del SDK conduciría a la aparición de muchos programas nocivos para iPhone. Pero las posibilidades del SDK publicado por Apple son muy limitadas.
Apple ha seguido la senda de Symbian. El modelo de creación y difusión de programas para iPhone se basa en la idea de aplicaciones “firmadas”. La principal limitación se formula en el contrato de uso del SDK de iPhone: “En la aplicación creada no podrá ejecutarse el código descargado si no se integra con el API publicado por Apple y el intérprete incorporado. La aplicación no podrá instalar o ejecutar otro código ejecutable, ni usar una arquitectura con complementos (plug-in), hacer llamadas a interfaces ajenos y otros subsistemas similares”.
Estas limitaciones no sólo complican la vida a los escritores de virus, sino que de hecho prohíben aplicaciones como Firefox, Opera, muchos juegos, clientes IM y una gran cantidad de software útil que podría gozar de popularidad en iPhone y expandir las posibilidades de utilización del mismo.
En los primeros cuatro días, el SDK fue descargado más de 100.000 veces. Podría parecer que semejante cantidad de potenciales programadores de aplicaciones tendría una repercusión proporcional en la cantidad de nuevas aplicaciones creadas con la ayuda del nuevo SDK. Sin embargo, esto no sucede.
Apple ha cumplido formalmente con su promesa de publicar el SDK, pero por el momento no se entiende cómo este paso puede influir en el desarrollo de software legal para el teléfono… es que las limitaciones son demasiado serias y demasiadas funciones del SDK siguen sin revelarse.
La segunda limitación importante es que sólo se podrán publicar y difundir las aplicaciones en la tienda electrónica de Apple. Y aquí se han puesto muchas barreras, desde la limitación del número de “vendedores” permitidos hasta restricciones territoriales (sólo para programadores de los EEUU).
En estas condiciones es evidente que seguimos en una situación que hace imposible publicar un antivirus para iPhone. Y este problema no es de carácter técnico.
Todo esto sucede mientras continúan los ataques a iPhone. Se supone que la cantidad de teléfonos “violados” va del 25 al 50% de todos los vendidos, y todos estos dispositivos están bajo el riesgo potencial de infectarse con cualquier programa nocivo para iPhone, ya que los usuarios descargan programas de decenas de diferentes repositorios no oficiales. Este proceso no se controla de ninguna manera, estos usuarios no cuentan con el soporte técnico oficial y nosotros tampoco podemos ofrecerles defensa antivirus.
En el futuro la cantidad de estos usuarios será igual a la de smartphones con Symbian en 2004, cuando apareció Cabir.
Conclusiones
Los resultados del primer trimestre de 2008 muestran que el periodo de tranquilidad tecnológica en el frente de la guerra viral está llegando al final.
El año pasado constatamos el trabajo típico de una factoría nociva que generaba programas primitivos y muy parecidos, pero en gran cantidad, sin ningún intento de salir del marco de las tecnologías virales existentes. Esto se explicaba por la actual especialización de los autores de virus. En ese periodo incluso los métodos antiguos y bien conocidos usados en cantidades industriales eran lucrativos.
Ahora hay claros indicios de que la tendencia está cambiando. Un ejemplo es la aparición del primer bootkit nocivo. Además, con cada vez más frecuencia se usan diferentes métodos de infección de ficheros, que incluyen el uso de complejas tecnologías polimórficas. También hay que destacar que los autores de virus han empezado a emular algunas tecnologías antivirus. Por ejemplo, ya se han detectado programas nocivos que para luchar contra los antivirus (eliminarlos o bloquear su instalación) contienen funciones de detección de firmas de antivirus en el ordenador. Antes, los autores de virus se limitaban a buscar estos ficheros por sus nombres.
En el presente se están reapreciando las antiguas tecnologías y su realización en un nuevo nivel. En la lucha “virus contra antivirus” se empieza a dilucidar el paso del software al hardware.
Los acontecimientos del primer trimestre no pueden considerarse una tendencia absoluta, pero los problemas que plantean podrían ejercer una fuerte influencia en toda la industria de la seguridad informática en el futuro más próximo.
Las amenazas informáticas contemporáneas, primer trimestre de 2008