Informes sobre malware

Las amenazas informáticas contemporáneas, segundo trimestre de 2006

“Las guerras invisibles”

El segundo semestre de 2006 aparenta ser uno de los más tranquilos de estos últimos años. La ausencia casi completa de epidemias notables de gusanos de correo y red coincidió con el lanzamiento de versiones beta y nuevas versiones de productos de nueva generación de la mayoría de las compañías antivirus. Los creadores de virus hicieron una pausa y la aprovecharon para desarrollar nuevos métodos de combate contra los programas antivirus, por lo que las “operaciones de guerra” tuvieron lugar, en el campo del enfrentamiento tecnológico, fuera de la vista de los usuarios,. Pero, de vez en cuando el eco de estas guerras invisibles resonaba en las páginas de los diarios y los sitios web. Trataremos de relatar con más detalle los sucesos que quedaron ocultos y también de los que atrajeron la atención de los usuarios y de los productores de antivirus.

1. Vulnerabilidades múltiples en los productos MS Office

Recordemos que en los últimos tres años se descubrió una enorme cantidad de vulnerabilidades críticas en el sistema operativo Windows. Términos tales como RPC-DCOM, LSASS y WINS, PnP se convirtieron, de simples expresiones usadas por los administradores de sistemas y programadores, en un dolor de cabeza para los analistas de las compañías antivirus y una verdadera pesadilla para los usuarios. Las lagunas en las aplicaciones de red de Windows, de dimensiones similares al Malmstrom de Poe, dejaron a decenas y cientos de millones de equipos vulnerables con las puertas abiertas a los autores de virus. Gracias a estas vulnerabilidades cobraron vida gusanos como Lovesan, Sasser y Mytob, que hicieron época, sin mencionar a cientos de otros gusanos menos conocidos por el público en general, pero no menos peligrosos.

Poco a poco, cerca del otoño de 2005, la compañía Microsoft logró reducir esta ola de vulnerabilidades, sobre todo gracias al Service Pack 2 para Windows XP. Entonces, los hackers empezaron a prestar menos atención a los módulos principales de Windows y a concentrarse en los módulos secundarios. Su mayor éxito lo alcanzaron en diciembre de 2005, cuando descubrieron y utilizaron una vulnerabilidad en el procesamiento de los archivos WMF. Otro sector de la comunidad hacker se ocupó de buscar puntos débiles en los antivirus y en los equipos de red. Pero, al terminar la primavera y empezar el verano de 2006 pusieron en la mira el segundo producto de Microsoft (que es el que más dividendos le produce): el paquete MS Office.

Hace tiempo que el modelo de trabajo con los archivos OLE aplicado en MS Office ocupaba la atención de los expertos en seguridad informática. Este formato, a pesar de que está bastante documentado, hasta ahora sigue siendo algo parecido a una “caja negra” con varias subdivisiones. La excesiva cantidad de sectores de importancia crítica y la complicadísima estructura de los objetos OLE ya había conducido a la aparición de una peligrosa vulnerabilidad en los documentos MS Office (MS03-037), que permitía ejecutar un código aleatorio durante la apertura de un documento diseñado de una forma especial. Los hackers chinos usaron esta vulnerabilidad durante largo tiempo para realizar sus ataques. Todo parece indicar que fueron precisamente estos grupos los causantes de los sucesos de marzo de 2006.

La vulnerabilidad MS06-012 afectó a todos los productos del paquete MS Office a partir de la versión 2000. Esta fue la primera señal que fue escuchada no sólo por Microsoft sino también por muchos hackers. El formato de los documentos OLE se convirtió en seguida en objeto de cuidadosas investigaciones. Es lamentable que los hackers hayan sido más escrupulosos en el análisis que Microsoft. Las vulnerabilidades descubiertas en los últimos tres meses tenían muy pocas diferencias entre sí, ya que estaban basadas en los errores de ciertos datos de la descripción OLE. Microsoft se limitaba a publicar soluciones paliativas, y por alguna razón no se tomaba el trabajo de revisar los campos adyacentes de los archivos. Por eso, cada vez, al día siguiente de la aparición de los parches, teníamos noticias de nuevas vulnerabilidades.


Nos parece divertido que la aparición de todos estos problemas con Office y sobre todo con MS Excel, fue casi simultánea al lanzamiento del programa de tablas electrónicas de Google, que representa una competencia directa a Excel.

Esta es la cronología de las vulnerabilidades de Microsoft (según los datos de US-CERT):

03/14/2006 Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código.


03/14/2006 Microsoft Excel malformed record memory corruption vulnerability.


03/14/2006 Microsoft Excel fails to properly perform range validation when parsing document files.


03/14/2006 Microsoft Excel malformed graphic memory corruption vulnerability.


03/14/2006 Microsoft Excel malformed description memory corruption vulnerability.


03/14/2006 Microsoft Excel malformed parsing format file memory corruption vulnerability.


05/19/2006 Microsoft Word object pointer memory corruption vulnerability.


06/13/2006 Microsoft PowerPoint malformed record vulnerability.


06/16/2006 Microsoft Excel vulnerability.

La vulnerabilidad del 19 de mayo se convirtió en la principal amenaza. La comunidad informática supo de su existencia sólo después de que se descubrió un envío masivo de un troyano que utilizaba esta vulnerabilidad. Ese fue otro de los casos en que los creadores de virus utilizaron una vulnerabilidad que sólo ellos conocían: fenómeno conocido como “exploit del mismo día”. Estas vulnerabilidades son las más peligrosas, porque el fabricante de software necesita tiempo para analizar el problema y publicar la solución, mientras el código dañino se sigue expandiendo en Internet.

Microsoft tardó casi un mes en publicar los parches MS06-027 (Ejecución remota de código en Word) y MS06-028 (Ejecución remota de código en Powerpoint). Por supuesto, ya nos hemos acostumbrado a que Microsoft de manera ritual-paranoica publique sus actualizaciones el “segundo martes de cada mes”, cosa que podría considerarse justificada si no fuera porque dos días después de la publicación del martes 13 de junio se encontró una vulnerabilidad casi idéntica en MS Excel. No nos explicamos cómo durante la preparación del parche no se haya verificado la posible existencia de un problema análogo en Excel. Pero todavía hay más. La última decena de junio nos trajo otras dos vulnerabilidades de MS Office: “Una vulnerabilidad en la biblioteca de objetos de vínculos podría permitir la ejecución remota de código” y “Una vulnerabilidad en Microsoft JScript podría permitir la ejecución remota de código”.

El análisis de la mayor parte de las vulnerabilidades, llevado a cabo por los expertos de Kaspersky Lab, nos muestra que su causa es un sólo problema. La compañía Microsoft no debería limitarse a publicar parches para cada nueva vulnerabilidad encontrada: debe analizar todos los campos de la estructura de los objetos OLE, que son más de cien.

El que casi todas estas vulnerabilidades las hayan encontrado antes los representantes de la comunidad de hackers “de sombrero negro” y las hayan utilizado para difundir programas maliciosos, hace que la situación sea todavía más crítica. Los escritores de virus ahora están un paso más adelante y en cualquier momento pueden poner en circulación nuevos programas peligrosos.

Hacemos un llamado a todos los usuarios y los administradores de sistemas para que refuercen las medidas de seguridad en lo referente a los documentos MS Office: recomendamos, en todos los casos, si hay que abrir archivos provenientes de fuentes dudosas y de forma obligatoria analizarlos con un buen antivirus. Desde luego, es imprescindible instalar los parches de Microsoft tan pronto como sean publicados.

2. Los “secuestradores de códigos”: la lucha contra el RamsonWare

Hace tiempo que le prestamos gran atención a este tema. En casi la totalidad de nuestros informes trimestrales hemos dedicado espacio a los nuevos notables representantes de esta nueva clase de programas maliciosos: Ransomware. Los virus chantajistas, encabezados por el tristemente conocido GpCode, aparecieron por primera vez en la escena a finales de 2004, tuvieron un activo desarrollo durante todo el 2005 y, en este año, alcanzaron la cima de su actividad.

Si bien al principio los autores de estos virus se limitaban a usar primitivos algoritmos de cifrado (GpCode) o a corromper el registro del sistema (Krotten), a fin de cuentas empezaron a utilizar los métodos de cifrado más complejos (RSA) y la técnica de “encerrar” los datos en archivos defendidos con contraseñas.

Ya hemos relatado sobre el troyano Cryzip que atacó a los usuarios norteamericanos comprimiendo sus ficheros en archivos ZIP con contraseñas de más de 30 caracteres. En mayo de 2006 una idea similar fue realizada en Gran Bretaña. El troyano MayArchive funcionaba de la misma forma y muchos expertos antivirus se inclinan a considerar que es una nueva versión de Cryzip. En su conjunto, los troyanos-archivadores siguen siendo una amenaza para los usuarios del mundo occidental. En Rusia es mucha más difundida la técnica de cifrar los archivos.

El algoritmo de cifrado RSA se usó por primera vez en enero de 2006 en el virus GpCode.ac. Su autor se limitó a usar una llave de 56 bits, que las compañías antivirus no tardaron en descifrar para recuperar los archivos afectados.


La rapidez con la que se logró encontrar la llave de descifrado hizo que el autor del virus decidiera usar el camino más fácil. En junio, una epidemia causada por un nuevo virus atacó el sector ruso de Internet. Esta vez el virus usó una llave mucho más larga, de 260 bits. No obstante, nuestros expertos mostraron su pericia una vez más, ya que lograron descifrar la clave en menos de cinco minutos. Y empezó una verdadera “carrera armamentista”: a ver quién es más perseverante, quién tiene procesadores más potentes y conocimientos más profundos en criptografía, en una palabra, quién es más fuerte que su adversario. Pero si bien el autor de GpCode tenía la posibilidad de rendirse, las compañías antivirus no contemplaban esa salida, ya que tenían que proteger a los usuarios afectados. Al ser descifrada la llave de 260 bits, los autores de virus respondieron lanzando una nueva versión del virus con una llave de 330 bits. La cosa empezó a ponerse seria. Algunas de las compañías antivirus abandonaron la lucha en este punto. Pero Kaspersky Lab pudo descifrar la llave en menos de 24 horas. El autor de GpCode aceptó el desafío. El 7 de junio de 2006 el virus GpCode.ag empezó a propagarse en Rusia desde un sitio web. Esta vez usaba la mayor llave jamás descifrada en toda la historia: 660 bits. Según los cálculos más aproximados, se necesitarían más de 30 años en un ordenador con procesador de 2.2 Ghz para descifrar esta llave. Pero tuvimos una suerte fantástica. Los procedimientos para descifrar los archivos cifrados con la llave RSA-660 se añadieron a nuestras bases antivirus ese mismo día. No podemos revelar los detalles, pero usted puede estar seguro de que fue la más sorprendente resolución de un problema de cifrado en toda la historia de la virología informática.


Al mismo tiempo, hicimos todo lo posible para cerrar el sitio web infectado por el virus GpCode, y al día siguiente dejó de funcionar. Durante la redacción de este artículo no hemos tenido noticias de nuevas variantes de este virus, pero no se puede excluir la aparición en cualquier momento de otro GpCode con una llave de cifrado aún más larga.

El esquema de propagación de este virus es muy interesante. Se usó una de las formas más sutiles: un ataque dirigido a los usuarios de uno de los sitios web más populares de Rusia, visitado por las personas que buscan trabajo. El virus envió a todos los usuarios una supuesta carta de respuesta, que contenía un troyano. Este fue el factor que determinó el alto porcentaje de infecciones entre los destinatarios de las cartas.

Esta es una verdadera novela policial que todavía no ha llegado a su final. Kasperky Lab publicó un artículo especial sobre GpCode, titulado “El chantajista”, que usted puede leer en nuestro sitio web.

Tratemos de mirar hacia el futuro e imaginar lo que nos espera con el desarrollo del cifrado asimétrico de los programas maliciosos. A pesar de que pudimos descifrar las llaves de 330 y 660 bits en un plazo aceptable, está claro que estas llaves son el límite de la criptografía moderna. Una buena realización del algoritmo RSA o de cualquier otro de llave abierta puede ser irresoluble para las compañías antivirus e incluso para muchos centros informáticos que cuentan con superordenadores. En nuestra opinión, la única forma de protegerse es tomar medidas preventivas: hacer copias de seguridad de todos los documentos, bases de datos y bases postales utilizadas. Las compañías antivirus deben reforzar el desarrollo de métodos proactivos destinados a evitar el cifrado y compresión de los datos de los usuarios.

Los autores de GpCode, Cryzip y Krotten continúan en libertad, y aunque se está tomando medidas para su captura, no se puede excluir la posibilidad de que, en caso de ser arrestados, no aparezcan otros delincuentes para reemplazarlos. Por esta razón, el tema de RamsomWare seguirá siendo uno de los principales problemas de la industria antivirus en el futuro inmediato.

3. El polimorfismo de los scripts

El término “polimorfismo” (del griego polis, varias formas) apareció en el lenguaje informático hace mucho tiempo, en el año 1990. Desde entonces el polimorfismo viral atravesó varias etapas en su desarrollo: desde el simple cifrado xor, hasta las complicadísimas metamorfosis que usaban intrincados algoritmos, incluidos los criptográficos. Se ha escrito numerosos artículos y tesis científicas sobre el polimorfismo. Los virus polimórficos se desarrollaron de forma activa hasta los principios del siglo XXI. No obstante, poco después, la tendencia cambió radicalmente hacia la escritura de gusanos y troyanos.


La tecnología de la constante mutación del código para dificultar ser detectados por los antivirus fue abandonada por cierto periodo.

Pero desde principios de 2003, el polimorfismo de nuevo empieza a atraer la atención de la comunidad de los autores de virus. La razón fue que los antivirus se volvían cada vez más perfectos, y ya no se podía usar diferentes programas de compresión para camuflar el código malicioso: la técnica preferida de los autores de virus en ese momento. Por eso, se extrajeron de los polvorientos anaqueles las obras de los “clásicos” del polimorfismo viral: DarkAvenger, Black Baron y Zombie. Se los sometió a una inspección que consideraba los nuevos conocimientos y capacidades de procesamiento y, poco a poco, en Internet empezaron a aparecer unos pocos polimorfos de nueva generación.

El polimorfismo, la “polución del código” y la oposición a los programas de análisis fueron los problemas que tuvieron que enfrentar los analistas de los laboratorios antivirus estos últimos años. A finales de 2005 y principios de 2006, el polimorfismo alcanzó un área antes considerada “exótica”: los gusanos-virus de script.

Si bien las compañías antivirus, para la lucha contra los polimorfos binarios habían creado diferentes emuladores de código y analizadores heurísticos, no había habido necesidad de crear medios similares para contrarrestar a los programas malignos basados en scripts. En los idiomas de script se escribieron sólo unos cuantos exploits de vulnerabilidades en los navegadores y un par de descargadores troyanos basados en éstas. Los virus de script alcanzaron la cima de su popularidad a finales del siglo pasado, con el gusano LoveLetter.


Se podría decir que uno de los investigadores más activos de las posibilidades del polimorfismo en los scripts fue un escolar austriaco conocido bajo el seudónimo de Spth. Fue capaz de realizar un algoritmo polimórfico muy interesante en el virus para JavaScript Cassa. Sin embargo, no sólo los delincuentes se habían ocupado de este problema. Este tema resultó ser de mucho interés y utilidad para los diseñadores de sitios web, que de esta forma pretendían evitar el robo del código de sus sitios.


Aparecieron varios programas que permitían cifrar el contenido de las páginas html. Estos programas se basaban en las funciones de Java Script, que descifraban de una forma transparente el contenido de las páginas web y lo mostraban correctamente en los navegadores.

De hecho, estos programas, en manos de los creadores de virus se convirtieron en verdaderas herramientas de construcción de virus, cuyo uso no requería de grandes conocimientos de la teoría del polimorfismo. Aparecieron en la escena los “script-kiddies”, autores de virus inexpertos que pretendían ser hackers. Al empezar a cifrar los exploits y troyanos, lograron que las compañías antivirus empiecen a tomarles en serio.


Esta tarea se complicó por el hecho de que los métodos tradicionales de emulación del código no se podían aplicar, ya que era necesario analizar las páginas web mientras se cargaban en el navegador, y cualquier ralentización de su funcionamiento podría hacer que los usuarios se quejaran de “la lentitud de Internet”.

Lamentablemente, algunos autores de programas de cifrado de páginas web fueron más adelante y abrieron todo el código de sus programas, dando la posibilidad de perfeccionar poderosos algoritmos polimórficos (p. ej. HTML Guard) a cualquiera que lo desease.


Todos estos factores provocaron que en el primer semestre de 2006 nos encontremos con varios peligrosos gusanos postales que alcanzaron gran difusión: Feebs y Scano.

Ambos gusanos se propagan vía correo electrónico como datos adjuntos, que en realidad son archivos JavaScript cifrados. En sí, es una página html común, lo que burla la atención de los usuarios, acostumbrados a que los virus lleguen en forma de archivos ejecutables o como documentos de MS Office. La mayor parte de los usuarios siguen considerando que las páginas HTML no contienen códigos peligrosos.


Al abrir estas páginas, se ejecuta un código polimórfico que instala en el sistema un archivo ejecutable, que es el cuerpo del gusano. A continuación, entre otras cosas, empieza a generar nuevas copias del archivo JavaScript, y cada nueva copia es tan diferente de las demás, que no se puede encontrar ni un sólo fragmento de código repetido. Este es el primer resultado del trabajo del generador polimórfico del gusano. Acto seguido, los archivos se empiezan a enviar desde el ordenador infectado a todas las direcciones de correo encontradas y el ciclo se repite. Para complicar la labor de los laboratorios antivirus, los autores de estos gusanos publican nuevas variantes cada dos o tres días.

¿Qué tenemos a fin de cuentas? Pues una antigua tecnología adaptada a las nuevas condiciones. También observamos ciertos indicios de ingeniería social, ya que los usuarios no toman en cuenta la peligrosidad de las páginas html comunes y corrientes que, en realidad, contienen un código de script. Tenemos también ciertos problemas con la creación de métodos fiables para detectar estos virus, ya que es necesario un funcionamiento rápido y hay una gran cantidad de “falsos positivos” durante el análisis de páginas cifradas pero inofensivas.

Todo lo expuesto nos hace sacar la conclusión de que, a pesar del activo desarrollo de las nuevas tecnologías virales y antivirus, siguen vigentes los métodos clásicos. Lamentablemente, en la industria antivirus moderna no sólo hay compañías veteranas, sino un gran masa de proyectos recientes que no tienen gran experiencia en la lucha contra las amenazas “antiguas”. Asimismo, las tecnologías de moda, como las de análisis en tiempo real del tráfico http, son del todo inútiles contra los virus polimórficos.

4. Conceptos

En la actualidad, la creatividad de los autores de virus está en cierta forma estancada. Como ya lo hemos mencionado, los creadores de virus se ven obligados a recurrir a tecnologías antiguas, casi olvidadas. Los temas candentes de los últimos años, los rootkits, botnets y las vulnerabilidades de los productos de Microsoft, hoy han sido desplazados de los primeros lugares. Los creadores de virus se han concentrado en buscar nuevas posibilidades de contagiar mayores cantidades de usuarios. En primer lugar están las ideas conceptuales que quizá no obtengan una amplia realización en el futuro, pero que de una forma u otra hacen que las compañías antivirus preparen una respuesta adecuada.

2006 ya se perfila como uno de los años más fructíferos en nuevos conceptos de toda la historia de los virus informáticos. En el primer trimestre tuvimos el gusto de conocer al primer troyano para la plataforma J2ME, que funciona en casi todos los teléfonos celulares de todo el mundo; vimos el primer virus “verdadero” para el sistema operativo Mac OS X y luego el primer gusano Bluetooth para la misma plataforma. Los investigadores de la Universidad de Michigan, auspiciados por Microsoft, expusieron la idea del rootkit SubVirt, fundamentado en las tecnologías de los “equipos virtuales”. En el anterior informe trimestral ya lo habíamos mencionado.


Estas actividades también se explican porque las fuerzas de seguridad de varios países habían desmantelado la conocida banda de creadores de virus 29A que, durante los últimos años, había sido el principal grupo de ideólogos, pionero de estas tecnologías. El lugar vacante no tardó en ser ocupado por nuevas personas que aspiraban a grabar su nombre en la historia de los virus informáticos.

Los autores de virus no se detuvieron durante los tres meses pasados. Le relataremos sobre los fenómenos completamente nuevos a continuación.

Empezaremos por el primer virus para el producto de Microsoft denominado MS Publisher. Este programa es una de los más antiguos de Microsoft y está destinado al negocio editorial. Gozó de gran popularidad en los años 90 del siglo pasado, pero, poco a poco, fue cediendo posiciones a la competencia. No obstante, el proyecto sigue existiendo, desarrollándose, y con cierta regularidad aparecen nuevas versiones. Hasta el momento no representaba ningún interés para los autores de virus, pero el afán de figuración les obligó a prestarle atención. Lo más probable es que lo hayan hecho sólo por cumplir el compromiso de crear por lo menos un virus para cada programa de Microsoft.


También se distinguió una muchacha ucraniana conocida bajo el seudónimo de Pativara. En abril de 2006 envió a Kaspersky Lab su virus para MS Publisher 3.0, que recibió el nombre de Avarta (https://threats.kaspersky.com/mx/threat/Virus.MSPublisher.Avarta/).


Pero debido a la tosquedad de su método de propagación y sus demasiado evidentes funciones destructivas, Avarta no tiene ninguna posibilidad de salir al gran mundo. Tres o cuatro años atrás hubiera sido un ejemplar muy interesante de nuevas tecnologías virales. Pero ahora que los virus macro se han extinguido casi del todo, la aparición de Avarta es la demostración de una posibilidad que nunca se convertirá en amenaza.

La posible existencia de virus capaces de reproducirse en varios sistemas operativos al mismo tiempo, por ejemplo en Windows y Linux, siempre llamó la atención. Hace bastante tiempo que se llevan a cabo esfuerzos en esta dirección, y en abril apareció un ejemplo de este tipo de virus. Bi.a puede infectar archivos en el directorio donde se encuentre, determinando el sistema operativo y, en consecuencia, usando el método de infección correspondiente.


Nuestro informe sobre la detección de este virus provocó un gran revuelo en la comunidad de Linux. El gurú en persona, Linus Torwalds, se incorporó a su análisis. Al saber los resultados del análisis del código de Bi.a y otros errores encontrados en Linux, debido a los cuales el virus podría no funcionar en ciertos kernels, Torwalds publicó un “parche” (que hizo que el virus pueda funcionar), acusando al mismo tiempo a Kaspersky Lab de exagerar algo sin importancia, a pesar de que el alboroto había sido levantado por los adeptos a Linux, que estaban seguros de la invulnerabilidad de su sistema operativo. Pero los hechos son los hechos: los virus multiplataforma Windows/Linux siguen acaparando la atención de los autores de virus que no piensan dejar de trabajar en este sentido.

Los virus para el paquete de análisis matemático Matlab que aparecieron en abril y mayo se pueden considerar algo exótico. El virus Gabol, escrito en el idioma de script de Matlab, estaba diseñado para infectar todos los archivos de este programa escribiendo su cuerpo en la parte inicial de los archivos.


Xic.a es un virus más complejo, escrito usando el tipo de polimorfismo que mencionamos más arriba. Es difícil imaginarse las posibles aplicaciones reales de este tipo de virus, sobre todo por la poca difusión de Matlab, así que estamos ante una “prueba de concepto” creada para obtener fama.

Es mucho más peligroso el virus macro para el paquete ofimático StarOffice. Este paquete es el principal competidor de MS Office y goza de gran popularidad entre los usuarios de Linux. También existen versiones de este producto para la plataforma Windows. Hasta entonces, los virus macro eran exclusivos de MS Office, pero la presencia en StarOffice de un potente idioma de script y el deseo de los autores de virus de demostrar que no sólo los programas de Microsoft pueden ser habitados por programas maliciosos, provocaron que aparezca el virus StarDust. En realidad, no es un virus, sino más bien un troyano, sin embargo, la esencia de la “prueba de concepto” sigue siendo la misma: un nuevo producto popular se considera desde ahora vulnerable a los ataques de virus.

Pero, sin lugar a dudas, la “prueba de concepto” más peligrosa del trimestre es el gusano Yamanner. Este es uno de los más claros representantes de una pequeña clase de gusanos que usan un método de propagación fuera de lo común. Son tan pocos, que cada uno de ellos puede considerarse como una novedad tecnológica, que de inmediato salen al mundo real y se convierten en un notable suceso.

Nos referimos a los gusanos que, para propagarse, se aprovechan de las vulnerabilidades y errores de los motores script de diferentes recursos web populares: los sistemas de correo electrónico gratuitos y las bitácoras. Para funcionar no les hace falta penetrar al ordenador del usuario. Lo único que les hace falta es que su código sea activado durante la visualización del mensaje en el navegador o la visita a una página web que lo contiene. Casi todos se basan en el uso de la vulnerabilidad “cross-site scripting”. Este principio lo usó el gusano que funcionaba en el interfaz del sistema de correo en línea ruso mail.ru. El gusano SpaceHero, que infectó en octubre de 2005 millones de bitácoras en el sitio MySpace, usaban la misma vulnerabilidad.

En junio de 2006 los casi doscientos millones de usuarios de Yahoo! se convirtieron en potenciales víctimas de un gusano similar. Yamaner se caracteriza porque para que se active su código malicioso sólo necesita que el usuario abra un mensaje en el interfaz web de Yahoo! Mail. Cuando el usuario abre la carta, se ejecuta el script que envía el gusano a todas las direcciones de la libreta del usuario dónde el dominio es @yahoo.com o @yahoogroups.com.
Además, se abre una página web predeterminada (en este momento no funciona) y la libreta de direcciones de la cuenta infectada se envía a un servidor previamente establecido.


La amenaza afecta a todos los usuarios de Yahoo Mail, excepto a aquellos que usan servicios especiales para recibir su correo vía POP3 en un cliente postal autónomo (por ejemplo, Outlook). En vista de que la plataforma de propagación del gusano es el idioma JavaScript, éste funciona en todos los principales navegadores.


La única defensa efectiva contra estos gusanos es desactivar la ejecución de scripts en el navegador. Pero esto hace que sea imposible usar el interfaz web de Yahoo Mail.
Yahoo! tomó las medidas necesarias para filtrar los mensajes de correo que usaban esta vulnerabilidad, corrigió el interfaz de su servicio y recomendó a sus usuarios trasladarse a la nueva versión de Yahoo!: Yahoo Mail Beta, invulnerable a este tipo de ataques.

En realidad, esta historia puede repetirse con cualquier otro servicio web popular. Cualquier otro servicio basado en un interfaz web es potencialmente vulnerable, p. ej. Google Mail. Las funciones de cualquier virus o gusano para JavaScript están limitadas sólo por la cantidad de parches instalados en el sistema y, en cualquier momento, pueden expandirse si se descubre una nueva vulnerabilidad. Los errores de programación que conducen a las vulnerabilidades “cross-scripting” ocurren con mucha frecuencia y se necesitan grandes esfuerzos para descubrirlos.

El límite entre el ordenador personal y los servicios de Internet se ha borrado hace tiempo. Su ordenador puede estar libre de virus, pero usted puede participar en la difusión de un gusano sólo con entrar a una bitácora o abrir su correo.

Esta es una de las principales amenazas que nos trae el futuro, sobre todo con el desarrollo del Web 2.0.

Las amenazas informáticas contemporáneas, segundo trimestre de 2006

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada