Mirtos y guayabas, Episodio 3

La distribución geográfica de las infecciones de Stuxnet es tan interesante como el mismo troyano. Detectamos el componente rootkit (los drivers certificados) como Rootkit.Win32.Stuxnet, y los otros archivos como Trojan-Dropper.Win32.Stuxnet.

Durante los últimos cuatro días, KSN ha identificado componentes del troyano (aunque el programa en realidad se debería considerar un gusano porque se propaga por medio de dispositivos de almacenamiento removibles) en más de 16.000 ordenadores de todo el mundo. El mapa con estadísticas de la infección muestra que tres países (¡todos comienzan con la letra “I”!) son el centro de la epidemia: Irán, India e Indonesia.

KSN identificó más de 5.000 incidentes en cada uno de estos tres países. En comparación, se vieron 150 casos de infección en Rusia y sólo 5 en China.

No existe una explicación simple para su distribución, pero se debe tomar en cuenta la forma en que se propaga Stunex: por dispositivos de almacenamiento USB. Esta no es la forma más rápida de propagar malware pero, por otro lado, asegura que el programa malicioso tendrá una vida más larga (un ejemplo de ello es Sality, que también se propaga por dispositivos USB). Lo que queda claro es que la epidemia no ha cruzado las fronteras de Asia.

¿Será que la geografía nos puede ayudar a comprender cómo se obtuvo la firma digital para el componente rootkit?

Sé que no es amigable desarrollar teorías de conspiración, pero los expertos en seguridad informática debemos ser algo paranoicos para llevar a cabo nuestra labor. Así que me daré la libertad de desarrollar una hipótesis:

Realtek es una empresa de “hardware”; escribir los programas es una tarea secundaria que se puede optimizar subcontratando empleados. ¿Cuál es el país que se utiliza más a menudo para eso? India.

¿Será posible que estos empleados subcontratados tengan el poder de firmar programas con el certificado de la compañía? Es muy posible.

Entonces una teoría es que el programa malicioso se creó en India (sólo hace falta ver el mapa) y es posible que los desarrolladores de aplicaciones oficiales de Realtek no hayan “traicionado” a la empresa.

Sin embargo, esta teoría invalida la idea de que los archivos del driver sean drivers legítimos desarrollados por Realtek. Si bien tienen funcionalidad de rootkit y esconden archivos Ink y ~WTRxxxx.tmp en la raíz del dispositivo de almacenamiento, esto no significa que no sean legítimos: ¿Recuerdan el incidente del rootkit de Sony? ¿Y el malware que utilizaba la tecnología del rootkit?

Ahora que estamos casi al final del tercer episodio, acabo de darme cuenta de que olvidé explicar un punto importante: el título de esta serie de entradas.

“Myrtus (Mirto) es el género de una o dos especies de plantas con flores de la familia de las Mirtáceas”, y “La familia de las Mirtáceas o la familia del Mirto es una familia de plantas dicotiledóneas que se encuentran en el orden de los Mirtales. El mirto, el clavo de olor, la guayaba, la pimienta dulce y el eucalipto son parte de esta familia”.

¿A qué se debe el discurso repentino sobre botánica? Porque el código del driver del rootkit contiene la siguiente secuencia:

b:myrtussrcobjfre_w2k_x86i386guava.pdb

Proyecto “Mirto”. Módulo “Guayaba”.

¿Continuará?