Una breve biografía de Induc

Los medios de comunicación han estado muy alterados, mostrando una y otra vez las opiniones de las empresas antivirus más conocidas. Y todas las noticias hablan de lo mismo: algo que no habíamos visto desde Kido (Conficker) y la última vulnerabilidad de Adobe. ¿El causante del escándalo? Virus.Win32.Induc.a.
Induc era un caso tan insólito que al principio sólo publicamos un corto artículo en la bitácora dando detalles técnicos sobre el virus. Ahora es tiempo de dar un paso atrás, y analizar el impacto real de Induc con calma.

El nombre tiene una relación directa con la funcionalidad del virus. Una vez que infecta el ordenador de su víctima, revisa si tiene instaladas las versiones 4.0, 5.0, 6.0 y 7.0 de Delphi. Si detecta alguna de estas versiones, copia el archivo .pas que utilizará (en este caso, sysconst.pas) a Source a Lib y agrega su código al archivo. Crea una copia de seguridad de sysconst.dcu, llamándola syscont.bak, y compila el archivo .pas infectado, que resulta en un nuevo sysconst.dcu que contiene código nocivo. Después elimina el archivo .pas infectado.

Así que tenemos un virus que agrega su código a un archivo con una extensión .dcu. Se podría decir que el código está “en dcu”(en inglés “in dcu”). Se mezclan un poco las letras (que es lo que normalmente hacemos para nombrar los virus) y el resultado es Induc. (Por supuesto, algunos virus reciben diferentes nombres de diferentes empresas antivirus. El hecho de que todos lo llamen Induc es un indicador de que fuimos los primeros en agregar su detección y tratamiento a nuestra base de datos: por lo general el primer nombre es el que pega).

Cuando el virus ha inyectado su código en sysconst.dcu con éxito, todos los programas Delphi del ordenador quedan infectados. No lanza ningún otro ataque. La única amenaza es el hecho de que Induc se puede difundir por sí mismo. Lo interesante es la forma en la que se propaga: no infecta archivos exe, sino los archivos de compilación de lenguaje de programación.

Sin embargo, este no es un planteamiento nuevo. Seguro recuerdan un virus similar de los años 90, que atacaba MS-DOS e infectaba los archivos Pascal. También hay ejemplos de un pasado más reciente: Por ejemplo Lykov, que apareció en 2003, anexa su código a los archivos fuente de los programas de Visual Basic. Su sucesor, Lykov.b, que infecta los archivos fuente de los programas de VB.NET, apareció pocos años después.

Pero, hasta donde sabemos, nadie había tratado de infectar de forma directa los archivos servicio de un compilador. Este enfoque es tan insólito que no encaja en ninguno de nuestros sistemas de clasificación actuales. Induc no es un virus en el sentido estricto de la palabra, porque no infecta los archivos de forma directa. Modifica un sistema específico en vez de cualquier archivo que encuentre en su camino. Tampoco se lo puede llamar gusano ni troyano, a pesar de que contiene algunas características de estos tipos de programas. Así que en realidad Induc es algo nuevo.

El segundo punto interesante es lo mucho que se ha extendido el virus. El día después de que comenzamos a detectarlo, los datos de Kaspersky Security Network revelaron que Induc era uno de los 70 programas maliciosos más comunes. No nos sorprendería si Induc apareciera en nuestro Top 20 de programas maliciosos detectados en agosto. Es posible que existan millones de copias de Induc en todo el mundo, ¡incluso puede haber causado una epidemia como la de Kido!

El tercer punto interesante tiene que ver con las aplicaciones que infecta Induc. El virus acabó infectando ordenadores de desarrolladores, entre otros, y algunos de ellos creaban aplicaciones muy populares. Por ejemplo, hemos visto varias versiones infectadas del reproductor de música AIMP y de QIP, el popular programa de mensajería instantánea. Se ha detectado a Induc en aplicaciones de todo el mundo, en sitios de programas y en los CDs que regalan algunas revistas.

El hecho de que Induc se haya encontrado en aplicaciones legítimas, muchas de las cuales se encuentran en las listas de admitidos de vendedores, ha creado otro problema. Esta vez es un gran dolor de cabeza en especial para la industria que ofrece listas de admitidos por medio de tecnologías “en la nube”. Cuando se detectaban archivos infectados en las bases de datos de archivos de confianza, se debía renovar la base de datos. Esto resalta las debilidades de estas bases de datos, y si ocurren incidentes similares en el futuro, no hay duda de que se comenzará a perder la confianza en las listas de admitidos.

Desinfectar los archivos infectados no es un asunto trivial. Aunque es posible hacerlo, puede tener resultados indeseados: muchos programas (como QIP, por ejemplo) realizan un análisis de integridad con checksum al arrancar. Pero como QIP se infectó en su etapa de compilación, el checksum que se crea incluye el componente malicioso, así que cuando se lo desinfecta, QIP no funcionará de forma correcta. Sin embargo, los programas que no realizan esta revisión de integridad siguen operando de forma normal después de su desinfección.

Cuando comenzamos a recibir archivos infectados, notamos casi de inmediato que algunos programas troyanos diseñados para robar datos de cuentas bancarias estaban infectados con Induc. Los autores de estos troyanos también habían sido víctimas de este virus: deben haber compilado sus archivos troyanos utilizando una versión infectada de Delphi. Todos los troyanos infectados que vimos provenían de Brasil, a pesar de que habían sido creados por diferentes grupos de escritores de virus. Pero esto no significa que Induc haya sido creado en Brasil: es sólo que este país es uno de los pocos en los que Delphi es el lenguaje de programación más usado (también es muy popular en Rusia).

Pero dejemos el tema de los troyanos infectados y pasemos a la importante cuestión de cuánto tiempo ha estado el virus rondando en el mundo real sin ser detectado y por qué.

Para dejar las cosas claras: un programador ruso llamado Aleksandr Alekseev, también conocido como Gun Smoker, identificó el virus por primera vez el 12 de agosto de 2009. El fue la única persona que, al encontrarse con el virus, no sólo descubrió lo que estaba pasando, sino que también alertó a la comunidad informática sobre la situación y envió los archivos maliciosos a las empresas antivirus. ¡Gracias, Gun Smoker!

Gun Smoker publicó un artículo detallado sobre su descubrimiento (que se encuentra aquí, pero está escrito en ruso). Según Gun Smoker, los archivos infectados aparecieron por primera vez en enero de 2009. Nuestros datos muestran archivos infectados de noviembre y diciembre 2008 pero, por desgracia, Delphi no registra la fecha de compilación, así que no podemos decir con certeza cuándo se crearon estos archivos. Pero podemos decir con bastante seguridad que Induc ha estado dando vueltas en el mundo real por un año.

Esto significa que tenemos una situación sin precedente: un programa malicioso que se mantuvo “invisible”, sin ser detectado por programas antivirus, por más de un año. Esto es más sorprendente que Rustock, el rootkit que detectamos el año pasado. Pero antes de que empiecen a buscar culpables, me gustaría defender a la industria antivirus: Induc estuvo en la red por tanto tiempo porque no hace nada que las tecnologías antivirus actuales puedan detectar.

Induc no roba datos, ni establece ninguna conexión de red, ni envía spam… ¡no hace nada que pueda detectarse! Si tuviera un verdadero propósito, se lo habría identificado hace mucho tiempo.

Y esto nos lleva a otra pregunta: ¿Qué pasará si este método de propagación se vuelve común? Es claro que Induc es un código de prueba de concepto. Tal vez lo escribieron para ganar una apuesta, o por accidente. Claro que los cibercriminales pueden adoptar la idea de Induc, pero ellos no están interesados en sólo propagar archivos: quieren tener el poder de utilizar el sistema infectado de alguna manera. Pero las tecnologías antivirus actuales pueden detectar todas las actividades maliciosas que puedan realizar. O, en otras palabras, sus ataques no pasarían desapercibidos por un período de tiempo tan largo.

En realidad no creemos que los criminales adopten la rutina de propagación de Induc, existen formas mucho más simples de lanzar ataques. Sin embargo, Induc nos enseñó una lección muy valiosa: demostró a las empresas antivirus que las listas de admitidos no son perfectas, y que la velocidad de detección de una amenaza no lo es todo. También mostró a los desarrolladores de programas que necesitan comprender en profundidad cómo funcionan sus lenguajes de programación. Y, por último, Induc abrió los ojos a todos los usuarios de ordenadores y nos hizo notar que hasta las aplicaciones confiables no están tan limpias como parecen.