incremento de más del 130 por ciento en la producción de código malicioso que circula por la red
Foto: AP
Un análisis detallado de los tipos de programas maliciosos que se han detectado por primera vez este mes, observamos que cerca del 53% están relacionados con puertas traseras (backdoors) y troyanos, mientras que aproximadamente el 21% están relacionados con gusanos.
Una vez más, este hecho ilustra la tendencia actual a la que se enfrentan los usuarios de computadoras y los administradores de redes. El objetivo de los autores de dichos códigos maliciosos ya no es destruir información de los sistemas, sino tener acceso a ellos para robar la información.
Uno de los posibles objetivos puede ser ganar dinero por la venta de datos (contraseñas y números de tarjetas de crédito, por ejemplo). Otro posible motivo es la construcción de una red “clandesitna”, conformada por computadoras tomadas por troyanos y componentes de puerta trasera.
Esta red podría ser usada en el futuro para efectuar un ataque a gran escala contra uno o más objetivos en Internet.
El mes pasado se observó el lanzamiento de diversos códigos maliciosos dirigidos a dispositivos móviles, hasta hoy únicamente en “periodo de pruebas”, es decir, el ensayo de conceptos de virus, pero sin un mecanismo definitivo de propagación masiva.
Sin embargo, quizás los códigos más significativos analizados este mes han sido aquellos diseñados para atacar a sistemas operativos de 64 bits.
W64_RUGRAT.A fue el primero en aparecer en mayo pasado y es capaz de infectar a archivos de 64 bits que funcionan en procesadores IA64 (Intel Itanium).
W64_SHRUGGLE.A es el segundo código malicioso que infecta a archivos ejecutables con extensión PE (Portable Executable), en sistemas AMD de 64 bits. Se cree que detrás de estos virus se encuentra un mismo autor, que se hace llamar “roy g biv”.
Ambos virus para entornos de 64 bits se consideran también virus de “prueba de concepto”, lo que significa que el autor los ha creado para experimentar en los nuevos sistemas y demostrar que son (o serán) vulnerables a ataques de virus.
Estos dos virus son parecidos en cuanto a comportamiento y técnica de infección; ambos infectan directamente y emplean el almacenamiento local de subprocesos (Thread Local Storage,TLS) para expandir su código.
Al ejecutarse, SHRUGGLE.A busca ciertos archivos en la carpeta y subcarpetas donde se aloja. Es entonces cuando infecta a cada uno de los archivos de 64 bits que encuentra.
A continuación, hace pasar al fichero a través de varios parámetros de filtrado, añade su código a la última sección del archivo anfitrión, y la modifica, haciéndola ejecutable. Puede añadirse “basura” al final del código del virus para hacer más difícil su detección.
Este virus no infecta archivos de 32 bits ni a sistemas con procesadores de 32 bits. Sólo se contaminan archivos que sin interpretados en procesadores que corren con el software de programas AMD de 64 bits.
Todos los archivos infectados contienen en su código el siguiente texto, a modo de firma:
“Shrug – roy g biv”
La liberación de estos dos códigos maliciosos, junto a otras pruebas de concepto para sistemas móviles (Symbian, Windows CE) descubiertas recientemente, algunas de ellas este mismo mes, muestra que los autores han empezado a experimentar con los sistemas operativos que serán estándar en el futuro, en busca de vulnerabilidades que los hagan susceptibles de ataques masivos.
Consejos
David Kopp, director de TrendLabs para Europa, Medio Oriente y África, aconseja tanto a los directores de Tecnologías de la Información como a los usuarios de computadoras, lo siguiente:
- Asegurarse de tener instaladas severas reglas de bloqueo de archivos adjuntos a nivel del acceso de Internet (Gateway) y mantener actualizada su solución antivirus. Esta medida puede prevenir la infección de la mayoría de los gusanos, tales como WORM_RATOS.A.
- Comprobar que posee políticas eficaces a nivel de cortafuegos (firewall) para filtrar tanto el tráfico entrante como saliente. Esta medida puede prevenir la infección de gusanos o virus de red como el WORM_SASSER.B.
- Asegurarse de que sus sistemas de red/TI están actualizados con los más recientes parches de seguridad proporcionados por los fabricantes de programas informáticos.
- Asegurarse de que el antivirus de escritorio también está actualizado con las últimas definiciones de virus, motor de detección y parches de seguridad.
- Tomar medidas para que, tanto usuarios como empleados, dispongan de amplia información para impedir pérdidas de productividad causadas por falsos mensajes de alarma (hoax), programas de broma y códigos maliciosos que usen la ingeniería social, como las más recientes versiones de la familia BAGLE.
