Trend Micro.- Será recordado el hecho de que BAGLE hizo su entrada triunfal en el mapa de virus en el primer trimestre de este año, el 18 de enero para ser exactos, con la liberación de si primera variante conocida (WORM_BAGLE.A) impulsando a Trend Micro y otras firmas antivirus a decretar una alerta amarilla de mediano riesgo para contener la epidemia. Desde entonces, ha engendrado al menos 13 variedades suficientemente peligrosas como para causar alertas amarillas, siete de las cuales fueron en los últimos 5 meses.
Las versiones liberadas en el tercer trimestre de 2004 (BAGLE.AD, AC, AH, AI, etc.) probaron esquemas distintos en sus métodos de propagación. En lugar de continuar con el procedimiento de envío masivo de correo electrónico, envían a los buzones un troyano que descarga componentes (downloader) y un script en hipertexto en formato comprimido .ZIP. El script HTML dispara la ejecución del downloader a través de una vulnerabilidad conocida que afecta la máquina virtual de Microsoft (Ver el artículo 275609 en la Base de Conocimientos de Microsoft), mientras que el downloader descarga el programa principal del gusano desde una lista de sitios Web. Esta rutina puede ser considerada como un movimiento calculado para quitarse de encima a los proveedores de seguridad y antivirus.
Notablemente, las más recientes versiones de BAGLE (BAGLE.AT y BAGLE.AU) desecharon el método de propagación indirecta y regresaron a las antiguas formas de bombardear copias de sí mismos a los buzones de las víctimas.
Aunque no se puede atribuir un motivo claro para ello, pueden ser consideradas una serie de posibilidades. Las versiones “indirectas” de BAGLE podrían haber sido liberadas para probar una rutina de propagación más compleja, enfocada principalmente a retrasar o entorpecer la detección antivirus. El método podría haber ayudado al gusano a imponer cuatro epidemias durante el tercer trimestre, pero también probaron ser demasiado complejas y tediosas para un atraque en varias etapas. En este caso, la rutina indirecta podría no haber sido la opción más práctica para maximizar la acumulación de infecciones en el menor tiempo posible, y por ello el cambio al viejo y más rápido método.
Los intentos de BAGLE para emprender un ataque en etapas con la liberación de múltiples variantes demuestra la concertación de esfuerzos para poner a prueba caminos diferentes en los ataques para generar infecciones masivas, eludir la detección y acrecentar su longevidad. Revela también que aún no hemos visto lo último de este persistente gusano.
CONTINÚA...
SOBER Regresa
El inesperado regreso del gusano de correo masivo llamado SOBER dio un vuelco sorpresivo en el escenario de las epidemias de este mes. Luego de cinco meses de hibernación, SOBER liberó su novena variante el 19 de noviembre (también viernes en la mayoría de los países). La primera variante se dio a la luz el 17 de octubre del 2003.
Esta nueva modalidad muestra las mismas funcionalidades y rutinas básicas de las anteriores. Envía mensajes de correo electrónico en alemán, aunque también hay correos en inglés, la mayoría simulando ser notificaciones de entrega. El gusano fue conducido para propagarse rápidamente en Alemania, Austria y Francia.
No obstante, no hay prácticamente nada nuevo en esta última versión, más allá del impacto que provocó su regreso mortecino y caída estrepitosa. Si este regreso es una manifestación de una sola vez o la inminencia del eventual regreso de SOBER, es algo que aún está por verse en los meses siguientes.
CONTINÚA...
NETSKY mantiene su posición dominante
La lista de los 10 códigos maliciosos predominantes del Centro de Seguimiento de Virus de Trend Micro (WTC) puede ser resumida en dos palabras: Territorio NETSKY.
Como se puede observar, las variantes de NETSKY ocupan un total de seis de las diez posiciones de la lista, incluidos los tres primeros lugares con NETSKY.P encabezando la clasificación (es por mucho la más persistente versión de NETSKY). Estos gusanos registran un total combinado de 885,159 infecciones. Por su parte, SASSER, que se mantuvo en 1er lugar en julio, agosto y septiembre, parece haber sido erradicado definitivamente de esa lista.
A diferencia de su contemporáneo (y rival) BAGLE, NETSKY ha sido dominante en el frente de las epidemias, aunque no ha generado una nueva variante desde la aparición de WORM_NETSKY.AB el 28 de abril. Su ausencia del circuito de epidemias de virus durante los últimos siete meses es consecuencia de la captura del supuesto autor el 8 de mayo pasado. Compensa su ausencia la capacidad de continuar infectando máquinas, como lo muestran los resultados del WTC de lis últimos 11 meses.
Apenas aparecía una nueva modalidad de SOBER, que logró generar una alerta de virus este mes, otra de sus variantes anteriores, WORM_SOBER.G empezó a figurar nuevamente en el Top 10. Descubierto en mayo 13, esta variante de 7 meses de antigüedad conserva el 10° lugar de la lista, con un total de 29,158 infecciones.
PE_ZAFI.B, otro constante en el Top 10 desde su lanzamiento hace 6 meses, mantiene el 6° sitio de esa lista. Si desea consultar mayor información sobre este gusano, por favor acuda a la descripción que se hacen en la Enciclopedia de Virus de Trend Micro: http://www.trendmicro.com/vinfo/default5.asp?Vname=PE_ZAFI.B
CONTINÚA...
Programas Robot y Troyanos
TrendLabs ha documentado un total de 1,564 detecciones de código malicioso en noviembre, un 14 por ciento menos que las cifras del mes anterior. En la Figura 3 se clasifica ese número, de acuerdo con los tipos de código más frecuentes.
Los troyanos comprenden la mayoría del código detectado en noviembre, contabilizando el 42 % del total. Junto a los componentes de puerta trasera, alcanzan niveles superiores al 50 por ciento del total. Aunque ésta ha sido la tendencia en los meses recientes, podría observarse un ligero incremento en las proporciones en los meses venideros. Si bien los Troyanos continúan dominando el panorama del código malicioso, los gusanos alcanzan ahora el 40 % del total, en comparación con el mes anterior en el que escasamente contabilizaron la tercera parte del total de ejemplares. Este salto en las proporciones podría atribuirse a un 15 por ciento de aumento en los ejemplares enviados por los usuarios para su análisis.
Adicionalmente, de las 1,564 detecciones de este mes, TrendLabs registró un total de 913 códigos de nueva creación. Este número toma en cuenta los ejemplares de muestra enviados por los clientes y el manejo de casos específicos. En la Figura 4 se desglosan estas cifras entre los principales tipos de código malicioso descubierto en noviembre.
Entre los ejemplares de código malicioso recientemente descubiertos, los gusanos se colocan en el primer sitio, con un significativo 47 %, muy cerca de la mitad del total. Los troyanos y componentes de puerta trasera juntos, alcanzan poco menos de una tercera parte de la cifra total. Estas cifras eran de esperarse, dado el surgimiento de programas gusanos robot y su rápida multiplicación.
Asumiendo que la motivación de los autores del código malicioso es la ganancia económica, los gusanos pueden ser distribuidos eficientemente y esto les permite generar mayores “ganancias” o lo que sus autores intenten obtener como beneficio. Los más recientes gusanos, como SASSER o MYDOOM, han producido incluso efectos muy reales, atacando redes empresariales y causando enormes pérdidas monetarias. No debe sorprender, por consiguiente, que el número de gusanos continúe en aumento, tendencia que seguramente continuará en los meses siguientes. Este fenómeno confirma la predicción hecha hace algunos meses sobre que las amenazas de correo masivo y mixtas deberán ser una norma en el futuro.
El 70 por ciento de los gusanos descubiertos en noviembre son programas robot, catalogados en las familias que se describen en la siguiente gráfica:
Los programas Robot contabilizan una tercera parte del total de las detecciones de código malicioso descubiertas este mes. Estas familias de gusanos son pequeños programas que reúnen numerosas funciones y presumiblemente pronto dominarán el conteo de los gusanos. La mejora continua de los programas robot hace difícil pensar que su número se disminuirá en los meses siguientes.
CONTINÚA...
Día Cero y riesgos inalámbricos
Inicialmente, se pensó que era una nueva variedad de MYDOOM. El primer ejemplar del gusano BOFRA fue liberado el 8 de noviembre y su descubrimiento y primeros análisis despertaron sospechas sobre la posibilidad de que se lanzara un ataque en un día determinado, ya que aprovecha una vulnerabilidad IFRAME no corregida en el Internet Explorer para apoyar su propagación. Aunque falló en la generación de su rutina masiva de infección que podría haber despertado alerta, su relativamente compleja técnica de propagación le ayudó a obtener cierta presencia en los medios.
BOFRA llega en un mensaje de correo electrónico, pero en lugar de enviar una copia de sí mismo como un archivo adjunto, como lo hace la mayoría de los gusanos, envía un mensaje con un script en lenguaje de hipertexto (HTML) incrustado, que posee ligas que conectan a un sitio Web que se aprovecha de la mencionada vulnerabilidad IFRAME, y que afecta a algunas versiones del Internet Explorer no actualizadas. Estás ligas apuntan a la dirección IP de una computadora a través del puerto TCP 1639.
Luego, ejecuta un archivo HTML malicioso llamado INDEX.HTML, que es el que recurre a la vulnerabilidad. Este script, detectado por los productos de Trend Micro como JS_SHEXPLOIT.A, utiliza una etiqueta IFRAME para ejecutar un desbordamiento de memoria en el Explorador de Internet, permitiendo al programa redirigir la ejecución del código a una interfase especialmente diseñada que permite a un usuario remoto realizar acciones no autorizadas en el sistema, lo que compromete su seguridad.
Una vez que el sistema ha sido vulnerado, el gusano intenta descargar un archivo desde cierta dirección URL. Para una descripción más detallada de BOFRA y sus variantes, consulte la ficha de la Enciclopedia de Virus de Trend Micro en la siguiente dirección: http://www.trendmicro.com/vinfo
Noviembre del 2004 vio el nacimiento de otro programa malicioso que intentó irrumpir en el reino de lo inalámbrico. TROJ_DELF.HA, descubierto el 11 de noviembre, utiliza las máquinas infectadas como plataforma para enviar mensajes SMS no deseados a teléfonos celulares. (SMS, o Servicio de Mensajes Cortos, por sus siglas en inglés, es una función de telefonía digital que permite a los usuarios enviar y recibir menajes de texto. Este servicio es cada vez más utilizado, principalmente en Asia y Europa)
Cuando DELF.HA se ejecuta, verifica la existencia de una conexión a Internet y procede a acceder a los sitios Web de una lista de proveedores de telefonía celular de Rusia. Entonces, intenta utilizar estos sitios Web para enviar mensajes SMS a números seleccionados aleatoriamente, que empiezan con 007 o +7. También deposita una copia del menaje que envía en la máquina infectada.
La aparición de CABIR en junio de este año, el primer virus que se propaga a través de sistemas habilitados con Bluetooth y corre en dispositivos móviles con el sistema operativo Symbian Series 60, marcó el arribo de las tecnologías de código malicioso en el reino de los teléfonos móviles.
La aventura en el territorio inalámbrico es lógica y esperada y es el inminente resultado del cada vez más indispensable papel que juegan los teléfonos celulares y otros dispositivos de mano en las comunicaciones personales, y más importantemente en las operaciones de negocios. Esto se hace patente con el importante crecimiento en el número de usuarios de estos dispositivos. De acuerdo con CelularOnline (www.cellular.co.za), actualmente hay 1.52 billones de usuarios móviles en el mundo, 98 por ciento de ellos usando teléfonos digitales. Aún más, mientras el ascendente número de usuarios de dispositivos móviles siga siendo una oportunidad de mercado para las aplicaciones de terceras partes (juegos y otros programas), esto abre incontables espacios de posibilidad para su uso malicioso.
Fuente: Trend Micro
