| Artículos | 01 ABR 2004

Los virus cambian de táctica

Tags: Histórico
Ha surgido un nuevo tipo de virus que da un giro de tuerca más a la habitual trampa que utilizan en los mensajes de e-mail: aparece en archivos adjuntos que no se suelen utilizar para difundir virus y utiliza una contraseña para evitar su detección.
para evitar su detección y engaña a las víctimas para que introduzcan la contraseña y se infecten.

Dependiendo del fabricante antivirus, el nombre de esta plaga se llama Beagle o Bagle. Symantec llama a esta serie de virus “32.Beagle.x@mm, donde la x designa la variante de la que se trata. El resto de fabricantes de antivirus prefiere el nombre Bagle, aunque no se ponen de acuerdo en las letras asignadas a las distintas variantes.
Todas las compañías antivirus están actualizando sus definiciones para identificar las últimas versiones de este virus. Pero como esta plaga en particular infecta los programas y atraviesa las redes de compartición de archivos, es difícil eliminarlo del sistema infectado. Su modo de actuar puede ser el precedente de los virus más dañinos que nos atacarán en el futuro.

Evitar la detección
El primer virus Bagle fue descubierto en enero, y desde entonces han surgido nuevas variantes casi a diario. Una de ellas, descubierta el 13 de marzo, llamada W32/Bagle.n@MM por McAfee y W32/Beagle.m@MM por Symantec, incluye una pequeña imagen de mapa de bits para evitar que los programas antivirus lo detecten e inducir a la víctima a introducir la contraseña.
Además del truco de la contraseña, los virus Bagle se extienden igual que otros gusanos de e-mail. Cuando uno infecta un PC, se reenvía a todas las direcciones que puede encontrar en el disco duro. También las enmascara en su e-mail, falsificando las direcciones de respuesta y ocultando la identidad del ordenador infectado. Y, como ocurre con los demás gusanos, el virus llega en forma de adjunto en un mensaje.
Otra diferencia de Bagle es que el adjunto suele ser un archivo .zip o .rar protegido por contraseña. La idea, aparentemente, es que los programas antivirus no pueden escanear archivos protegidos por contraseña y, por tanto, es menos probable que lo identifiquen. El texto del mensaje trata de convencer al usuario de que abra el archivo, y le proporciona la contraseña.
En la variante MM hay otra diferencia: la contraseña no se muestra como texto, sino como una imagen de mapa de bits embebida en el mensaje. Presumiblemente es para que los programas antivirus no encuentren la contraseña en el texto del mensaje y por tanto no puedan usarlo para escanear el archivo. Como otra forma de autoprotección, el virus genera las contraseñas de forma aleatoria. También para evitar su detección, el virus se auto-envía con diversos tipos de asunto, mensaje y nombres de archivo. Entre los asuntos se incluyen “Account notify”, “Fax Message Received” y “Re: Yahoo!”.
Pero los virus Bagle no sólo son gusanos de e-mail, también se guardan -con nombres falsos- en carpetas que normalmente se comparten en una red. Esto les permite difundirse en sistemas del tipo de Kazaa e iMesh.

Daños colaterales
Los virus Bagle parecen haber sido diseñados con la reproducción y la supervivencia en mente, no con la destrucción. Pero un virus decidido a expandirse y sobrevivir puede hacer todavía más daño.
Algunas de estas variantes impiden que unos 270 programas puedan ejecutarse en el sistema infectado. Entre ellos se encuentran probablemente los programas antivirus y cortafuegos que podrían detectar al intruso, por lo que su desactivación deja el PC infectado a merced de otros invasores.
Bagle también afecta a programas de configuración del sistema como msconfig y regedit, que podrían ser utilizados para eliminar el virus. Otros virus también bloquean determinados programas, pero ninguno llega al punto de éste, según los expertos.
Cuando un virus Bagle entra en un PC, infecta todos los archivos .exe que puede encontrar. De esa forma, cuando el usuario cree que ha eliminado el virus, se reinfecta el sistema con tan sólo cargar un programa. Y estas infecciones son polimorfas (cambian cuando el virus se reproduce) dificultando a los antivirus la limpieza del sistema.
Finalmente, estos virus abren una puerta trasera que podría permitir el acceso al PC infectado sin conocimiento del usuario, aunque tenga un cortafuegos. Los creadores del virus pueden tener previsto utilizar los recursos de las víctimas en un futuro ataque de denegación de servicio contra otro servidor; los investigadores de seguridad todavía no han determinado los planes de Bagle.

Estrategia de protección
La mejor cura contra el virus Bagle es, por supuesto, no infectarse. La advertencia habitual de seguridad, sin embargo, es válida: no abrir los adjuntos de los mensajes a menos que se tenga una buena razón para creer que son legítimos. Si está infectado, acuda a la web de algún fabricante de antivirus para conseguir el antídoto que elimine el virus y repare su sistema.


La escalada de virus hace pensar en una guerra cibernética
-----------------------------------------------------------------------------------
Los creadores de virus podrían haber comenzado una guerra entre sí por obtener el mayor impacto de sus gusanos. Pocas semanas después de que Mydoom, Bagle y Netsky sembraran el caos entre los usuarios de Internet de todo el mundo, las últimas versiones de estos y otros gusanos han vuelto a encender las alarmas en los servidores de empresas y particulares. Las compañías antivirus hablan incluso de una “guerra de virus”, ante las proporciones cada vez mayores de los ataques.
Las últimas versiones de Mydoom, Netsky y Bagle aparecieron en un periodo de tan sólo 24 horas, y los comentarios extraídos del código en texto de los gusanos hacen pensar a los expertos en antivirus que ha comenzado una especie de guerra entre los creadores de virus por ver qué virus consigue mayor impacto.
Otra de las razones que avalan esta teoría es que los gusanos son cada vez más sofisticados. Bagle.H es el primer virus de la historia que se envía en un archivo zip protegido por contraseña, lo cual hace imposible que los programas antivirus lo detecten y analicen. Junto a esto, técnicas de ingeniería social más sofisticadas pretenden convencer al usuario para que abra el fichero adjunto a los mensajes, y se extienden a través de redes P2P y de correo electrónico utilizando sus propios motores SMTP.
Bagle.J, Bagle.K, Netsky.F y Mydoom.G contienen sistemas para generar nuevas variantes capaces de esparcirse con éxito entre los sistemas, según expertos de Central Command, una compañía antivirus norteamericana. “La acción combinada de las variantes .D .C y .B de Netsky, junto con Bagle.C y Bagle.E están provocando una epidemia masiva a nivel mundial”, afirma Panda Software. “El más peligroso de todos es el gusano Netsky.D, por su capacidad de propagación a través de correo electrónico, que es muy superior a la de sus predecesores”.
En estos virus se han encontrado textos que podrían ser comunicaciones entre los creadores de virus, del tipo “Hey, Netsky, no arruines nuestro negocio, quieres empezar una guerra?”, y también “Skynet antivirus (Bagle) you are a looser!!!”. Esto explicaría la razón por la que muchos virus como Netsky borran los códigos de Mydoom y Bagle cuando infectan a un ordenador. Las sucesivas versiones posteriores son veh

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información