| Artículos | 01 SEP 2002

Virus: una batalla perdida

Tags: Histórico
Bernardo Quintero.
Desde los primeros virus, el panorama ha empeorado gravemente. La facilidad de difusión por Internet, las nuevas técnicas empleadas y las vulnerabilidades de las aplicaciones y sistemas operativos hacen que las epidemias evolucionen gravemente en sólo unas horas.

Desde que a mediados de los 80 aparecieran los primeros virus para PC, como Brain, Lehigh, Italian o Stoned, pasando por el mítico Jerusalem a finales de 1988, alias Viernes 13, la cosa no ha hecho más que empeorar. Si en aquellos tiempos el principal foco de infección venía dado por el intercambio indiscriminado de disquetes entre sistemas y, en el caso de algunos privilegiados, por descargar ficheros a través de alguna BBS (Bulletin Board Service), a día de hoy las vías de propagación e infección vírica se han multiplicado y democratizado con la entrada en juego de Internet.
De preocuparnos por tener un sector de arranque limpio o por que el tamaño de nuestros ejecutables .EXE y .COM no aumentara, hemos migrado a unos sistemas donde un virus puede elegir entre decenas de formas y extensiones de archivos donde poder ocultarse.
Mientras que un creador de virus de la primera generación tenía que ser un programador con conocimientos de ensamblador, hoy día cualquier usuario avanzado con un manual de Visual Basic Script o macros para Office puede causar una epidemia de ámbito mundial. Por no hablar de los kits de creación automática, que permiten diseñar un gusano a medida a golpe de ratón, sin necesidad de escribir una sola línea de código. El resultado no es otro que la aparición diaria de nuevos especímenes.
Casos como Melissa, ILoveYou o Kournikova, gusanos que han protagonizado verdaderas plagas, son un buen exponente de lo fácil que resulta hoy día crear sencillos virus que den la vuelta al mundo e infecten a miles de sistemas en apenas unos minutos.
Aún hay más. Hasta la fecha, la infección de un ordenador siempre requería la actuación del usuario, por ejemplo en el caso de ILoveYou la víctima debía hacer doble clic para intentar abrir la supuesta carta de amor que acababa de recibir, lo que en realidad activaba la ejecución del código del gusano. La última generación de virus y gusanos explota vulnerabilidades de los sistemas para infectarlos de forma totalmente automática, sin necesidad de intervención alguna por parte del usuario. Esto no hace más que aumentar la potencia y velocidad de propagación e infección.

Nimda y Klez, representantes de una nueva generación
Aunque son muchos los casos de virus, gusanos, troyanos, y malware en general que han protagonizado la escena vírica durante este último año, vamos a quedarnos con dos ejemplares que, a nuestro juicio, representan de forma clara las últimas tendencias en las técnicas de propagación e infección: Nimda y Klez.
Ambos han protagonizado grandes epidemias, logrando infectar a miles de máquinas, en el caso concreto de Klez las últimas cifras lo sitúan como el gusano más propagado de toda la historia de la informática. En el momento de escribir estas líneas sigue ocupando la primera posición en las listas que en tiempo real muestran indicadores sobre los mensajes de correo electrónico infectados. Uno de cada cien e-mails está infectado por alguna versión de Klez.
Nimda hizo su aparición el 18 de septiembre de 2001, contabilizándose en las primeras horas miles de infecciones en todo el mundo, antes de que ningún fabricante de antivirus pudiera haber reaccionado. De hecho tardaron más tiempo del habitual en ofrecer soluciones efectivas ante este espécimen.
La potencia de Nimda radicaba en que era capaz de infectar sistemas Windows, tanto clientes como servidores, y aprovechaba vulnerabilidades de los productos de Microsoft para hacerlo de forma automática, sin necesidad de intervención del usuario.
En el caso de los clientes Windows 9x/Me/NT/2000, Nimda explotaba una vulnerabilidad de Internet Explorer a través de la cual es posible forzar la ejecución automática de código adjunto en un mensaje de correo electrónico. Para lograrlo modifica la cabecera MIME que hace referencia al archivo del virus, readme.exe, de forma que simula ser un formato confiable (en el caso de Nimda se hacía pasar por un archivo de audio). Esta vulnerabilidad es heredada por los clientes de correo Outlook y Outlook Express, ya que utilizan el componente de Internet Explorer para visualizar los mensajes con formato HTML.
Cuando previsualizamos o abrimos en Outlook un e-mail en formato HTML los archivos de audio se reproducen y los gráficos se visualizan de forma automática, sin intervención por parte del usuario. Al hacerse pasar Nimda por un archivo de audio, logrando engañar a Internet Explorer y al cliente de correo de Microsoft, el resultado no era otro que la ejecución automática del gusano con tan sólo abrir el e-mail para leerlo, o previsualizar su contenido, sin necesidad de que el usuario tuviera que abrir o ejecutar el archivo adjunto que contenía el gusano. A continuación, Nimda busca direcciones de correo electrónico entre los archivos con extensión .HTM y .HTML, o accediendo a los buzones de correo a través de MAPI. Por último, utilizando su propia rutina SMTP, envía mensajes infectados a todas las direcciones recolectadas.
Pero sin duda fue la capacidad de infectar servidores web vulnerables lo que más quebraderos de cabeza causó. Nimda explota una vulnerabilidad denominada Web Server Folder Traversal por Microsoft y que afecta a su servidor web IIS. Mediante este agujero de seguridad es posible para un atacante ejecutar archivos en el servidor a través de una URL especialmente formada en codificación Unicode.
Otro de los métodos utilizados por Nimda para infectar servidores web consistía en buscar acceso al intérprete de comandos, CMD.EXE, o al archivo ROOT.EXE, un troyano que ya habría sido introducido con anterioridad al ser infectado por los gusanos Code Red II o Sadmind.
Nimda aprovechaba esta vulnerabilidad para ejecutar una sesión TFTP y descargar en el servidor web el archivo ADMIN.DLL. El servidor web infectado con este fichero ejecuta el código de Nimda que se encarga de rastrear direcciones IP en busca de otros servidores que poder infectar. Asimismo, busca y modifica los archivos con nombre DEFAULT, INDEX, MAIN o README y extensión HTM, HTML o ASP para incluir código JavaScript. Estas modificaciones hacen que estas páginas web exploten la vulnerabilidad de Internet Explorer comentada con anterioridad, con lo que provoca la infección de los usuarios que las visiten.
Por si todo lo anterior no fuera suficiente, Nimda recorre todas las unidades locales y de red e infecta todos los directorios a los que tiene acceso. Para conseguir propagarse, por un lado crea múltiples archivos de mensajes de correo electrónico infectados con nombres aleatorios y cuya extensión es .EML en el 95% de los casos y .NWS en el 5% restante. Estos mensajes tienen el mismo contenido que los que hemos descrito en los casos anteriores, por lo que si intentamos visualizar estos archivos el virus se autoejecuta de manera automática. También realiza acciones propias de un virus de fichero tradicional, infectando ejecutables al anteponer su código.

Klez, el número 1
Las primeras versiones de Klez datan de finales de octubre de 2001, si bien han sido las variantes aparecidas en abril de 2002 las que han causado mayores estragos, hasta el punto de convertirse en el v

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información