• Tweet

El arresto de dos personas que se sospecha estar detrás de las creación del gusano Zotob da mucho que pensar sobre la forma de vida y las motivaciones de los hackers.

El 25 de Agosto Farid Essebar fue arrestado en Maruecos y Atilla Ekici fue detenido por la policía de Turquía que seguía una investigación internacional sobre el gusano Zotob lanzado un mes antes.

Mas de 100 compañías, incluyendo Financial Times, BBCNews y CNN fueron afectados por el gusano Zotob.

Por muchas singularidades del caso, se decía que uno de los creadores del virus se encontraba en Marruecos.

De igual forma, Turquía ha sido un punto de encuentro entre los creadores de virus que se especializan en hacer código malicioso que se apoderan de los equipos y convierten a los equipos en lo que se le conoce como Zombies, por esto mismo Marruecos es un lugar que sorprende.

“Es la primera vez que escucho hablar que proviene actividad maliciosa de Marruecos,” comentó Mikko Hypponen, jefe de investigación de la firma finlandesa F-secure.

Curiosamente, comentó Hypponen, Essebar es originario de Rusia donde se genera mucho código malicioso y donde operan muchos grupos criminales.

Según la firma anti-virus Sophos, el virus Zotob es una variante del virus Mytob el cual se ha adherido al código del Exploit. escrito por una comunidad hacker rusa llamada houseofdabus.

El exploit creado por la comunidad houseofdabus por el alemán Sven Jaschan para crear el gusano Sasser difundido en mayo del 2004.

Pete Simpson de Clearswift comentó que los sospechosos son inexpertos pues lo único que están haciendo es reescribir el código de otros gusanos para hacer variantes.

La evidencia en la que se basan para culpar a Essebar – de quien se reporta utilizó el nick de Diabl0- es que se sospecha que ha estado detrás de la creación de otros 20 virus, los cuales han sido variantes de los gusanos Mydoom, Mytob y Zotob.

“Existen muchos códigos fuentes alrededor del gusano Mytob mismos que han producido muchas variantes,” comentó Simpson.

No es suficiente con que las firmas antivirus sepan manejar al gusano Zotob, ellos también saben porque los hackers hacen eso: dinero

“Esto cambia quien es nuestro enemigo,” comentó Hypponen. A pesar de que la intención del ataque de los virus es diferente, el 50 % de los virus contiene el nombre de los hackers o del grupo de hackers que están detrás de cada uno de los virus.

EL dinero fue que le dio Ekici fue lo que motivó a Essebar a distribuir el gusano Zotob.

Al parecer, Essebar trataba de hacer dinero de diversa manera, mientras que los usuarios eran víctimas de los gusanos Mytob y Zotob.

También por accidente, David Taylor, especialista de seguridad de la universidad de Pennsylvannia tuvo una conversación en línea con un hacker con nick Diabl0

David Taylor comentó a la BBC que la oportunidad de chatear con este hackers, se dio a raíz de que se puso a investigar sobre un correo electrónico enviado a la universidad que le pareció sospechoso.

Taylor se dio cuenta que cuando se compromete un equipo a través de un correo electrónico malicioso, este se conecta a un chat IRC para ser controlado y convertirse en lo que se llama zombie.

Taylor extrajo el nombre del servidor de chat además de capturar el tráfico, al analizar l tráfico, se dio cuenta que existía conexiones de otras universidades que habían sido víctimas del mismo ataque.

Luego de hacer varios intentos de comunicación, Taylor logró establecer una comunicación con el moderador del chat IRC, mismo que se hacia pasar por el nombre de Diabl0

Sin embargo, no existe evidencia directa de que la persona con la que Taylor platicaba, es la misma que se arrestó, “Como quiera que sea, esta persona hablaba de conectarse a equipos que se encontraban en Marruecos,” comentó Taylor.

Durante la conversación de chat, Diabl0 hablaba de utilizar el gusano Mytob para vulnerar la seguridad en el Internet Explorer de Microsoft y lograr que los pop-up no fueran desactivados.

Diabl0 comentó que los creadores de pop-up le pagarían por cada usuario afectado. Aun y cuando los usuarios eliminaran el virus, la configuración seguiría igual y las alertas de anuncios no deseados continuarían.