• Tweet

Escritores de virus despiertan y huelen dinero

Cada semana vnunet.com pide a diferentes expertos que den su punto de vista en los asuntos recientes de seguridad y de virus, con consejos, advertencias e información de las últimas amenazas.

Esta semana David Emm, jefe de consultoría de tecnología, de Kaspersky Lab, en Inglaterra, nos advierte de la creciente amenaza que los escritores de virus están buscando para "hacer" dinero a partir de sus creaciones.

En los buenos tiempos, mucho virus cayeron en la categoría de ciber-vandalismo, escritos por programadores inexpertos como forma de una autoexpresóin antisocial. Una gran parte del código que han producido, es de mala calidad, a pesar, por supuesto de algunas notables excepciones.

Las cosas han cambiado, tristemente para lo peor. La conectividad ofrecida por internet ha dado una tierra fértil para los autores de virus, permitiéndoles intercambiar ideas y código con escritores de virus más avanzados. Al mismo tiempo, el web se ha convertido en una parte vital para el comercio, con creciente número de empresas que confían en él para hacer negocios.

Como estos dos desarrollados se yuxtaponen, el último año se ha visto que en las "profundidades" (underground) del internet ha realzado el potencial de hacer dinero a partir de las creaciones de virus en un mundo "cableado".

Muchas de las amenazas de hoy en día son compuestas por un montón de código malicioso, y cada vez más, este montón contiene Troyanos. Variantes sucesivas de Beagle, Netsky y MyDoom por ejemplo, han instalado Troyanos en las computadoras infectadas. El objetivo es obtener el control total sobre la computadora atacada, para que pueda ser usada para actividades maliciosas.

Los equipos infectados frecuentemente son combinados entre redes, muchas veces usando canales IRC o sitios web, donde el autor ha puesto una funcionalidad adicional. Los Troyanos más complejos, como variantes de Agobot, combinan equipos infectados en una sola red P2P. Dichas redes 'bot' ofrecen una manera efectiva de controlar máquinas: para recolectar datos personales (passwords, pins, etc) para distribuir spam, o para enviar ataques de negación de servicio distribuido.

Ha habido un incremento significativo de las puertas traseras durante el año pasado diseñadas para "robar" datos financieros confidenciales. Docenas de nuevas variantes aparecen cada semana, a veces en diferente forma o función. Algunos son capturadores de teclas presionadas que posteriormente mandan la información capturada por correo al autor o controlador o el Troyano. Los más elaborados proveen en control completo de la computadora atacada, enviando flujos de datos hacia otros equipos y recibiendo ordenes de dicho servidores.

Además, ha surgido una clara relación entre código malicioso y distribución de spam. La aparición del Troyano Mitgleider a principios del 2004 estableció una nueva categoría de Troyanos Proxy de código malicioso estrechamente relacionada con el spam.

Mitgleider usaba una de dos vulnerabilidades del Internet Explorer para instalar y ejecutar un servidor proxy en los equipos infectados. Entonces el troyano abre un puerto permitiéndole mandar y recibir correos, convirtiendo a las computadoras en una legión de zombies distribuidores de spam.

Otra categoría de Troyanos, lod droppers, están diseñados específicamente para instalar otros programas maliciosos en el equipo. Como una forma de "archivo" de código malicioso, pueden llevar varias piezas sin relación de código malicioso, sin importar función, comportamiento e incluso escritos por diferentes autores.

Los droppers normalmente son usados para llevar Troyanos conocidos, ya que es mucho más fácil escribir un dropper que crear un troyano completamente nuevo. La mayoría de los droppers están escritos en Visual Basic o JavaScript, por lo que son muy fáciles de escribir y de llevar a cabo distintas tareas.

Los Downloaders ofrecen una variante del mismo tema. Como su nombre los sugiere, su propósito es "traer" código malicioso desde un sitio remoto. Esto puede ser un troyano o un nuevo código malicioso, extendiendo la utilidad del equipo infectado para el autor.

Como los droppers, los downloaders están escritos normalmente en lenguajes de script como Visual Basic o JavaScript, pero además explotan vulnerabilidades de Internet Explorer para "bajar" dicho código malicioso.

Y no es solo el código de troyano el que se instala. Los droppers y downloaders también son usados para instalar otros programas no-virales sin el consentimiento del usuario. Esto incluye programas de publicidad que muestran anuncios independientemente de la actividad del usuario, o "marcadores" (dialers) que se conectan a sitios de paga de pornografía automáticamente.

Sin embargo, los troyanos no son usados solamente para "robar" datos personales o capturar passwords de la red. Además son usados para llevar a cabo ataques de negación de servicio distribuidos (DDoS) como por ejemplo MyDoom, Wallon, Plexus y Zafi.

Una vez que el número de computadoras infectadas alcanza una "masa crítica", los troyanos inmiscuidos pueden ser instruidos para inundar un sitio particular. Han habido varios casos reportados de ataques DDoS relacionados con extorsión, donde un ataque de "baja-escala" se usa para demostrar una más amplia capacidad: "Págenos o tiraremos su sitio con un ataque DDoS".

El uso de los troyanos para "robar" passwords, accesar datos confidenciales, desplegar ataques DDoS y de distribuir spam realza un cambio clave en la naturaleza de el horizonte en las nuevas amenazas: incremento en la comercialización.

Y es claro que esto continuará tanto mientras sea rentable para los comerciantes y/o escritores de código malicioso en la obtención de dinero ilegalmente.