2000-2010: Los códigos maliciosos de la década (Parte 1)

     

Parte 1

• Años 2000 y 2001
• Años 2002 y 2003
• Años 2004 y 2005
• Revisión histórica

La primera década del milenio termina, alrededor del mundo varios hechos y eventos que sucedieron cambiaron el rumbo de la historia por mencionar algunos, los ataques del 11 de septiembre de 2001 a las Torres Gemelas de Nueva York, el inicio de la Guerra en Afganistán y el derrocamiento del régimen de Hussein en Iraq.

A la par de estos sucesos, las tecnologías de la información experimentaron un vertiginoso avance y sofisticación, llegando incluso a niveles ficcionales. La aparición de dispositivos como el iPhone, el iPad, la comercialización a gran escala de computadoras de escritorio y portátiles, así como el boom de las redes sociales, abrieron brecha para que una gran cantidad de personas y negocios entraran a la llamada carrera digital. Países como Estados Unidos, China, Japón, India y algunos europeos tuvieron adelantos importantes al respecto.

Estos progresos no han venido solos, sino que han sido acompañados por los criminales cibernéticos, los cuales día a día buscan innovar mecanismos para dañar o engañar a los usuarios de estas tecnologías con muy diversos propósitos.

El objetivo de este documento es exponer las amenazas de malware de la década, con el propósito de difundir entre nuestros lectores, una idea básica del comportamiento que éstas han tenido, abriendo así el panorama de lo que muy probablemente podría presentarse en el futuro.

Se ofrece información respecto a las tres principales amenazas de cada año a fin de establecer cuáles fueron los sistemas, programas o aplicaciones más sensibles, de esta manera se podrá entender el avance y los pendientes en el quehacer de los expertos en seguridad informática.

Años 2000 y 2001

El año 2000 tuvo la presencia de tres importantes gusanos informáticos denominados: Stages, Loveletter y Kak.

El primero de ellos se trató de un malware que se propaga a través de la red, en ese momento los expertos consideraron que no presentaba un problema mayor, aunque lo cierto es que se determinó que su método de ocultamiento en los sistemas afectados era muy eficiente. Era un ejecutable de doble extensión, presentaba objetos empaquetados y afectaba principalmente a usuarios de Outlook.

El segundo caso es LoveLetter (ILOVEYOU), un gusano informático propagado a través de amplias y efectivas campañas de correo electrónico, afectó únicamente a usuarios del sistema operativo Windows. Una vez ejecutado en los equipos, es capaz de descargarse, sobrescribirse, borrarse e infectar a archivos de arranque a fin de infectar todo el equipo. Este código malicioso tuvo distintas variantes durante el siguiente año.

La tercera amenaza del año dos mil, la representó el malware conocido como Kak , se trató de un caballo de Troya distribuido también por campañas de correo electrónico. El punto interesante de este troyano, es que en el mecanismo de propagación se incluía un exploit que tomaba ventaja de software no actualizado o vulnerable, especialmente en el navegador Internet Explorer (versiones 4.0 y 5.0).

El siguiente año, 2001, trajo consigo nuevas oportunidades de desarrollo y escritura en los ataques de los delincuentes cibernéticos, los cuales presentaron en aquel tiempo las siguientes tres amenazas importantes: Sir Cam, Hybris y Magistr

La primera de ellas, el virus Sir Cam , el cual según los expertos, fue de origen mexicano. Estaba dirigido a atacar todas las variantes de Windows, singularmente este malware poseía simultáneamente características de gusano de Internet y de caballo de Troya, se propagaba a través del correo electrónico, robando la libreta de direcciones de los equipos infectados, y más allá, mediante el historial de archivos de sitios guardados en caché. Se presentaba tanto en idioma español, como en inglés y afecta preferentemente a archivos de extensión .EXE.

La segunda amenaza, el gusano Hybris , apareció a finales del año 2000, la oferta que aprovechaba para propagarse a través de campañas de correos masivos, era el sexo y la pornografía. Afectaba únicamente a usuarios con sistema Win32, adueñándose del archivo de arranque para las comunicaciones, al tiempo que empleaba plugins o componentes agregados para establecer su funcionalidad y actualizarse.

Magistr, la tercera de este año, es un gusano y virus a la vez, tomaba el control de los archivos .EXE de los sistemas Windows, podría causar tanto daño que incluso, algunos equipos infectados sufrieron averías en las que se perdieron grandes cantidades de información del disco duro, o bien, requirieron el cambio de la tarjeta madre. Su distribución se realizaba a través de correos electrónicos masivos.

Años 2002 y 2003

Durante el año 2002, las amenazas siguieron ahora con Klez, SirCam continuó su trabajo sucio (en segunda posición) y en tercera con Bugbear.

Klez , era un gusano de Internet que afectaba principalmente al navegador Internet Explorer (en sus versiones 5.01 ó 5.5). Para propagarse se apoderaba de los campos de emisión en el correo electrónico (De:), a fin de hacer pasar al correo como mensaje de una persona de confianza. Intentaba sacar de funcionamiento al programa de antivirus instalado en el equipo. Ofrecía además una cura contra él mismo.

El gusano de Internet, Bugbear , se trataba de un archivo de doble extensión propagado a través del correo electrónico, aunque si no se tenía actualizado el navegador Internet Explorer o el equipo estaba conectado en red con algún equipo infectado no era necesario abrir el archivo malicioso adjuntado, con sólo previsualizarlo era suficiente para infectarse. Se cargaba en archivos de arranque del sistema operativo Windows, descargando un troyano capaz de capturar la información del usuario, por lo que aumentaba el riesgo de fraude.

2003, fue también un año dinámico en cuanto amenazas, las tres principales son: Opaserv, Sobig y Klez (que persistió, en menor medida, estando presente entre las principales).

Opaserv impactó por su destreza al comprometer y propagarse a una velocidad considerable, su distribución a través de las redes y sus aplicaciones de actualización lo hizo una amenaza significativa. Afectaba al directorio de inicio de Windows con el objetivo de apoderarse de un conjunto de ejecutables, para que cada vez que se corrieran, el gusano se activara.

En tanto, Sobig fue otro gusano informático que se propagó rápidamente a través de correo electrónico y de redes interconectadas, se dirigió a equipos con sistema operativo Windows, al descargarse en las unidades comprometidas, éste dejaba caer un troyano, que creaba una puerta trasera, permitiendo a los intrusos recolectar información de los equipos para continuar con el ciclo de infección.

Años 2004 y 2005

En este periodo siguieron surgiendo más amenazas, las cuales mejoran el estilo de su engaño o la sofisticación para su propagación, las tres principales del 2004 fueron: Phatbot , Beagle y Baster.

La primera de éstas se trató de un caballo de Troya, el cual infectaba a los equipos con código adicional recopilado desde diversas fuentes. Phatbot buscaba enrolar computadoras comprometidas tanto como se pudiera, para formar una botnet o red de máquinas "zombis" (Ver Fig.4), para ello inyectaba gusanos informáticos y tomaba el control de la terminal, esta red sería la encargada de aumentar la escala de infección a niveles masivos. Una vez más aquellas con sistema operativo Windows fueron el blanco.

Beagle , también conocido como Bagle, fue un gusano informático propagado mediante el envío masivo de correos electrónicos, la infección se originaba en el archivo adjunto de doble extensión, el cual se dirigía archivos de programa tan inofensivos como el de calc.exe (sí, la calculadora de los Accesorios de Windows), modificando el registro hasta poder permanecer activo después del reinicio. Descargaba también un troyano que hacía las veces de proxy amenazando con descargarse en más archivos desde Internet.

Baster o Blaster fue otro gusano de Internet considerado peligroso, ya que a diferencia de otros, se trató de un gusano especial que mezclaba más de un tipo de ataque, hasta formar una amenaza compuesta, un mix de ataques que aprovecha al máximo cualquier vulnerabilidad que se presente en un sistema operativo. Su característica de propagación lo situó dentro de los más rápidos. Se dirigía especialmente a sistemas operativos Windows no actualizados.

Para 2005, las principales amenazas fueron Netsky, Sober y Mytob. Netsky era un gusano informático que llegaba a los usuarios a través del correo electrónico, una de sus características, es que estaba escrito completamente en inglés y además se podía propagar a través de archivos compartidos en sitios de P2P (peer to peer), como Ares, Napster, entre otros. Afectaba a sistemas Windows, principalmente al programa de cliente de correo Microsoft Outlook, ya que aprovechaba una vulnerabilidad en el código (conocida como Exploit/Iframe) Internet Explorer denominado Iframe.

El gusano Sober , era un código malicioso que se distribuyó a través de correos electrónicos masivos, al infectar el equipo con sistema operativo Windows, reproducía la cadena de infección con el reenvío de copias de sí mismo, podría venir escrito en alemán o inglés, utilizaba diversos asuntos, todos relacionados con la seguridad informática, algunos ejemplos son temas como antivirus, anti-troyanos, parches de actualización, etcétera.

Mytob, era otro gusano informático propagado mediante correos de envío masivo, una vez en el equipo infectado se apoderaba de la lista de direcciones de contacto en Windows, también era capaz de crear una puerta trasera, con la que tomaba ventaja para infectar todas las redes a las que estuviera conectada la máquina comprometida, explotando vulnerabilidades en los equipos de contacto.

Este artículo continuará, mantente atento al sitio del usuario casero.

Animación:

[ Más videos ] [ Volver a Eduteca ][ Volver al menu ]