Virus y Troyanos

Sasser.E, la quinta versión de este gusano, muestra un mensaje de advertencia en los sistemas infectados avisando de la necesidad de "vacunarse" contra Sasser, además de borrar en el sistema las claves de registro que utilizan las otras versiones para persistir en su víctima. Paradójicamente, y aunque pudiese parecer que el virus ha sido creado como muestra de buena voluntad, abre también una puerta trasera que expone el sistema al exterior.

11-05-2004 - El día siete de mayo se detenía a un estudiante alemán como presunto autor del gusano Blaster y Netsky, gracias en parte a la importante recompensa que ofrecía Microsoft a quien aportara datos. Además se cree que este mismo estudiante ha sido el autor o coautor de la mayoría de las versiones de NetSky. Antes o después de que se llevara a cabo el arresto (los expertos no se ponen de acuerdo) se liberó esta versión de Sasser.E, presuntamente también por el mismo autor.

Sasser.E incluye un código que aparece cada cierto tiempo advirtiendo a la víctima de que no tiene instalado el parche necesario en su sistema, y firma el mensaje como "SkyNet Team". También borra las claves del registro de gusanos como Beagle y crea una consola remota en el puerto 1022, a la que se puede conectar cualquiera desde el exterior para ejecutar código.

Sasser, afortunadamente, ha experimentado una propagación menor que Blaster. Aun así, se nivel de difusión ha sido bastante alto. No es el primer virus que intenta vacunar o borrar las huellas de gusanos anteriores de gran propagación. Hace solo unas semanas, Netsky y Beagle protagonizaron una guerra no conocida hasta ahora entre virus-coders (programadores de virus). Netsky comenzó como un gusano que inhabilitaba a otros virus, pasando por sistema capaz de reclutar víctimas para futuros ataques de denegación de servicio, para convertirse en el azote de Beagle, su principal "competidor", al que hacía referencia en mensajes despectivos que colgaba en el sistema de sus víctimas. Cuando Blaster azotaba Internet en agosto de 2003 (y aún lo sigue haciendo), surgió Welchia o "anti blaster", un gusano que eliminaba Blaster de sistemas infectados e intentaba actualizar el sistema con nuevos parches de seguridad. El volumen de tráfico que generaba la operación volvió a este "buen" gusano una simple anécdota, sin relevancia ni índice de infección destacable.

Por otro lado, existe ya un nuevo virus que se aprovecha de la misma vulnerabilidad que las distintas variantes de Sasser. Cyclo afecta a sistemas que estén ejecutándose bajo Windows XP o 2000, sin el parche MS04-011 instalado. Como novedad, cabe recalcar que, aunque no las infecta, puede ejecutarse en máquinas con Windows 9x que utiliza como amplificadores de sus ataques. Crea en su víctima además un archivo de texto reivindicando causas políticas en Irán.

Más información y referencias:

Author leaves warning in latest Sasser worm
http://news.com.com/2100-7349_3-5209459.htm

Capturados autores del Sasser, del Netsky y del Agobot
http://www.vsantivirus.com/ev-captura-sasser.htm

Sergio de los Santos
http://www.forzis.com