Virus y Troyanos

Aunque parezca extraño, los virus son cada vez más selectivos a la hora de infectar sistemas Windows. El gusano Bobax es capaz de comprobar la velocidad de conexión de la máquina que va a infectar y si le parece suficientemente rápida, lo reclutará para tomar el control y utilizarlo para el envío masivo de correo basura.

24-05-2004 - Hace meses que se viene observando una alianza estratégica entre los spammers o responsables de la plaga del correo basura y los creadores de virus, genios del código malicioso capaces de tomar el control de cientos de máquinas en cuestión de minutos. Los responsables del spam han visto en los virus una forma rápida y cómoda de reclutar direcciones de correo y sistemas que puedan servirles para potenciar su negocio, convirtiendo a los ordenadores infectados en máquinas reenviadoras de correo basura, multiplicando así las posibilidades de que alguien pique con algún email de este tipo.

Bobax se aprovecha de la conocida vulnerabilidad en el servicio LSASS de Windows, que permitía la ejecución de código remoto. Esta vulnerabilidad es la que aprovecha a su vez el virus Sasser, que tanta popularidad ha alcanzado. Para infectarse, no es necesario abrir ningún correo con Outlook Express ni ejecutar ningún programa, el único requisito para ser una víctima potencial es estar conectado a Internet sin la debida protección de cortafuegos o antivirus.

Lo más curioso de Bobax es su capacidad de medir la velocidad de conexión del sistema infectado. Para ello el virus se conecta a un servidor FTP público e intenta descargar un gran archivo de varios megas de peso. El gusano monitoriza la velocidad de descarga y crea algunas estadísticas que envía al creador del programa. Si los datos son "satisfactorios" el sistema será reclutado y se le comenzará a dar instrucciones para enviar correos basura.

Cada vez es más común la aparición de gusanos y virus con una doble intención. La clásica es la de infectar el mayor número de sistemas posibles por el simple hecho de alcanzar unos minutos de popularidad. La intención más reciente es la de aprovechar esta circunstancia para convertir a esos sistemas en zombies que sirvan para otros intereses, ya sean económicos o no.

Por ejemplo Blaster, el famoso virus que apareció en agosto de 2003 y poseía un "modus operandi" similar a Sasser, intentaba un ataque a la página corporativa de Microsoft realizado por las miles de peticiones coordinadas de las máquinas infectadas.

Hace un año, Guzu, uno de los primeros virus en utilizar a sus víctimas como reenviadores de correo basura, convertía el ordenador víctima en un pequeño servidor de correo. Los datos de conexión del sistema infectado eran enviados al spammer, que de esta manera comenzaba a utilizarlo para encauzar los mensajes y poder mandarlos a través de la nueva víctima a toda su lista de potenciales clientes.

Más información y referencias:

Spammers get fussy as zombie army grows
http://news.zdnet.co.uk/internet/security/0,39020375,39155483,00.htm

Los spammers experimentan con nuevas técnicas.
http://www.forzis.com/news/noticias.php?cod_noticia=47

Sergio de los Santos
http://www.forzis.com