Virus y Troyanos

Zobot o Ircbot son los últimos virus que aprovechan una reciente vulnerabilidad de Windows. Aunque su incidencia está siendo discreta y no puede considerarse una epidemia, llama la atención el cada vez más corto espacio de tiempo que discurre entre que una vulnerabilidad es descubierta, y aparece un virus que la aprovecha automáticamente. En esta ocasión, tan solo siete días.

19-08-2005 - Zobot se ha acercado al récord de velocidad de “nacimiento” de un virus, que se encuentra en cuatro días. Se entiende como velocidad de nacimiento, el tiempo que discurre entre que una vulnerabilidad se hace pública, y la aparición de un gusano o virus que la aprovecha para ejecutar código en los sistemas no parcheados.

Como cada segundo martes de mes, Microsoft hacía públicos unos parches para corregir diversas vulnerabilidades encontradas en su sistema operativo. El pasado 9 de agosto, se conocía, entre otras, un fallo en el componente Plug & Play de Microsoft (MS05-039), que permitía la ejecución de código arbitrario en el sistema sin necesidad de ejecutar nada. Si el sistema mantenía el puerto 445 abierto, podía ser atacado. Sólo siete días más tarde, y sin que se ofreciera oficialmente ninguna información técnica del fallo, aparecía el primer virus capaz de aprovechar automáticamente la vulnerabilidad.

Zotob ya ha comenzado a hacer daño en diversas redes. Estados Unidos es uno de las principales víctimas con afectados tan importantes como la CNN, ABC y The New York Times, según se ha comentado en distintos medios de Internet.

Los creadores necesitaron tan solo siete días para estudiar el parche publicado por Microsoft y, a partir de ahí, deducir un programa capaz de explotar el fallo y tomar el control de la máquina vulnerable. Comienza entonces una incesante aparición de nuevas variantes de virus y gusanos capaces de transmitirse de la misma manera, aprovechando el fallo Plug & Play.

Si hace cuatro años, virus como Nimda y Code Red aparecieron 250 días después de hacer pública una vulnerabilidad, hoy esa distancia se acorta sensiblemente. Los usuarios y profesionales comienzan a tomarse en serio la política de actualizaciones de sus sistemas Windows, y hoy día, 250 días serían demasiados para que cualquier virus que aprovechase un fallo se propagara con efectividad. Ante esta concienciación, los creadores de virus trabajan a destajo para producirlos cada vez a mayor velocidad.

Si en 2003, Blaster necesitó aproximadamente un mes para ser liberado e infectar a medio mundo, en 2004 Sasser requirió 15 días para ser desarrollado a partir de una vulnerabilidad y causar nuevos estragos en todo ordenador que dependiese de los sistemas de Microsoft.

Pero el récord lo ostenta el exploit IFRAME que se nutría de un fallo en Internet Explorer. A mediados de noviembre de 2004 se descubrió que un manejo inadecuado de ciertas etiquetas FRAME e IFRAME en el código HTML podía permitir la ejecución de cualquier tipo de código en la máquina de la víctima. La vulnerabilidad se confirmó en todos los Internet Explorer 6.0 bajo Windows 2000 y XP, excepto XP con Service Pack 2 instalado y podía ser explotada por la simple visita de un enlace. Tan solo cuatro días después del descubrimiento, aparecía un virus que explotaba el fallo.

Además de Zobot, otros virus como DrudgeBot y el Bozori están siendo detectados como variantes más o menos peligrosas, todas aprovechando la misma vulnerabilidad. Además, algunos de ellos intentan desactivar a otras versiones, en lo que se ha convertido en una especie de guerra entre creadores de virus rivales.

Más información y referencias:

El virus Zotob sigue infectando equipos
http://www.vsantivirus.com/ev-18-08-05.htm

Virus made in 7 days
http://www.theglobeandmail.com/servlet/story/RTGAM.20050817.wirusess0817/BNStory/Technology/

Worm war II
http://www.theregister.co.uk/2005/08/18/pnp_worm_wars/

Worm Breaks Speed Record from Discovery to Life
http://www.bizreport.com/news/8328/

Sergio de los Santos
http://hackpasoapaso.tk