lunes, 16 de noviembre de 2009

10 virus y gusanos informaticos que aterrorizaron al mundo

El término virus se utiliza en informática para referirse a un software dañino que es capaz de auto ejecutarse y replicarse. Por otro lado tenemos a los gusanos, que muchos engloban en la categoría de virus, y que se diferencian de estos en que no necesitan de la intervención del usuario para propagarse, sino que utilizan medios como el P2P, la mensajería instantánea o el correo electrónico, por ejemplo, enviando correos a todos los contactos de la libreta de direcciones de la víctima. Actualmente, gracias a Internet, los gusanos son el tipos de malware más común, y el más virulento.

CORE WAR
Core War no fue un virus en sí mismo, sino un juego que se puede considerar como uno de los primeros precursores de lo que hoy en día conocemos como virus informáticos.

Creado en los años 60 por los desarrolladores de Bell Computer, a modo de pasatiempo, el juego consistía en programar una aplicación en un lenguaje de bajo nivel, llamado Red Code, que competía con otras aplicaciones por el control de la memoria de la máquina.

Core War estuvo inspirado en el artículo “Teoría y organización de autómatas complejos”, de 1949, en el que John von Neumann expresaba por primera vez la idea de crear programas capaces de auto replicarse.

CREEPER
Creeper (enredadera) es el nombre que se le dio al primer virus del que se tiene constancia, escrito en 1971 por Bob Thomas, mucho antes de que Fred Cohen acuñara el término para designar a esta clase de programas en 1983.

Escrito para el sistema operativo Tenex, Creeper se propagaba a través de los nodos de la ARPANET mostrando el mensaje “I’m the creeper, catch me if you can!” (Soy la enredadera, ¡atrápame si puedes!) en las máquinas infectadas.

Poco después, algún buen samaritano anónimo creó Reaper (segadora), otro virus que se propagaba a través de la red eliminando Creeper de las máquinas infectadas. Podemos considerar a Reaper, por tanto, como el primer “antivirus” de la historia.

BRAIN
Con el virus para MS-DOS “Brain”, de 1986, los virus se volvieron algo más sofisticados. Este virus, que está considerado como el primer virus para IBM PC compatible de la historia, y que infectaba el sector de arranque de los discos, intentaba ocultar su presencia interceptando todas las llamadas de sistema que se utilizaban para detectar los virus, haciendo que devolvieran valores que sugerían que el sistema no había sido infectado.

Después de esta pequeña retrospectiva, demos ahora un salto de 13 años para comenzar con la historia moderna de los virus.

MELISSA
En Mazo de 1999 el virus “Melissa” logró establecer un nuevo récord infectando más de 100.000 máquinas en sólo 3 días, y causando una cantidad inimaginable de tráfico en la red mientras se propagaba.

Melissa era un virus de tipo macro, es decir, un virus cuyo código fuente se encuentra en la macro de un documento, como pueden ser los doc de Microsoft Word o los xls de Microsoft Excel. En concreto, en el caso de Melissa, la macro se encontraba dentro de un documento de Word que prometía contener contraseñas para decenas de sitios eróticos de pago, documento que comenzó a distribuirse a través del grupo de noticias alt.sex y que se propagaba reenviándose a los 50 primeros contactos de la agenda de direcciones del infectado. Además, también infectaba la plantilla de documento por defecto de Word, normal.dot, de forma que cualquier archivo creado utilizando esta plantilla contenía también la macro con el código del virus.

I LOVE YOU
¿Qué harías si recibieras un correo de una persona conocida con un título tan llamativo como “Te amo”? Probablemente te faltaría tiempo para abrirlo. De este conocimiento se aprovechó en su día ILOVEYOU, un sencillo gusano escrito en VBScript que causó estragos en Mayo de 2000.

La forma de funcionar de este gusano era bastante simple y nada sofisticada, aunque hacía un uso muy ingenioso de la ingeniería social. El usuario recibía un correo que parecía proceder de un conocido y que llevaba por título ILOVEYOU (Te quiero), junto con un archivo adjunto en forma de script vbs (LOVE-LETTER-FOR-YOU.TXT.vbs) y un mensaje que pedía al usuario que leyera su carta de amor adjunta. Al ejecutar el script, el gusano se propagaba reenviándose a todos los contactos de la libreta de direcciones del usuario, haciéndose pasar por este.

Además el gusano instalaba un troyano y destruía todos los archivos de extensión doc, vbs, vbe, js, jse, css, wsh, sct, hta, jpg y jpeg en los ordenadores infectados, sustituyendolos por una copia del script. También ocultaba los archivos mp3 y mp2 (qué considerado por no borrar la música…)

En poco más de una semana este gusano, que llegó a afectar al Pentágono, la CIA y el parlamento británico, consiguió infectar 50 millones de máquinas, provocando unas pérdidas estimadas en 5.500 millones de dólares.

El autor, un filipino de nick “spyder” quedó impune, al no disponer Filipinas de leyes que legislaran los delitos informáticos en ese momento.

NIMDA
En Septiembre de 2001 el gusano “Nimda” (admin leído al revés) llevó al gran público a cotas de paranoia nunca alcanzadas anteriormente por un virus informático. A esto contribuyó, a parte de su caracter especialmente virulento, el absurdo rumor de que podía tratarse de un ataque de Al Qaeda.

Nimda logró convertirse en el gusano más propagado de la red en minutos, e infectar casi medio millón de máquinas sólo durante las primeras 12 horas. Esto fue debido a los 5 métodos de infección que utilizaba:

Enviaba un archivo readme.exe a los correos electrónicos de la libreta de direcciones del usuario, y a todas las direcciones de correo encontradas en la caché del navegador.
Valiéndose de una vulnerabilidad de desbordamiento de búfer, infectaba servidores web que utilizaran Microsoft IIS
Utilizaba los recursos compartidos de la red en la que se encontrara la máquina infectada
También se aprovechaba de puertas traseras creadas por la infección de los gusanos Code Red II y Sadmind.
Y, por último, y más importante, modificaba los archivos html, htm y asp de los servidores web que encontraba, añadiendo un código JavaScript que intentaba descargar y ejecutar el virus en la máquina del cliente
BLASTER
El gusano Blaster, también conocido como Lovsan, hizo las delicias de los servicios técnicos de informática en 2003, cuando cientos de miles de personas se encontraron con que su PC se apagaba sólo a los pocos instantes de arrancarlo.

Blaster se aprovechaba de una vulnerabilidad en el servicio de DCOM RPC de Windows, y estaba pensado para lanzar un ataque DDoS contra la web de Windows Update en una fecha determinada, aunque no logró los efectos esperados debido a errores de programación.

Días después del lanzamiento de Blaster, se detectó otro gusano, de nombre Welchia, con intenciones aparentemente benévolas, y que utilizaba la misma vulnerabilidad para propagarse, eliminar Blaster, e instalar las actualizaciones necesarias para impedir de nuevo la infección.

SOBER
Un par de meses después de que apareciera Blaster la red tuvo que hacer frente a una amenaza mucho más peligrosa y molesta: el gusano Sober y sus decenas de variantes, algunas de las cuáles llegaron hasta 2005. Las peores variantes de este gusano estaban pensadas para desactivar el firewall y antivirus del usuario, recolectar direcciones de correo electrónico para enviar spam, y utilizar las máquinas infectadas en redes de bots.

SASSER
Sasser (2004), como Blaster, se aprovechaba de una vulnerabilidad de Windows para propagarse, concretamente en el servicio LSASS (Subsistema de autoridad de seguridad local), del que toma su nombre. También como Blaster, y debido a que el gusano provocaba un desbordamiento de búfer en el ejecutable de LSASS, el sistema se apagaba al poco de tiempo de iniciarse.

Sasser infectó los sistemas de hospitales, universidades, bancos, compañías aéreas, agencias de noticias, … lo que hizo que se cancelaran vuelos, se cerraran empresas durante días, y se tuviera que trasladar enfermos de un hospital a otro.

CONFICKER
Conficker, detectado por primera vez hace justo un año (Noviembre de 2008), y cuyas últimas variantes aún se encuentran entre nosotros, es el último gran malware al que los usuarios tuvimos que soportar. Como Nimda, también se hizo con una enorme red de bots gracias a los distintos medios de propagación que utilizaba: se aprovechaba de una vulnerabilidad de desbordamiento de búfer del servicio Server de Windows, infectaba los dispositivos extraibles, como los pendrives, e infectaba equipos con recursos compartidos no protegidos, o con contraseñas poco seguras.

Además este gusano era especialmente difícil de erradicar, ya que desactivaba las actualizaciones automáticas de Windows y las actualizaciones de los antivirus instalados, impedía el acceso a las páginas web de los fabricantes de antivirus y eliminaba los puntos de restauración del sistema.

No hay comentarios: