2000-2010: Los códigos maliciosos de la década

08/02/2011

La primera década del milenio termina, alrededor del mundo varios hechos y eventos que sucedieron cambiaron el rumbo de la historia por mencionar algunos, los ataques del 11 de septiembre de 2001 a las Torres Gemelas de Nueva York, el inicio de la Guerra en Afganistán y el derrocamiento del régimen de Hussein en Iraq.

A la par de estos sucesos, las tecnologías de la información experimentaron un vertiginoso avance y sofisticación, llegando incluso a niveles ficcionales. La aparición de dispositivos como el iPhone, el iPad, la comercialización a gran escala de computadoras de escritorio y portátiles, así como el boom de las redes sociales, abrieron brecha para que una gran cantidad de personas y negocios entraran a la llamada carrera digital. Países como Estados Unidos, China, Japón, India y algunos europeos tuvieron adelantos importantes al respecto.

Estos progresos no han venido solos, sino que han sido acompañados por los criminales cibernéticos, los cuales día a día buscan innovar mecanismos para dañar o engañar a los usuarios de estas tecnologías con muy diversos propósitos.

El objetivo de este documento es exponer las amenazas de malware de la década, con el propósito de difundir entre nuestros lectores, una idea básica del comportamiento que éstas han tenido, abriendo así el panorama de lo que muy probablemente podría presentarse en el futuro.

Se ofrece información respecto a las tres principales amenazas de cada año a fin de establecer cuáles fueron los sistemas, programas o aplicaciones más sensibles, de esta manera se podrá entender el avance y los pendientes en el quehacer de los expertos en seguridad informática.

 

Años 2000 y 2001

El año 2000 tuvo la presencia de tres importantes gusanos informáticos denominados: Stages, Loveletter y Kak.

El primero de ellos se trató de un malware que se propaga a través de la red, en ese momento los expertos consideraron que no presentaba un problema mayor, aunque lo cierto es que se determinó que su método de ocultamiento en los sistemas afectados era muy eficiente. Era un ejecutable de doble extensión, presentaba objetos empaquetados y afectaba principalmente a usuarios de Outlook.

El segundo caso es LoveLetter (ILOVEYOU), un gusano informático propagado a través de amplias y efectivas campañas de correo electrónico, afectó únicamente a usuarios del sistema operativo Windows. Una vez ejecutado en los equipos, es capaz de descargarse, sobrescribirse, borrarse e infectar a archivos de arranque a fin de infectar todo el equipo. Este código malicioso tuvo distintas variantes durante el siguiente año.

La tercera amenaza del año dos mil, la representó el malware conocido como Kak , se trató de un caballo de Troya distribuido también por campañas de correo electrónico. El punto interesante de este troyano, es que en el mecanismo de propagación se incluía un exploit que tomaba ventaja de software no actualizado o vulnerable, especialmente en el navegador Internet Explorer (versiones 4.0 y 5.0).

El siguiente año, 2001, trajo consigo nuevas oportunidades de desarrollo y escritura en los ataques de los delincuentes cibernéticos, los cuales presentaron en aquel tiempo las siguientes tres amenazas importantes: Sir Cam, Hybris y Magistr

La primera de ellas, el virus Sir Cam , el cual según los expertos, fue de origen mexicano. Estaba dirigido a atacar todas las variantes de Windows, singularmente este malware poseía simultáneamente características de gusano de Internet y de caballo de Troya, se propagaba a través del correo electrónico, robando la libreta de direcciones de los equipos infectados, y más allá, mediante el historial de archivos de sitios guardados en caché. Se presentaba tanto en idioma español, como en inglés y afecta preferentemente a archivos de extensión .EXE.

La segunda amenaza, el gusano Hybris , apareció a finales del año 2000, la oferta que aprovechaba para propagarse a través de campañas de correos masivos, era el sexo y la pornografía. Afectaba únicamente a usuarios con sistema Win32, adueñándose del archivo de arranque para las comunicaciones, al tiempo que empleaba plugins o componentes agregados para establecer su funcionalidad y actualizarse.

Magistr, la tercera de este año, es un gusano y virus a la vez, tomaba el control de los archivos .EXE de los sistemas Windows, podría causar tanto daño que incluso, algunos equipos infectados sufrieron averías en las que se perdieron grandes cantidades de información del disco duro, o bien, requirieron el cambio de la tarjeta madre. Su distribución se realizaba a través de correos electrónicos masivos.

 

Años 2002 y 2003

Durante el año 2002, las amenazas siguieron ahora con Klez, SirCam continuó su trabajo sucio (en segunda posición) y en tercera con Bugbear.

Klez , era un gusano de Internet que afectaba principalmente al navegador Internet Explorer (en sus versiones 5.01 ó 5.5). Para propagarse se apoderaba de los campos de emisión en el correo electrónico (De:), a fin de hacer pasar al correo como mensaje de una persona de confianza. Intentaba sacar de funcionamiento al programa de antivirus instalado en el equipo. Ofrecía además una cura contra él mismo.

El gusano de Internet, Bugbear , se trataba de un archivo de doble extensión propagado a través del correo electrónico, aunque si no se tenía actualizado el navegador Internet Explorer o el equipo estaba conectado en red con algún equipo infectado no era necesario abrir el archivo malicioso adjuntado, con sólo previsualizarlo era suficiente para infectarse. Se cargaba en archivos de arranque del sistema operativo Windows, descargando un troyano capaz de capturar la información del usuario, por lo que aumentaba el riesgo de fraude.

2003, fue también un año dinámico en cuanto amenazas, las tres principales son: Opaserv, Sobig y Klez (que persistió, en menor medida, estando presente entre las principales).

Opaserv impactó por su destreza al comprometer y propagarse a una velocidad considerable, su distribución a través de las redes y sus aplicaciones de actualización lo hizo una amenaza significativa. Afectaba al directorio de inicio de Windows con el objetivo de apoderarse de un conjunto de ejecutables, para que cada vez que se corrieran, el gusano se activara.

En tanto, Sobig fue otro gusano informático que se propagó rápidamente a través de correo electrónico y de redes interconectadas, se dirigió a equipos con sistema operativo Windows, al descargarse en las unidades comprometidas, éste dejaba caer un troyano, que creaba una puerta trasera, permitiendo a los intrusos recolectar información de los equipos para continuar con el ciclo de infección.

 

Años 2004 y 2005

En este periodo siguieron surgiendo más amenazas, las cuales mejoran el estilo de su engaño o la sofisticación para su propagación, las tres principales del 2004 fueron: Phatbot , Beagle y Baster.

La primera de éstas se trató de un caballo de Troya, el cual infectaba a los equipos con código adicional recopilado desde diversas fuentes. Phatbot buscaba enrolar computadoras comprometidas tanto como se pudiera, para formar una botnet o red de máquinas "zombis" (Ver Fig.4), para ello inyectaba gusanos informáticos y tomaba el control de la terminal, esta red sería la encargada de aumentar la escala de infección a niveles masivos. Una vez más aquellas con sistema operativo Windows fueron el blanco.

Beagle, también conocido como Bagle, fue un gusano informático propagado mediante el envío masivo de correos electrónicos, la infección se originaba en el archivo adjunto de doble extensión, el cual se dirigía archivos de programa tan inofensivos como el de calc.exe (sí, la calculadora de los Accesorios de Windows), modificando el registro hasta poder permanecer activo después del reinicio. Descargaba también un troyano que hacía las veces de proxy amenazando con descargarse en más archivos desde Internet.

Baster o Blaster fue otro gusano de Internet considerado peligroso, ya que a diferencia de otros, se trató de un gusano especial que mezclaba más de un tipo de ataque, hasta formar una amenaza compuesta, un mix de ataques que aprovecha al máximo cualquier vulnerabilidad que se presente en un sistema operativo. Su característica de propagación lo situó dentro de los más rápidos. Se dirigía especialmente a sistemas operativos Windows no actualizados.

Para 2005, las principales amenazas fueron Netsky, Sober y Mytob. Netsky era un gusano informático que llegaba a los usuarios a través del correo electrónico, una de sus características, es que estaba escrito completamente en inglés y además se podía propagar a través de archivos compartidos en sitios de P2P (peer to peer), como Ares, Napster, entre otros. Afectaba a sistemas Windows, principalmente al programa de cliente de correo Microsoft Outlook, ya que aprovechaba una vulnerabilidad en el código (conocida como Exploit/Iframe) Internet Explorer denominado Iframe.

El gusano Sober, era un código malicioso que se distribuyó a través de correos electrónicos masivos, al infectar el equipo con sistema operativo Windows, reproducía la cadena de infección con el reenvío de copias de sí mismo, podría venir escrito en alemán o inglés, utilizaba diversos asuntos, todos relacionados con la seguridad informática, algunos ejemplos son temas como antivirus, anti-troyanos, parches de actualización, etcétera.

Mytob, era otro gusano informático propagado mediante correos de envío masivo, una vez en el equipo infectado se apoderaba de la lista de direcciones de contacto en Windows, también era capaz de crear una puerta trasera, con la que tomaba ventaja para infectar todas las redes a las que estuviera conectada la máquina comprometida, explotando vulnerabilidades en los equipos de contacto.

 

Años 2006 y 2007

Curiosamente, en este lapso de tiempo, las tres mismas amenazas ocuparon los mismos puestos, éstas fueron Netsky, Mytob y Bagle (quienes desde años atrás, ya se habían posicionado como malware de preocupación). Aparecieron distintas variantes que potencializaron la tasa de infección y el éxito de los ataques, como Netsky.b, Netsky.AF, Myotb.PQ, Mytob.TR, Bagle.NAA, Bagle.X.dropper.

 

Años 2008 y 2009

Durante el 2008, Netsky y Mytob perduraron a través de variantes, no obstante fueron superados por una amenaza nueva llamada Agent, ésta se trataba de un caballo de Troya capaz de escurrirse como adware y spyware, asumía técnicas de rookit para poder ocultarse y evitar su eliminación, al emplear este tipo de técnicas le era posible interceptar cuentas de usuario y crear otras especiales, eliminando las propiedades de administrador del usuario. Los sistemas más afectados fueron nuevamente Windows.

 

Año 2010

El año 2010 trajo consigo nuevas amenazas, varias de las cuales ocuparon lugares importantes dentro de la lista, por lo que es hasta cierto punto distinguir entre las principales. Pero siguiendo a Virus Bulletin, éstas fueron: Autorun, Conficker, y VB.

Autorun, se trata de gusanos cibernéticos que se distribuyen a través de memorias USB aprovechando la característica de auto ejecución que posee el sistema operativo Windows, ya que mediante ésta, el gusano se instala en el sistema y espera nuevos dispositivos de almacenamiento masivo para poder infectarlos. Casualmente, uno de estos gusanos fue el malware que ocupó la segunda posición.

De acuerdo a la Subdirección de Seguridad de la información / UNAM-CERT , los estragos provocados por el gusano informático Conficker comenzaron a finales del 2008, y durante estos dos años adquirió diversas variantes que lo convirtieron en una amenaza constante. Este malware "se propaga mediante la red enviando paquetes RPC (Llamada a Procedimiento Remoto) malintencionados a los sistemas Windows; pero también puede propagarse mediante dispositivos extraíbles como memorias USB, Diskettes, entre otros"1, afectando a otro tipo de sistemas.

VB , es un caballo de Troya desarrollado en Visual Basic, de ahí sus siglas VB. Su forma de infección es a través de ventanas emergentes, también llamadas ventanas pop-up, a través de las cuales, el malware se oculta como si fuese un archivo de música (.mp3) o de películas (.avi), pero en realidad es un ejecutable capaz de hacer copias de sí mismo e infectar archivos específicos. Afecta sistemas operativos Windows y crea archivos de doble extensión para poder engañar a los usuarios.

 

Especiales

Aunque no fueron incluidas entre las tres principales de cada año, existen algunas amenazas que merecen ser mencionadas por el nivel de peligrosidad o efectividad que presentan, estos son: Stuxnet, Koobface y Boonana.

Stuxnet es un gusano informático capaz de introducirse en código, su especialidad es dirigirse a equipos de tecnología industrial, como plantas de tratamiento de uranio. Afecta a equipos con Windows, se propaga a través de redes interconectadas, programas de cliente de correo como Outlook y recepción de correo electrónico con adjunto malicioso.

Koobface. Este gusano es reconocido por su capacidad de propagarse a través de redes sociales, específicamente Facebook y MySpace. Su alta efectividad radica en que una vez que la cuenta de la red social es infectada, el gusano la aprovecha para enviar a los contactos o "amigos", el mismo mensaje con el que logró infectar previamente. La infección a través de redes sociales basa su éxito en la confianza que a los usuarios les da recibir únicamente información proveniente de sus contactos.

Boonana, se trata de un gusano informático multiplataforma, es decir es capaz de ser efectivo tanto en computadoras que ejecutan Windows, como en aquellas que corren OS X, a ello se debe su relevancia.

 

Conclusiones

Con esta información se puede notar que la atención de los desarrolladores de software malicioso se concentra sobre usuarios de Windows, ya que los usuarios de estos sistemas operativos constituyen, proporcionalmente, la mayoría de usuarios. Sin embargo, el incremento de usuarios de otros sistemas operativos como Mac OS, Linux, entre otros, aunado a los de dispositivos móviles como smartphones, ha provocado que los códigos maliciosos evolucionen para empezar a diversificarse, y así, poder abarcar a más usuarios para recabar mayores logros.

El panorama para este 2011, se vislumbra un incremento de malware para nuevas plataformas, tanto como el abanico de oportunidades de los sistemas se lo permitan.

Referencias

  1. El gusano Conficker :: Documentos :: SSI / UNAM-CERT
    http://www.seguridad.unam.mx/doc/?ap=articulo&id=210
  2. Estadísticas :: UNAM-CERT
    http://www.cert.org.mx/estadisticas.dsc
  3. Usuario Casero :: SSI / UNAM-CERT
    http://www.seguridad.unam.mx/usuario-casero
  4. Documentos :: SSI / UNAM-CERT
    http://www.seguridad.unam.mx/doc/
  5. Liga Super-Seg
    http://www.seguridad.unam.mx/usuario-casero/liga-super-seg/
  6. The Virus Bulletin prevalence table
    http://www.virusbtn.com/resources/malwareDirectory/prevalence/index.xml
  7. Información sobre Virus y Malware - Panda Security
    http://www.pandasecurity.com/spain/homeusers/security-info/
  8. AutoRun worms most common malware during Q1 2010
    http://www.scmagazineus.com/autorun-worms-most-common-malware-during-q1-2010/article/170457/
  9. All about Stuxnet - stuxnet.net
    http://www.stuxnet.net/

Liberación original: Martes, 08 Febrero 2011
Última revisión: Jueves, 16 Junio 2011

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:

Galvy Ilvey Cruz Valencia

Para mayor información acerca de este documento contactar a:

UNAM-CERT: Equipo de Respuesta a Incidentes UNAM 
Coordinación de Seguridad de la Información 
Dirección General de Cómputo y Tecnologías de Información y Comunicación 
Universidad Nacional Autónoma de México 
E-Mail: incidentes@cert.unam.mx 
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69