:: NORMAN :: Antivirus | Firewall

seguridad proactiva para IT

Inicio

Noticias

Productos & servicios

Virus & seguridad

Soporte

Descargar

Distribución

Comprar

Elige su país

Elige su producto

Virus & seguridad » Información de Seguridad » 2005 » La situación del malware: un cambio rápido

La situación del malware: un cambio rápido

Agregar a mis favoritos de Norman

Información de seguridad, semana 10, 2005

Introducción

A principios de este año, presentamos un resumen de la seguridad durante el año 2004 e intentamos hacer algunas previsiones para 2005. Todavía en el primer trimestre del año, vemos indicaciones claras de que la situación de las amenazas está cambiando con respecto a años anteriores.

En este artículo se resaltarán algunas de las tendencias que observamos hoy.

Una explosión de nuevos "bots"

Hace unos meses, Norman recibió unos 50 programas nuevos de malware de distintas clases, que fueron enviados a nuestros analistas de virus todos los días.

Ahora recibimos hasta 500 clases distintas de malware a diario. Esto supone un incremento sin precedentes en la historia del malware.

Curiosamente, este incremento no ha dado lugar a una nueva situación de pandemia, como fue el caso del ataque de Sobig.F y los ataques de MyDoom del año pasado.
El incremento consiste en un número mucho mayor de "bots" (robots). Se trata de programas que pueden realizar diversas acciones, como

Conectarse con varios sitios Web y descargar otros programas de malware, como los de puertas traseras
Instalar malware, como programas de puertas traseras, en su ordenador
Explorar la red para buscar equipos cercanos que no estén protegidos por parches y, en consecuencia, presenten una vulnerabilidad que pueda ser aprovechada
Obtener información personal, como números de cuentas bancarias, números de tarjetas de crédito y contraseñas

Puesto que estos bots no están tan diseminados, no se presta demasiada atención a cada uno de ellos y, por consiguiente, se puede estar infectado sin ni siquiera ser consciente de esa amenaza concreta en ese momento.

Si se está infectado por un programa que deja una puerta trasera en el equipo, éste, en un principio, queda abierto a cualquier persona en el mundo que intente conectarse a él y conozca las credenciales (si las hay) para hacerlo. Con independencia de que se guarde o no información personal o de la empresa en el equipo, éste puede utilizarse para acciones maliciosas como:

Utilizarlo como puerto desde el que enviar correo no deseado

Al tratarse de una acción ilegal en varios países, los distribuidores de correo no deseado naturalmente intentan no enviar nada desde sus propios equipos. Ahí es donde el equipo intervenido se convierte en una herramienta útil.

Convertirlo en un zombi que se pueda utilizar para los ataques contra terceros

Durante años, los ataques de Denegación de Servicio (DdoS, por sus siglas en inglés) vienen colapsando un gran número de sitios Web importantes. Estos ataques se llevan a cabo simultáneamente desde una serie de ordenadores (el suyo podría estar entre ellos), y consisten en enviar muchos comandos contra un determinado equipo (p.ej., un servidor Web) o una red. De esa manera, la cantidad de datos entrantes llega a ser tan grande que los ordenadores atacados no pueden manejarla y quedan inutilizados para su uso legítimo.

Acto seguido, los ordenadores infectados son utilizados -sin conocimiento de su propietario- por los agresores y se transforman en equipos zombi. El verdadero agresor está en otra parte y sólo tiene que presionar un botón para iniciar el ataque; con esa acción, controla su equipo y miles de otros ordenadores zombi.

Nuevas aplicaciones utilizadas para infectar usuarios

En los últimos años, el correo electrónico viene siendo el método más generalizado y eficaz de propagar malware. También hemos conocido varios casos de propagación de malware a través de redes (exclusivamente), como p.ej., Pinfi (el vínculo abre otra ventana del explorador). Estos propagadores por red a menudo son difíciles de eliminar, ya que basta con que esté infectado un solo equipo de la red para que se generen mensajes de intento de infección desde toda la red -o incluso infectarla por completo en pocos segundos- si no está protegida con esta amenaza específica.

A principios de 2005 observamos varios casos de uso de MSN Messenger como herramienta de propagación de software malicioso.

El primer caso (y, desde el punto de vista técnico, el más interesante) fue el uso de una vulnerabilidad recientemente descubierta para infectar a otro usuario mediante el envío de una imagen creada ad hoc. Microsoft tomó medidas rápidamente para reparar esta vulnerabilidad y desactivó todo uso de MSN Messenger hasta que el usuario actualizase su equipo con una versión más reciente de MSN sin esta vulnerabilidad.

A consecuencia de ello, los autores del software malicioso recurrieron a los métodos básicos -la técnica de "ingeniería social" de toda la vida:

Enviar mensajes (presuntamente) desde uno de los usuarios de su lista de contactos de MSN, que le animen a hacer clic en un vínculo a una Web para ver algo gracioso o interesante o atrevido, etc. Y abrir el programa que el vínculo le indica que abra.

Así fue como se infectaron los usuarios que jamás abrirían un archivo adjunto a un mensaje electrónico, ni harían clic y ejecutarían un vínculo incluido en un mensaje electrónico sin estar seguros de su autenticidad...

La misma técnica de siempre, en un medio ligeramente diferente.

Cabe esperar que, en las próximas semanas o meses, seamos víctimas de muchos otros intentos de infección similares. Y casi todos los usuarios acabarán dándose cuenta de que no es aconsejable abrir estos vínculos o programas, incluso si son enviados por correo electrónico.

Una fusión de distintos tipos de malware

Una observación que podemos hacer, con independencia de las herramientas que se utilicen para propagar el malware, es que los distintos tipos de malware están cada vez más vinculados entre sí.

Los virus se utilizan para instalar puertas traseras que permiten el envío de correo no deseado
Los gusanos se conectan a sitios Web y ejecutan programas que instalan programas espía y publicitarios
Los bots son cada vez más complejos en sus intentos por aprovecharse de las vulnerabilidades de sistemas operativos y aplicaciones, y pueden dejar abiertos los equipos a personas con intenciones maliciosas

Esta tendencia tiene visos de continuar este año.

El reto para la comunidad de seguridad parece ser igual de exigente este año que los anteriores.

Per Olav Førland

ALARMAS DE VIRUS

Medium risk
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Latest virus definition file published

>>	2008-07-18

Información de Seguridad

>>	Informe del Internet Crime Complaint Center correspondiente a 2007
>>	2007

Consejos de Seguridad

>>	No critical updates for Microsoft systems in July 2008
>>	Tres actualizaciones críticas para sistemas Microsoft en junio de 2008

Norman es una de las empresas principales del mundo en el ambito de seguridad de los datos. La empresa juega un papel importante en la industria informatica, con los productos para antivirus (Virus Control), cortafuego personal y antispam.