El fascinante mundo de los virus informáticos - Gusanos

Comentados con mayor extensión en los apéndices de este capítulo, los tres gusanos más famosos del siglo XX: el gusano de Morris o “Internet Worm” (1988), el gusano de macro Melissa (marzo 1999) y el gusano de VBScript, “Iloveyou” (mayo 2000).

Normalmente los gusanos son más peligrosos en las modificaciones posteriores a su primera y original versión.

• Bubbleboy 1999
• Babylonia 1999
• Hybris 2000
• Codered 2001
• SirCam 2001
• Nimda 2001
• Goner
• Slammer 2003

• BUBBLEBOY

Conocido como VBS/BubbleBoy. Septiembre 1999. Un nueva especie capaz de infectar sin necesidad de ejecutar un fichero adjunto. El “virus” iba en el mismo cuerpo y aprovecha el automatismo de MIME.

No incluye ninguna rutina dañina. Sólo se hace cargo del correo para enviar copias de sí mismo.

• BABYLONIA

Conocido como W95.Babylonia. 1999. Este gusano empleó una técnica totalmente novedosa: se conectaba Internet para actualizarse.

Se transmite por IRC con el engaño de ser un parche para el problema del año 2000. Una vez ejecutado, el resto del virus se descargaba de Internet.

Era un virus residente en memoria, parásito y al mismo tiempo tenía un gusano (worm) y un backdoor (troyano).

Sólo afectaba a Windows 9x por razones técnicas. Capaz de infectar ficheros PE EXE, ficheros de ayuda o HLP y librerías de sockets (conexiones a redes).

El **análisis** que realiza **VSAntivirus**∞ es de lo mejor que puede encontrarse.

• HYBRIS

I-Worm.Hybris. Septiembre de 2000. Gusano capaz de actualizarse a través de Internet, por lo que el programador mantiene control sobre su creación. En este caso es el conocido coderz brasileño Vecna.

Su objetivo es hacerse con el control de la librería WSOCK32.DLL

Y tiene una filosofía curiosa: busca los “plug-ins” en Internet (se han detectado hasta 32 diferentes).

El gusano utiliza cifrado fuerte de 128 bits. Lo que hace realmente muy difícil neutralizarlo.

• CODERED

Gusano de origen chino.

Explota una vulnerabilidad del servidor IIS 5.0 de Microsoft. Escanea IPs en busca de servidores ISS, intentando entrar por el puerto 80.

Una vez dentro, controla el kernel, intercepta las peticiones de los usuarios del servidor y les muestra una página.

Si la fecha se encuentra entre los días 20 y 28 del mes, inicia un ataque contra el sitio de la Casa Blanca (www.whitehouse.gov∞) enviando muchos datos basura al puerto 80.

No modifica nada, funciona residente en memoria.

• SIRCAM

Win32.Sircam. Detectado el 17 julio 2001. Virus de archivos, gusano y caballo de Troya. Escrito en lenguaje Delphi. De origen mexicano (Michoacán), utilizaba técnicas parecidas al Magistr para propagarse.

Afecta a todas las variantes de Windows. Toma el control del Registro de Windows.

Usa la libreta de direcciones y las direcciones que encuentra en la memoria caché (Archivos Temporales de Internet). Los mensajes eran en español y también los realizaba en inglés.

Tras 8.000 ejecuciones, el virus deja de funcionar.

• NIMDA

W32/Nimda.A. Este gusano recibe su nombre de la inversión de la palabra ADMIN (ADMINinstrador). Escrito en Microsoft Visual C++. Detectado el 18 Septiembre 2001.

Su característica principal es la velocidad de propagación. Utilizaba varios métodos: un fallo de IIS.

Se aprovecha de numerosos fallos ya conocidos (hasta 16).

Los analistas de seguridad detectan un aumento del tráfico en determinado puerto y éste puede estar asociado a la actividad de un gusano: en el caso de Nimda fue el 80. Se llegaron a 2 millones de testeos por culpa de Nimda.

Sus secuelas han sido especialmente peligrosas.

• GONER

Win32/Goner.A. Detectado el 4 de diciembre de 2001. Este gusano está escrito en Visual Basic y codificado como ejecutable, aparenta ser un salvapantallas con el icono de Dark Vader (gone.scr), siendo capaz de desactivar antivirus y cortafuegos.

Detecta los procesos en ejecución y los compara con una lista que tiene (ejecutables de los principales antivirus y cortafuegos), pasando a borrar todos los ficheros de las carpetas donde se encuentran los referidos ejecutables (avp.exe, zonealarm.exe, etc.) y si no puede lo hará cuando se reinicie el ordenador.

Sus autores fueron cuatro adolescentes israelitas. Al pretender usar el gusano como parte de ataques de negación de servicio, las autoridades pudieron seguirles la pista a través del IRC (DALnet).

El gusano además mostraba un mensaje con los nicks que usaban los autores en un canal de IRC.

• SLAMMER

Win32/SQLSlammer. Gusano de SQL.

Al igual que los gusanos que aprovechan fallos de IIS, el servidor de páginas web de Microsoft, éste atacaba el servidor SQL o gestor de bases de datos relacionales (servidor SQL bajo Windows 2000). Su único objetivo es propagarse. No realiza ninguna acción destructiva.

El 25 de enero de 2003 se detectó su acción. Abre un socket para NetBIOS, genera IPs (direcciones del tipo 127.0.0.1) aleatorias y envía paquetes de manera repetitiva al puerto 1434 UDP, una y otra vez. Produce una denegación de servicio (DoS). Al enviarse en multicast, llega a las 255 direcciones de cada subred. Cada máquina infectada inicia el mismo procedimiento y la saturación va creciendo de forma impresionante.

La revista “Wired” publicó el código del virus en su edición impresa. 376 bytes de ensamblador.

Posiblemente ha sido el mayor ataque sufrido por Internet. Más a fondo que el histórico gusano de Morris y más rápido que CodeRed ...

• MTX

Tras estudiar algunas características de virus y gusanos conocidos, nos encontramos con esta criatura extraordinaria. W32/MTX (I-Worm.MTX), surgido en septiembre del año 2000. Es una especie de “tres en uno”: virus, gusano y troyano.

NO ES DESTRUCTIVO. ¡Qué tomen nota los que todavía demonizan a los verdaderos creadores de virus! Este “monstruo” es un claro ejemplo de un reto intelectual y técnico.

Uno de los más complejos de los últimos tiempos. Comprimido (apenas 18 KB), cifrado, con técnicas anti-antivirus.

Al ser ejecutado se instalan 3 ficheros en el directorio (carpeta) Windows: IE_PACK.EXE, MTX_.EXE y WINN32.DLL. Infecta la librería que gestiona las conexiones en Windows WSOCK32.DLL

• El virus es el elemento principal: un infector de ficheros ejecutables PE. Utiliza la técnica EPO.
• El gusano IE_PACK.EXE aprovecha el envío de correos para enviarse.
• El troyano (backdoor) MTX_.EXE se conecta a un servidor ya cerrado y busca actualizaciones utilizando el puerto TCP 1137.

No era destructivo y mostraba este mensaje:

Software provide by [MATRiX] VX team
Ultras, Mort, Nbk, Lord Dark, Del_Armg0,Anaktos
All VX guy in #virus channel and Vecna