Kaspersky Lab publica el informe analítico “Las amenazas informáticas contemporáneas” del primer semestre de 2008

Kaspersky Lab, el líder en la producción de sistemas de defensa contra software nocivo e indeseable, ataques de hacker y spam, publica su informe analítico "Las amenazas informáticas contemporáneas" del primer trimestre de 2008. Alexandr Gostev, el analista en jefe de Kaspersky Lab describe las principales tendencias de la industria creadora de virus y analiza las principales amenazas actuales en el campo de la seguridad informática.

En el primer trimestre de 2008 han continuado aumentando el ritmo de crecimiento de los programas nocivos, miles de cuyas variantes se detectan cada día. Este proceso crece a la par de su complejidad tecnológica. Al igual que antes, estamos ante la reencarnación de las viejas ideas y técnicas, cuya realización en un nuevo nivel implica un grado de peligro completamente diferente, que se refleja en la infección de los sectores de inicio de los discos duros, la propagación de programas nocivos mediante medios extraíbles y la infección de los archivos.

A principios de 2008 tuvo lugar la muerte simbólica de la "escuela tradicional" de creación de virus. En febrero apareció un mensaje en el sitio del grupo 29A en el que se notifica su extinción. Las personas que crearon Cap (el primer macrovirus que causó una epidemia global), Stream (el primer virus para flujos adicionales de NTFS), Donut (el primer virus para la plataforma .NET), Rugrat (el primer virus para la plataforma Win64), los programas nocivos para teléfonos celulares Cabir y Duts, así como muchos otros, cedieron ante la arremetida de la comercialización de la creación de virus. Y es que ahora nadie crea programas nocivos para expresarse, autoafirmarse o por el simple gusto de investigar. Es mucho más lucrativo generar cientos de troyanos primitivos para ponerlos a la venta.

Bootkit

El principal problema de la industria antivirus a principios de 2008 son los rootkits que pueden cargarse desde los sectores de arranque de cualquier tipo de dispositivos. En los albores de los virus informáticos, los virus de sector de inicio eran el tipo de programa nocivo más propagado. Estos virus escriben su código en lugar del código original del sector de inicio de los disquetes, con lo que obtiene el control del sistema. Con la aparición de Windows 95/98 y la paulatina desaparición de los disquetes, los virus de inicio desaparecieron durante 10 años.

Pero a principios de 2007 dos programadores indios, Nitin y Vipin Kumar presentaron Vbootkit, un rootkit con función de lanzamiento desde el sector de inicio capaz de funcionar en Windows Vista. La antigua tecnología de los sectores de inicio se sumó a la reciente moda de los rootkits.

En noviembre de 2007 en Internet aparecieron varios sitios web que descargaban un programa nocivo. El análisis detallado de este programa mostró que estábamos ante un código capaz de infectar el MBR y los sectores del disco duro. Además de ocultar su presencia en el sistema, el código nocivo instala una puerta trasera en Windows, la que se ocupa a robar información como cuentas de acceso a una serie de sistemas bancarios. Este bootkit tiene la apariencia de una plataforma autosuficiente, que se puede agregar con facilidad a cualquier programa nocivo existente para protegerlo y camuflarlo. Esto significa que es posible que pronto se ponga en venta un bootkit similar, lo que haría que su tecnología esté al alcance de miles de “muchachos travieso” y que podría llegar a ser una de las amenazas más propagadas, a juzgar por el ritmo actual de crecimiento del número de programas nocivos.

Los bootkits son peligrosos porque el código nocivo obtiene el control antes del inicio del sistema operativo y del programa antivirus. 10 años atrás resolvimos este problema con la ayuda de disquetes con antivirus. Parece que está llegando la época del regreso de las antiguas tecnologías no sólo en los programas nocivos, sino también en los antivirus.

Sigue la tormenta

A mediados de 2008 se cumplió un año desde la aparición en Internet de los primeros ejemplares de los programas que luego se denominarían Zhelatin, Nuwar y Strom Worm. Zhelatin combina la estructura en módulos, la frecuencia de actualización de nuevas variantes, el uso de cientos de sitios infectados y Skype y IM para propagarse, así como las tecnologías rootkit, con los métodos de contraataque a las compañías antivirus y redes zombi descentralizadas. En menos de un año Storm Worm se convirtió en el principal problema de la seguridad informática, sobre todo por su casi mítica red zombi. Debido a su descentralización, es imposible establecer la cantidad exacta de equipos que la componen.

En enero la compañía Fortinet anunció que consideraba que esta red zombi estaba involucrada en el ataque phishing a los bancos Barclays y Halifax. Si esto es cierto, es el primer caso de el uso directo de la red Storm Worm para fines delictivos “clásicos”.

Los expertos difieren en sus opiniones sobre el país de origen de Storm Worm. Lo más probable es que se trate de un grupo internacional con tareas muy definidas para cada miembro. Uno de ellos crea el software, otro se encarga de los envíos de spam, otro instala el gusano en los sitios infectados, otro ataca los sitios, otro es responsable de la propagación del programa nocivo a través de sistemas de mensajería instantánea y otro se encarga de crear los exploits. Storm es una ilustración ideal de la delincuencia cibernética moderna con su distribución internacional del trabajo.

TrojanGet

Los incidentes de seguridad informática cuando el software y las compañías legales sin quererlo se convierten en transmisores de infecciones son bastante raras, pero suelen ocurrir.

Cada uno de estos incidentes es un gran golpe a la reputación del software o la compañía y afecta a los usuarios que cumplen las reglas básicas de seguridad informática y crea problemas a las compañías antivirus que consideran que el software legal son fiables.

A principios de marzo los expertos de Kasperksy Lab recibieron llamadas y mensajes de los usuarios que se quejaban de un programa troyano en el directorio del popular descargador FlashGet. Además de los troyanos, la fecha reciente de creación y modificación, el directorio de FlashGet contenía el fichero FGUpdate3.ini que a su vez tenía un enlace al fichero inapp4.exe, que es un troyano. El troyano se descargaba desde el verdadero sitio de FlashGet. Este software legal funcionaba como un troyano-descargador, instalando y lanzando programas troyanos en los sistemas de los usuarios, programas que descargaba desde el sitio de la compañía productora.

Como resultado del ataque, los delincuentes pudieron reemplazar el fichero de configuración standard por el fichero del troyano que se encuentra en la misma dirección. Esta “vulnerabilidad” existe en todas las versiones de FlashGet 1.9.xx. Cualquier programa troyano puede modificar el fichero .ini local de FlashGet, obligándolo a actuar como troyano-descargador. Hasta el momento la compañía china que fabrica FlashGet no ha hecho ninguna declaración oficial.

Gusanos sociales

Según nuestros pronósticos, en 2008 los usuarios de las redes sociales se convertirán en el blanco principal del phishing. Los datos de las cuentas de los usuarios de servicios como Facebook, MySpaces, Livejournal, Blogger y similares tendrán una gran demanda entre los delincuentes. En 2008 una gran cantidad de programas troyanos se propagarán justo mediante las cuentas de los usuarios de redes sociales, sus blogs y perfiles.

Los principales factores que garantizan el interés de los usuarios y los hackers hacia los servicios Web 2.0 son:

1. La migración de los datos de los usuarios desde el ordenador personal a Internet.
2. El uso de una sola cuenta para conectarse a varios servicios.
3. La información detallada sobre el usuario
4. La información sobre sus relaciones, contactos y amigos
5. Un lugar para publicar cualquier tipo de materiales
6. Las relaciones de confianza entre los contactos

El asunto es bastante serio y ya en este momento tiene todas las probabilidades de convertirse en el principal problema de la seguridad informática.

Noticias de la telefonía celular

Las noticias del mundo de los virus para dispositivos móviles han sido muchas en el primer trimestre de 2008. Es evidente que continúa el progreso en el desarrollo de las tecnologías y el incremento del número de participantes en este progreso, tanto entre los autores de virus, como entre las compañías antivirus. Las novedades nocivas se distribuyeron casi en partes iguales entre los cuatro blancos principales de las amenazas móviles: Symbian, Windows Mobile, J2ME e iPhone.

Así, en el primer trimestre de 2008 los troyanos para J2ME (versión móvil de Java) que funcionan en casi cualquier teléfono celular moderno han aparecido con una regularidad alarmante. En enero descubrimos Smarm.b; en febrero, Smarm.c y Swapi.a y en marzo SMSFree.d. Todos usan el mismo método de lucro: enviar SMS a números de pago platinum.

También se detectó una familia completamente nueva de gusanos para Symbian, que recibió el nombre de Beselo y un troyano chino para la plataforma Windows Mobile -InfoJack- que apareció en libertad y causó múltiples infecciones.

Conclusiones

El periodo de tregua tecnológica en el frente de la guerra viral está llegando al final.

El año pasado constatamos que funcionaban factorías que generaban programas primitivos y muy parecidos entre sí, pero en gran cantidad, sin ningún intento de salir del marco de las tecnologías virales existentes.

Ahora hay claros indicios de que la tendencia está cambiando. Un ejemplo es la aparición del primer bootkit nocivo. Además, con cada vez más frecuencia se usan diferentes métodos de infección de ficheros, que incluyen el uso de complejas tecnologías polimórficas. ¡Para luchar contra los antivirus, los autores de virus hasta han empezado a utilizar algunas tecnologías antivirus!

Los acontecimientos del primer trimestre pueden ejercer una fuerte influencia en toda la industria de la seguridad informática en el futuro más próximo.

La versión completa del informe “Las amenazas informáticas contemporáneas” del primer semestre de 2008” está a su disposición en el portal de información y análisis Viruslist.es.