martes, 7 de febrero de 2006

"Kama Sutra", tan mediático como... ¿inofensivo?

El autor del virus conocido como "Kama Sutra" ha conseguido con creces
lo que probablemente pretendía: la atención incondicional de los medios,
miles de noticias escritas sobre él y la inquietud de muchos usuarios
horas antes del día 3 de febrero, supuesto momento de activación de su
código maligno.

Recordemos que "Kama Sutra" es un gusano que una vez infecta el sistema,
intenta desactivar el funcionamiento de diversos productos antivirus,
recoge direcciones de correo en el ordenador de la víctima para
distribuirse por e-mail utilizando su propio motor SMTP, y también
intenta distribuirse a través de los recursos compartidos. Hasta aquí,
como cualquiera de las decenas de gusanos que aparecen cada día. Lo
único que ha provocado que cientos de ojos se vuelvan hacia él (e
incluso que exista esta noticia) han sido dos pequeños detalles.

Los días 3 de cada mes el gusano sobreescribe (que no borra) archivos
con extensiones .doc (Microsoft Word), .xls (Microsoft Excel), .mdb,
.mde (Microsoft Access), .ppt (Microsoft PowerPoint), archivos
comprimidos con .zip y .rar, .pdf, .psd (Adobe Photoshop) y .dmp
(extensión normalmente asociada a volcados de diferentes tipos). O sea,
el virus destruye documentos muy valorados por todo tipo de usuarios y
que suelen contener información importante para su trabajo, estudios o
cualquier otra actividad. Hoy en día, pocos son los virus que se dedican
a destruir de alguna forma el sistema en el que se han alojado.

Otro detalle que lo ha llevado a ser tan popular es el exótico nombre
adoptado por algunas casas antivirus para diferenciarlo. No ha existido
un consenso claro, y, entre otros, al virus se le ha llamado Nyxem,
BlackMal., Kapser, MyWife, Tearec...pero "Kama Sutra" ha resultado
ganador en los medios no especializados, y eso que "Kama Sutra" era
simplemente uno de las decenas de asuntos que aparecían en los correos
infectados. El sexo siempre será un reclamo fácil para intentar que
usuarios despistados ejecuten archivos que vienen de fuentes no
confiables, y esta vez no ha sido una excepción.

Sin embargo, pese a ser un virus de lo más común e incluso poco
difundido en comparación con otros, hemos visto hasta noticias dedicadas
en la televisión. Lo que no advierten estos medios generalistas son
cuestiones básicas como que sólo afecta a sistemas Windows (a veces se
sobreentiende pero no está de más recordarlo), pero, sobre todo, que
este virus resulta mucho menos dañino que otras amenazas mucho más
peligrosas a las que nos enfrentamos todos los días. Unos documentos
siempre pueden recuperarse si se tiene una copia de seguridad, pero
según opina con sensato criterio Graham Cluley consultor de Sophos,
nunca se podrá deshacer el daño si esos documentos confidenciales han
sido robados a través de una de las miles de puertas traseras que
instalan otros virus; nunca podrás saber si se ha usado tu contraseña
robada a través de las decenas de keyloggers que aparecen todos los
días; y no es más grave que el inespecífico y potencial daño que se
vuelca en la red si tu ordenador se convierte en un zombie que envía
correo basura o participa en el ataque coordinado a otros servidores...
Esto son amenazas reales y continuas a las que los medios generalistas
no han prestado atención, hace falta que un simple virus que no aporta
ninguna novedad técnica borre documentos personales para alarmar a las
masas.

"Kama Sutra" se ha convertido en un virus muy popular y todos los
antivirus sin excepción lo reconocen y son capaces de limpiar un sistema
infectado. Las casas antivirus han mantenido en todo momento el nivel
bajo de riesgo con este virus, pues técnicamente, no contiene ningún
punto destacable. Incluso su forma de distribuirse es trivial, con un
más que típico archivo ejecutable con extensión .src que suelen detener
los administradores antes de entrar en los correos corporativos por
suponer una forma muy tradicional de portar código vírico.

Finalmente (y como era previsible) por fortuna no ha ocurrido nada
destacable el día 3 de febrero, ni ocurra probablemente ningún otro día
3, después de toda la repercusión mediática. El problema quizás es que
situaciones como esta pueden llevar a que el usuario medio no perciba
peligro real ante futuros anuncios de amenazas, y que se vuelva inmune
ante la concienciación de las alertas reales que sí pueden suponer un
peligro real. Una especie de parábola del cuento de los lobos que nunca
terminan de llegar. Especialmente reseñable en este sentido resultó el
efecto 2000, del que se habló tanto, se mitificó de tal forma, que el
hecho de que realmente no ocurriese nada en absoluto el esperado primer
día del aquel año, resultó incluso un poco decepcionante.

No es que "Kama Sutra" sea un virus del todo inofensivo, ni que carezca
de importancia. Quizás la difusión desproporcionada en los medios (que
no real) haya ayudado a que su efecto final sea menor... pero
simplemente no deja de tener la misma relevancia que el resto de miles
de virus que aparecen cada día, y no hay por qué subrayarlo como virus
especialmente peligroso ni alertar a los usuarios con exageraciones que
le induzcan a pensar que está en un mayor peligro del que realmente se
encuentra, para luego no ocurrir nada y relajarse la próxima vez que se
le anuncien otros virus. Esto crea mucha confusión, y gracias a
exageraciones desmedidas a las que se les da excesivo crédito, muchos
usuarios están más al tanto de no añadir a su cuenta de MSN Messenger
supuestos contactos que formatearán tu disco duro (y de comunicárselo
a todo el mundo para que conozca esta amenaza tan falsa como absurda),
que de mantener actualizado su sistema operativo y su antivirus.

Los verdaderos peligros de Internet no están en los virus más conocidos
que aparecen en los telediarios y de los que están al tanto la mayoría
de los usuarios. Lo verdaderamente peligroso en Internet es el código
destructivo que está en manos de unos pocos, que no se ha hecho público
y con el que comercializa sin escrúpulos. Por ejemplo, hace poco se ha
conocido que la infame vulnerabilidad WMF fue descubierta mucho antes
del día que se hizo pública. Se calcula que llevaba semanas en manos
de mafias que estaban especulando con ella, y que el código que la
explotaba fue vendido por 4.000 dólares. Días después cualquiera tenía
acceso al código en cuestión y se difundió por todo el mundo. De esta
grave vulnerabilidad no se habló tanto en los medios generalistas.

Vender información de este tipo por 4.000 dólares no resulta excesivo. El
hecho de conocer el código que te permite tomar el control de un sistema
y que no es detectado por nada ni por nadie hasta ese momento, tiene
mayor valor en tanto en cuanto es conocido por un menor número de
personas. En estos casos la amenaza resulta real y tremendamente
peligrosa tanto para usuarios como para servidores corporativos con
grandes responsabilidades... virus como "Kama Sutra" que aparecen en los
telediarios, detectados por todos los antivirus y del que se habla de
cómo eliminarlo en muchas páginas de Internet resultan, en comparación,
inofensivos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Sophos urges calm as panic over Friday's Nyxem worm attack spirals
http://www.sophos.com/pressoffice/news/articles/2006/02/nyxempanic.html

WMF Exploits Sold by Russian Hackers
http://www.toptechnews.com/fullpage/fullpage.xhtml?dest=%2Fstory.xhtml%3Fstory_id%3D41421

http://www.toptechnews.com/story.xhtml?story_id=41421

Kama Sutra worm: How was it for you?
http://software.silicon.com/malware/0,3800003100,39156201,00.htm

WMF Exploit Sold Underground for $4,000
http://www.eweek.com/article2/0,1895,1918198,00.asp

No hay comentarios:

Publicar un comentario en la entrada