El intercambio de disquetes y aplicaciones ha sido la vía principal de transmisión de virus informáticos. Con la llegada de Internet llegan también los nuevos virus capaces de viajar por la red para infectar maquinas situadas a miles de kilómetros.
La primera muestra de esta nueva amenaza nos llega una vez más de la mano de 29A. Para los menos introducidos en éste mundo, 29A es un grupo español de programadores dedicados a la investigación y desarrollo de vida artificial, especialmente de virus informáticos.
Win32.Parvo es un virus capaz de infectar ordenadores remotos, utilizando técnicas de propagación por red. Esto significa que el virus es capaz de transmitirse desde una maquina infectada a otra mientras la primera está conectada a Internet.
En un primer análisis descubrimos que Win32.Parvo es un virus altamente polimorfo, que infecta aplicaciones tanto de Windows95 y 98 como de WindowsNT. Los programas infectados se ejecutan sin ningún problema, y el usuario puede permanecer infectado durante meses antes de descubrir que su maquina ha sido invadida.
Tras realizar varias pruebas descubrimos que Win32.Parvo infecta varias aplicaciones destinadas a Internet, especialmente el navegador y el cliente de correo. Cuando se utilizan estos programas es porque, normalmente, estamos conectados a Internet, momento que aprovechará el virus para crear una imagen virtual de si mismo en el mismo formato que los clientes de correo utilizan para mandar attachments.
Sin la intervención del usuario y sin delatar su actividad, el virus se envía a si mismo por mail. Tras este descubrimiento a todos nos surge la misma duda: ¿y a quien se envía? ¿de donde obtiene el virus las direcciones de mail de otros usuarios?
Después de trastear un poco mas dentro del código vírico nos encontramos con la respuesta. El virus se conecta a un grupo de news elegido al azar y extrae de él un mensaje cualquiera. Seguidamente busca la dirección de correo del remitente y esa será su próxima víctima.
Cuando otro usuario recibe un correo infectado, nada hace sospechar que se trata de un virus. El virus es capaz de generar distintos tipos de mensajes, hablando de distintos temas y con direcciones de origen «spoofed» (falseadas) en las que el remitente parece ser unas veces Microsoft u otras empresas. Los mensajes tienen algo en común, todos llevan un fichero adjunto en el que reside el virus, y que infectará el navegador y el cliente de correo si el usuario lo ejecuta, con lo que el ciclo de vida se completa.
Win32.Parvo presenta cualidades que le aproximan a lo que conocemos como «worms» (gusanos) puesto que no necesita infectar los programas para llegar a otras maquinas. No obstante el virus se establece dentro de varias aplicaciones de Windows para asegurar así su permanencia en el sistema.
Este virus es el pionero en este tipo de transmisión, pero sospechamos que no es mas que el comienzo de lo que será una larga lista de virus de nueva generación.
Deja un comentario