En los últimos días estamos asistiendo a un goteo constante de nuevas
variantes del gusano Mytob. La estrategia de su creador o creadores,
a falta de nuevas ideas en la propagación de gusanos, parece ser
distribuir muchas variantes con pequeñas modificaciones para intentar
evitar a los antivirus durante las primeras horas, mientras que se
desarrolla la pertinente firma, y afectar al máximo número de
usuarios.
Pese al bombardeo continuo, hay días que hemos contado hasta 5 nuevas
variantes, la propagación hasta el momento es discreta, no
protagonizando ningún pico especialmente relevante de infecciones. No
obstante está por ver si esta estrategia está dando realmente sus
frutos y si, sin necesidad de una propagación relámpago, poco a poco
está logrando un parque importante de sistemas infectados.
Las motivaciones por las que se crea un gusano pueden ser de lo más
variadas, pero en este caso apunta a que el interés se centra en
controlar el mayor número de sistemas de forma remota, probablemente
para realizar ataques distribuidos, desde envío de spam, hasta una
denegación de servicios, pasando por el robo de credenciales de
acceso a sistemas bancarios.
Y es que en los últimos tiempos se ha perdido el «romanticismo» en
la creación de virus y gusanos, si es que alguna vez pudo describirse
en esos términos, especialmente cuando, en el mejor de los casos,
terminan causando auténticos quebraderos de cabeza, sin contar
destrozos mayores.
Hoy día, hemos pasado de los experimentos de estudiantes a la mafia
organizada, a auténticos profesionales del malware que, por encima de
todo, buscan un rendimiento económico.
En un primer momento pudiera parecer que esta profesionalización,
con mayores recursos a sus espaldas, se traduciría en unos
especímenes más sofisticados. Sin embargo podemos observar que más
bien es al contrario, se ha pasado de la creatividad a la fuerza
bruta. Cada vez hay más proliferación de malware, pero se ha perdido
en «calidad» técnica.
Mientras para los creadores de virus de la vieja escuela parte de la
motivación venía dada por inventar y experimentar con nuevas
técnicas, hoy día la mayoría lo que busca son resultados
cuantitativos. Y todo parece indicar que resulta más rentable en esos
términos dedicarse a modificar continuamente el código del mismo
gusano más que a buscar nuevos enfoques que tal vez no tengan una
rentabilidad directa en número de infecciones.
En el caso de la avalancha actual de variantes de Mytob, por ejemplo,
podemos ver como se utiliza la típica estrategia del envío del archivo
infectado adjunto por e-mail junto a otras técnicas bien conocidas,
como es aprovechar la vulnerabilidad LSSAS que Microsoft parcheó el
año pasado, la misma que explotó el famoso gusano Sasser.
Y con esa estrategia bien conocida y para las que existen formas
básicas de prevención, ¿logran infectar sistemas?. Afirmativo. Internet
es enorme, y si bien mucha gente, como nuestros lectores, cumplen unas
normas básicas de seguridad que les permite prevenir este tipo de
gusanos, existe un gran número de sistemas y usuarios sin protección
alguna, a los que un gusano de e-mail les debe sonar a algo parecido
a un insecto.
Es para este parque de máquinas y usuarios desprotegidos para los que
se desarrolla este tipo de gusanos y otro tipo de malware que a nosotros
nos molesta más por el spam que pueden llegar a generar que por el
peligro de infectarnos.
Es tal la lucha de los creadores de este tipo de malware por controlar
ese parque de máquinas desprotegidas que es habitual ver guerras entre
ellos, por ejemplo que una determinada familia de gusanos desactive a
otros gusanos en la competición por hacerse con los sistemas más
débiles.
En definitiva, tal y como están las cosas, no nos queda más remedio que
sufrir la avalancha cotidiana de nuevas variantes y versiones con las
mismas técnicas más o menos reconocidas.
No obstante, nunca debemos bajar la guardia, cada cierto tiempo, al
menos ha sido así durante los últimos años, siempre ha surgido algún
nuevo espécimen especialmente virulento, y últimamente las aguas están
muy calmadas…
bernardo@hispasec.com
Deja un comentario