Una empresa del Reino Unido ha publicado una estadística sobre correo
basura y virus en junio de 2006. Al margen de la exactitud de los
números y los métodos para conseguirlos, el estudio refleja lo estático
del mundo del malware en general, instalado cómodamente en constantes
variaciones de código vírico que ha demostrado su eficacia desde hace
más de dos años.
Según la compañía SoftScan, los cinco primeros puestos de familias de
virus en junio y su porcentaje de presencia en correos infectados es:
1.- Phishing: 48.05%
2.- Netsky: 16.69%
3.- Mytob: 15.05%
4.- Bagle: 5.94%
5.- Mydoom: 3.44%
Si se visita la página en la que la empresa hace públicos estos datos,
se puede observar además su evolución cada 24 horas, así como un estudio
pormenorizado mensual del espectacular incremento del correo basura en
los últimos años.
El primer puesto lo ocupan los virus (o malware en general) destinados
al phishing. En esta categoría se englobaría todo tipo de código
destinado a robar credenciales bancarias, ya sea registrando teclas,
robando información, engañando al usuario… pero siempre desde el punto
de vista de la rentabilidad y el lucro. Nada menos que casi la mitad del
malware que circuló en junio correspondía a este tipo de basura.
En segundo puesto y a distancia, encontramos a Netsky, un famoso virus
que lleva desde febrero de 2004 dando guerra. Hoy, decenas de versiones
después, sigue siendo de los virus más populares. Los tataranietos de su
primera versión siguen infectando muchos sistemas operativos Windows.
Mytob es un poco más joven. Lleva desde febrero de 2005 llegando a los
buzones de sus víctimas. Sus primeras versiones pertenecían a la familia
del MyDoom y aprovechaban una vulnerabilidad del proceso LSASS de
Microsoft Windows para propagarse. También se ha difundido y mantenido
activo a través de innumerables versiones y variantes.
Bagle, de los más veteranos, lleva acechando sistemas desde enero de
2004. Tuvo un importante impacto en su momento y hoy su descendencia
sigue ahí como uno de los virus con más representación en el correo
MyDoom también se descubrió en enero de 2004, y en un principio, se
habló mucho de él por tener programado en su código un ataque de
denegación de servicio en a la dirección web www.sco.com.
Estas cuatro últimas familias de virus están muy relacionadas entre sí y
tienen muchos puntos en común. Se han ido perfeccionando con el tiempo,
sufriendo gran cantidad de variaciones que le han permitido propagarse
de manera más efectiva y pasar desapercibidos para los antivirus. Todos
tienen en común una abundante descendencia. En algunos casos, el código
se hizo público, lo que contribuyó a una frenética aparición de
variantes casi a diario. También, como si se tratara de mafias
dispuestas a defender su territorio, algunos de estos virus intentaban
desactivar las acciones del resto, en lo que se convirtió en una
verdadera guerra tanto técnica como dialéctica (a través del código
fuente) entre los creadores. Se podían permitir el lujo de tomar el
sistema de su víctima como un campo de batalla, donde peleaban
impunemente por los recursos, burlándose de los antivirus y los usuarios.
Por último, además, estos virus han contribuido en gran medida a la
aparición de botnets y sistemas zombie, debido a que muchas de sus
versiones incluyen funcionalidades de puerta trasera.
Las conclusiones de esta lista son claras. Los creadores de virus son
prácticos y no innovan ya más allá de lo necesario para seguir pasando
más o menos inadvertidos. No buscan notoriedad, sino eficacia en su
código. Han encontrado algunas familias de virus efectivas que sirven
eficazmente a sus propósitos y trabajan constantemente sobre ellas para
mejorarlas.
Pero sobre todo, triunfa el phishing como método lucrativo de las nuevas
mafias organizadas. A juzgar por el número de estafas consumadas y
los niveles de persistente infección, parece que han tomado el camino
más adecuado a sus intereses.
ssantos@hispasec.com
Más información:
Virus and spam
http://www.softscan.co.uk/composite-263.htm
June’s virus and spam statistics from SoftScan
http://sourcewire.com/releases/rel_display.php?relid=26109
Deja un comentario