«Storm Worm» o «Storm Virus» se ha popularizado en las últimas horas como malware de rápida distribución que ha llegado a miles de sistemas. Lo oportuno del asunto original con el que aparecía en los buzones (haciendo referencia a la tormenta que ha azotado Europa), ha provocado que muchos usuarios lo ejecuten y queden infectados. Resulta llamativa su capacidad de infección teniendo en cuenta que «Storm» es un malware con un método de infección «de manual«, tradicional y sin ninguna capacidad técnica que llame la atención.
El viernes F-Secure alertaba de una rápida propagación de un troyano llamado por algunas casas Small.DAM (más conocido como «Storm«), que llegaba a través del correo electrónico. En la noticia publicada (acompañada de un mapa del mundo muy vistoso) se podían seguir a través de luces parpadeantes la velocidad de infección del malware en cuestión.
Técnicamente hablando Small.DAM no aporta nada nuevo, ni en su técnica de expansión ni en su daño potencial: Es una variante de Small, es un «downloader» para sistemas Windows, instala un nuevo servicio y tiene propiedades de puerta trasera con lo que el sistema quedaría a disposición de, probablemente, un operador de botnet. Nada que destacar hasta el momento.
La versión original detectada el viernes 19 de enero se propagaba a través del correo, en un archivo adjunto ejecutable para sistemas Microsoft (.exe) y con asuntos como:
- 230 dead as storm batters Europe (230 muertos en una tormenta que arrasa Europa)
- Saddam Hussein alive! (¡Saddam Hussein vivo!)
Y adjuntos con la carga maliciosa con nombres como:
- Full Clip.exe
- Full Story.exe
- Read More.exe
- Video.exe
Un ejemplo «de libro» sobre ingeniería social sencilla a la hora de intentar engañar a los usuarios. Este virus no ha necesitado aprovechar ningún tipo de vulnerabilidad, esconderse bajo extensiones aparentemente inofensivas, ni partir de una familia previamente no detectada de malware. Simplemente, ha usado una noticia actual y suficientemente morbosa (la promesa de un vídeo sobre los que han sufrido mortalmente el temporal o la hipótesis de un dictador vivo cuando medio mundo ha presenciado su ejecución) para conseguir cierto éxito y propagarse sin dificultad. Una muestra más del eslabón más débil de cualquier cadena de seguridad: el usuario.
Ante el éxito, la pista se pierde. En las últimas horas han aparecido decenas de variantes, con nuevos asuntos, adjuntos y carga vírica. En sus últimos análisis, se observan inclusos comportamientos de rootkit para ocultarse en el sistema.
Las últimas actualizaciones de la mayoría de los antivirus están añadiendo a marchas forzadas firmas para detectar las muchas variantes producidas. Se recomienda en cualquier caso, aplicar el sentido común y no ejecutar archivos ejecutables no solicitados. Si los administradores todavía no lo han hecho, se deberían descartar los archivos ejecutables a nivel de pasarela de correo.
Sorprende (y decepciona) que acudir a técnicas de propagación tradicionales y carentes de imaginación como este malware (que confía sólo en el poder de un asunto llamativo para su propagación), resulte exitoso a estas alturas. Es una lección que, por repetición desde hace ya muchos años, creíamos aprendida.
Más información:
Small.DAM spammed around
http://www.f-secure.com/weblog/archives/archive-012007.html#00001086
Storm-Worm Small.DAM Spread Quickly
http://www.f-secure.com/weblog/archives/archive-012007.html#00001087
Another trojan run by the Storm Worm gang
http://www.f-secure.com/weblog/archives/archive-012007.html#00001088
Storm Worm starts to use Rootkit
techniqueshttp://www.f-secure.com/weblog/archives/archive-012007.html#00001089
Sergio de los Santos
ssantos@hispasec.com
ssantos@hispasec.com
Deja una respuesta