El 19 de enero de 2008 se cumple un año del primer ‘avistamiento’ de Storm Worm. Hoy en día es una de las epidemias más extendidas, y cumple un año con un índice aceptable de infección que sin duda le permitirá permanecer aferrado a los primeros puestos durante bastante semanas más.
Muchos lo llaman Storm, otros Peacomm o Nuwar. Es difícil seguirle el juego. Se dice que el primer Storm Worm fue visto por primera vez en Helsinki el 19 de enero de 2007. Desde entonces, se ha posicionado como una insistente epidemia de nuestro tiempo y siempre ha resultado bastante mediático.
Storm Worm comenzó como un ejemplo de libro en cuestión de métodos de infección. Un archivo ejecutable adjunto a un correo que prometía un vídeo sobre las tormentas que sufría Europa en aquel momento. Sin embargo, una vez conseguida una base sustancial de víctimas e infectados, estos mismos sistemas troyanizados comenzaron una campaña de expansión a través de spam que todavía inunda las casillas de correos.
Luego ha mejorado con distintas campañas. Cada cierto tiempo, cambia el método de infección. Desde el adjunto hasta la invitación a visitar páginas web que no solo pretendía que la víctima descargase el troyano, sino que intentaba aprovechar vulnerabilidades de todos los navegadores para conseguir la ejecución.
Otro de los puntos fuertes de este virus ha sido su capacidad de poliformismo en servidor. El archivo que descargaban las víctimas podía mutar hasta varias veces por minuto, detectándose literalmente decenas de pequeñas y grandes variaciones por día alojadas en servidores.
Las campañas con la que Storm ha enviado correos basura para incitar a la infección han sido de lo más variopintas… desde invitaciones a la descarga de juegos, pasando por premios de la lotería, cirugía barata, contraseñas para portales especiales… y, la última, invitaciones de amor para el día de San Valentín.
Hace tiempo que no se recordaba una epidemia tan duradera. Si bien no se percibe igual que en los tiempos del Klez (un año en el «top ten» una proeza para ser el año 2003), Code Red, Nimda, MyDoom…. Solo NetSky, en especial su variante NetSky.P, puede decirse que vaya a la zaga. Descubierto en marzo de 2004, no es raro encontrar sistemas infectados con esta variante todavía.
Y no es solo que Storm Worm mute con nuevas versiones, sino que se ha convertido en un complejo sistema multi-modular que se sirve de cientos de servidores comprometidos o no, una capacidad de mutación endiablada, y una modularidad que permite que sus funcionalidades cambien continua y radicalmente. Por tanto Storm Worm no se podría clasificar como un troyano sino como un complejo sistema perfectamente orquestado, cambiante y eficaz. Muy al estilo malware 2.0.
Existen otras familias, como los Sinowal o Zlob, que de forma mucho más silenciosa, llevan también presentes en Internet desde hace muchos meses, aunque no de manera tan notoria. De hecho, el ratio de detección en VirusTotal de este tipo de familia (Sinowal) suele ser del 25%.
ssantos@hispasec.com
Más información:
From Storm With Love!
http://www.f-secure.com/weblog/archives/00001363.html
23/10/2007 La epidemia del ‘Storm Worm’, algunas cifras
http://www.hispasec.com/unaaldia/3286
Deja una respuesta