Los gusanos son programas que se replican a sí mismos de sistema a sistema sin utilizar un archivo para hacerlo. En esto se diferencian de los virus, que necesitan extender- se mediante un archivo infectado. Aunque los gusanos generalmente se encuentran dentro de otros ar- chivos, a menudo documentos de Word o Excel, existe una diferencia en la forma en que los gusanos y los virus utilizan el archivo que los alberga.
Normalmente el gusano genera- rá un documento que ya contendrá la macro del gusano dentro. Todo el documento viajará de un equipo a otro, de forma que el documento completo debe considerarse como gusano.
Se han hecho muy populares debido al amplio uso actual de In- ternet y el correo electrónico. Aun- que los primeros experimentos con estos tipos de programas se remon- Figura 4. Ataque del gusano ‘Code Red’
Defensa
tan al año 1982 en el Research Center de Palo Alto, Estados Uni- dos, no fue hasta el 2 de noviem- bre de 1988 cuando se multiplicó el primer gusano a través de Inter- net.
Su nombre era Morris, explotó múltiples huecos de seguridad y afec- tó en pocas horas alrededor de 60. 000 computadoras, causando pro- blemas de conectividad durante va- rios días. A partir de esa fecha, otros códigos maliciosos también hicieron irrupción en las redes, pero no fue hasta los primeros días del mes de marzo de 1999, cuando apareció Melissa, fue entonces cuando se convirtieron en un verdadero dolor de cabeza.
Melissa logró un alto nivel de in- fección por el gran intercambio de información contenida en archivos escritos en la aplicación Word de la suite Microsoft Office, y por su modo de diseminación. Viajó en un correo electrónico con asunto Im- portant Message From <nombre> (Mensaje Importante de…), donde el nombre correspondía al de la cuenta de correo electrónico del
usuario que supuestamente lo en- viaba.
El texto invitaba a su lectura, y el anexo contenía referencias a sitios web con información pornográfica, aunque podía sustituirse por un documento de la computadora infes- tada. De esta forma viajaron por In- ternet documentos con información sensible.
Un mensaje con estas carac- terísticas llamó la atención de muchos receptores, quienes tenta- dos abrieron el anexo y se conta- minaron. Esta técnica de explotar la debilidad de la confianza de los seres humanos, conocida como ingeniería social, ha sido amplia- mente usada por los creadores de virus.
Este fue el gusano que inició la lista de los más propagados y dañi- nos en la historia de los códigos ma- lignos, y en pocos días logró afectar 1.200.000 computadoras con daños ascendentes a 1.100 millones de dólares, según la publicación Com- puter Economics.
Ese mismo año, en el mes de ju- nio, fue reportado el altamente des- tructivo gusano ExploreZip. Al igual que el anterior, viajaba en un correo electrónico y adjuntaba un archivo de nombre zipped_files. Además, utilizaba el icono de compresión del programa WinZip y así daba la impresión de ser la respuesta a un texto previamente enviado por el receptor.
Este código infeccioso borraba además los archivos de extensión .c, .h, .cpp, .asm, .doc, .xls, .ppt, asig-
nándoles un tamaño de 0 bytes, con lo cual eran irrecuperables.
En Mayo de 2000 las redes in- formáticas de todo el mundo sufrie- ron una gran conmoción cuando apareció el célebre gusano I love you o Love Setter. Este fue un pro- grama que explotó varias vías de reproducción, como el correo elec- trónica, la mensajería instantánea, las salas de conversación o chats, los servicios de noticias o news- groups, los archivos compartidos en una red o las páginas web en Internet.
El mensaje tenía como asunto ILOVEYOU (Te quiero, en inglés), y el texto sugería abrir una carta de amor enviada al destinatario, que aparecía como anexo en el nombre LOVE-LETTER-FOR-YOU.TXT.VBS (CARTA DE AMOR PARA TI, en inglés).
A diferencia del Melissa, el ILO- VEYOU intentaba enviar un mensaje similar a todas las direcciones de co- rreo que tenía la máquina infectada, por lo cual el nivel de difusión alcan- zado fue muy alto, alrededor de tres millones de computadoras en un día. Esto, junto a la destrucción de ar- chivos en el disco duro, que realizó mediante la sobre escritura con su código, provocó daños en todo el mundo valorados en 8.750.000 dó- lares.
El año 2001 también fue pródigo en gusanos notorios. El primero de ellos, Code Red o Código Rojo, re- sultó todo un acontecimiento, tanto por los altos niveles de extensión co- mo por las novedosas técnicas que empleaba. Este código afectó a un buen número de servidores de Inter- net de Microsoft (Microsoft Internet Information Server o IIS), además de lanzar ataques de denegación de servicio (DoS).
Se pueden diferenciar dos var- iantes de la familia Code Red. Ambas explotaron la vulnerabilidad MS01- 033 en las extensiones ISAPI en las versiones 4.0 y 5.0 del servicio IIS (Microsoft Internet Information Service), logrando afectar, en el se- gundo caso, 359.000 computadoras en menos de 14 horas.
Figura 6. La víctima del ataque del gusano
Welcome to http://www.worm.com! Hacked By Chinese!
Figura 5. La página Web de Inicio del servidor cambiada por este mensaje
Programas malignos
www.hakin9.org
49
La velocidad de diseminación se- gún estadísticas de CAIDA, situado en el Centro de Supercomputadoras de San Diego, fue de 2000 equipos por minuto en el momento álgido de propagación. Este hecho ocurrió 24 días después de haber sido libe- rado el parche para solucionar la vulnerabilidad. La Figura 1 muestra cómo Code Red realiza la búsqueda del equipo vulnerable y su posterior propagación.
Vulnerabilidad MS01-033
MS01-033 (Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise).
Vulnerabilidad en el archivo IDQ. DLL, de los servidores Microsoft IIS 5.0. Sistemas Afectados:
• Windows 2000 IIS (Versión ingle- sa),
• Windows NT (Versión inglesa). Filtro: Codered: "http or tcp.dstport == 80"
En la Figura 4 vemos una mues- tra de la captura de Ethereal en el momento del ataque del gusano Co- de Red. Como vemos son simples peticiones (GET), utilizadas por el protocolo HTTP para descargar una simple pagina Web, con el siguiente formato:
http://www.maquina victima.com/ scripts/
root.exe?/c+dir+c:\HTTP/1.1
El código se guarda como archivo en el disco, sino que a través de IIS se posiciona en la memoria di- námica integrándose en el propio sistema. Una vez que Code Red ha infectado un servidor, empieza a bus- car direcciones IP de forma aleato- ria con el propósito de infectar otros servidores que tengan instalado el IIS.
Una vez que Code Red ha logra- do infectar un servidor Web, actúa de la siguiente forma:
• Se integra en la plataforma del sistema infectado,
• Genera 100 hilos (subprocesos) del gusano,
• Los primeros 99 hilos los utlizará para propagarse a otros servido- res web,
• El hilo número 100 verifica si el sistema Windows NT/2000 es una versión inglesa.
De ser así, el gusano procederá a desconfigurar el sitio Web del sis- tema infectado. La página Web de Inicio del servidor se cambiará por un mensaje que presenta este as- pecto:
Welcome to http://www.worm. com!, Hacked By Chinese!. Este mensaje en la página infectada, permanecerá activa durante 10 ho- ras y luego desaparecerá. El men- saje no se volverá a mostrar, a me- nos que el servidor sea reinfectado por otro sistema.
Si el sistema no tiene Windows NT/2000 en inglés, el hilo 100 se uti- lizará para infectar otros servidores.
Cada hilo del gusano busca el archivo c:\notworm. Si lo encuentra, el gusano permanecerá inactivo.
Si no se encuentra, cada hilo con- tinuará intentando infectar más ser- vidores web (Figura 5).
Cada hilo del gusano verifica la fecha del sistema del servidor infec- tado.
• Si la fecha es posterior al día 20 del mes, el hilo dejará de buscar sistemas para infectar y en su lugar atacará el servidor web de La Casa Blanca de los Estados Unidos en www.whitehouse.gov. El ataque consiste en el envío de 100 kilobytes de datos al puerto 80 del mencionado sitio web. Este aluvión de información (410
megabytes cada 4 horas y me- dia) provocará la saturación de los servicios infectados.
• Si la fecha es entre los días 10 y 19 del mes, el gusano no inten- tará atacar al sitio web de la Ca- sa Blanca y continuará tratando de infectar nuevos servidores web en todo el mundo.
El 7 de Agosto de 2001, a causa del gusano Code Red, los servidores de la Casa Blanca, sede de la Presiden-
cia de los Estados Unidos migraron al sistema operativo Linux:
En enero de 2003 el gusano Slammer explotó una vulnerabilidad presente en el servicion de resolu- ción de Microsoft SQL Server 2000 y Microsoft Desktop Engine 2000 basada en un desbordamiento de buffer (MS02-039). Logró afectar entre 100.000 y 200.000 equipos en 10 minutos, duplicando la cantidad de equipos comprometidos en po- cos segundos. La difusión comenzó transcurridos 183 días a partir de la liberación del parche oficial de seguridad. En la figura 2 se puede observar la localización de la vícti- ma potencial y su posterior transmi- sión.
SIRCAM fue el segundo de los afamados de ese año, detectado inicialmente el 25 de julio, y se dis- tribuyó con textos escritos en inglés y español. El anexo, con doble ex- tensión, contenía un fichero formado por dos archivos, uno con el código del gusano y otro robado de la com- putadora desde donde era enviado. En esa ocasión los daños evalua- dos fueron del orden de los 1.150 millones de dólares, sin considerar el hecho de que creó brechas de confidencialidad al dar a la luz archi- vos con información potencialmente sensible.
Para finalizar el año, el 8 de di- ciembre se emitieron los primeros informes del Nimda, que circuló con formato de página Web, al- terado de forma tal que engañó a Internet Explorer, permitiendo la ejecución del archivo adjunto con Figura 7. Esta ventana podía aparecer en Windows XP debida a la acción del gusano Blaster
Defensa
solo visualizar la vista previa. Los daños ocasionados por su acción ascendieron a 635 millones de dó- lares.
Durante el año 2002, los gu- sanos más distinguidos fueron los pertenecientes a la familia Klez, los cuales se mantuvieron alrede- dor de 12 meses en el primer lugar de las listas de informes de las empresas antivirus. Según el bole- tín G2 Security, de Mayo de 2002, con el nivel de propagación alcan- zado de la variante Klez.H se lle- garon a detectar 2.000 copias diar- ias.
Finalmente, en el transcurso del año 2003 nuevos gusanos co- mo Slammer o Sapphire causaron estragos, hasta el punto que Corea del Sur desapareció de Internet, 13.000 computadoras de un gran banco de los Estados Unidos deja- ron de trabajar, y una línea aérea americana canceló vuelos por pro- blemas en los sistemas de compra y chequeo de billetes. Además, lo- gró afectar entre 100.000 y 200.000 computadoras en 10 minutos, dupli- cando la cantidad en pocos segun- dos.
Famosos también fueron Blas- ter o Lobezna y los miembros de la familia Sobig. En el caso de la ver- sión Sobig.F, aparecida en Agosto, rompió todos los records históricos de gusanos que utilizaban como vía principal el correo electrónico, pues en su momento álgido fue detectado un correo portador por cada 20 transmitidos a través de Internet.
Otro gusano que basó su éxito en la ingeniería social superó esta cifra a inicios de 2004; su nomb- re Mydoom.A. Entre sus caracte- rísticas principales se encontraba que podía viajar en archivos adjun- tos comprimidos, tendencia se- guida por sus sucesores como las variantes de Netsky y Bagle, muy diseminadas durante este mismo año.
Esta nueva propensión, más comp- leja aún con el uso de palabras cla- ves o contraseñas, se debió a que los administradores de los servido-
res de correo electrónico limitaban el envío y recepción de archivos ejecu- tables, pero no limitaban los archivos comprimidos.
Lo curioso es que si bien el usuar- io tenía que descomprimir el código del gusano para ejecutarlo, y en mu- chos casos teclear la palabra clave, los creadores de virus inteligente- mente dispusieron que la palabra clave viajara dentro del texto del men- saje.
En general, aunque las principa- les vías de transmisión de los gusa- nos han sido el correo electrónico y los recursos compartidos a través de las redes, existen otros como las re- des P2P utilizadas para el intercam- bio de archivos, e incluso la sencilla vía de los disquetes, cada día más en desuso.
Existe una nueva tendencia, ca- da vez más utilizada, de explotar las vulnerabilidades o defectos de se- guridad de los sistemas operativos y aplicaciones.