19/04/06 17:37:42
UN VIRUS SECUESTRA DOCUMENTOS A CAMBIO DE UN RESCATE
Mercè Molist
Un nuevo tipo de código malicioso, los criptovirus, avanzan en
una lenta pero constante evolución, avisan los expertos. Se
introducen en los ordenadores de la misma forma que el resto. La
diferencia es que no destruyen documentos sinó que los cifran o
los hacen inaccesibles y piden un rescate. La semana pasada,
aparecía un nuevo especimen: CryZip, también llamado
Zippo.
Cuando entra en un ordenador, el virus troyano Zippo busca determinados
archivos, como documentos Word, bases de datos u hojas de
cálculo, y los transforma en archivos comprimidos que precisan
una contraseña para acceder a ellos. A cambio de obtener esta
palabra de paso, la víctima deberá pagar 300
dólares a una cuenta.
Estos virus son aún rudimentarios y no fue difícil que la
empresa Sophos, después de analizarlo, descubriese dónde
almacena la contraseña. Su antecesor, PGPCoder, que
apareció en mayo de 2005, también tenía fallos,
aunque su concepto estaba claro: cifraba los documentos y pedía
un rescate por descifrarlos.
La fragilidad de los criptovirus reside en su novedad: no tienen
plantillas en las que basarse, deben ser creados desde cero, lo que
explica los errores iniciales. Según Cristian Borghello,
director técnico de Eset Latinoamérica, "hasta ahora y
por ser los primeros, los métodos de cifrado han sido sencillos
y fácilmente reversibles. Además, el modo de
utilización de cuentas bancarias aún no se ha
perfeccionado, lo que permite rastrearlas de forma sencilla".
Pero los expertos están seguros de su proliferación
futura, al conllevar ganancias económicas, principal
motivación de la mayoría de creadores de virus: "Es
fácil imaginar que cuando se perfeccionen usarán
técnicas de cifrado fuertes, lo que imposibilitará el
descifrado de los archivos. Es inevitable que este sistema de secuestro
se perfeccione", explica Borghello.
El concepto de criptovirus es muy nuevo. Surgió en 1996, cuando Moti Yung y Adam Young
desarrollaron la teoría que
aunaba la virología y el cifrado. Permaneció como una
hipótesis de laboratorio hasta que en 2005 apareció
PGPCoder. La única defensa, además de usar antivirus, es
realizar copias periódicas de seguridad.
Virus para Windows y Linux
También la semana pasada, Kaspersky Lab descubría un
nuevo virus, Bi.a, que infecta ejecutables tanto de Windows como de
Linux. A pesar del revuelo mediático, no es el primer virus de
este tipo. Existían ya Smile o Winux, obra del grupo
español de creadores de virus 29A. Todos pruebas de laboratorio,
más que virus reales.
Según Sergio de los Santos, de Hispasec Sistemas, "Bi.a es
bastante inofensivo. Sólo se extiende sobre los archivos del
directorio donde se ha ejecutado, no causa daño y no se
auto-propaga a otros sistemas. No es más que el intento de
alguien por demostrar que pueden existir estos "bichos"".
Su capacidad de infectar Linux es mínima, afirma: "El
diseño de Linux impide casi por definición que un virus
pueda reproducirse fácilmente o que pueda ser ejecutado de forma
inadvertida por el usuario. Los virus para Linux, apenas unas decenas,
poco activos y menos agresivos, han sonado más como curiosidades
que por su capacidad de infección real".
A pesar de ello, Bi.a llamó la atención de Linus
Torvalds, creador de Linux, quien lo examinó para conocer su
alcance. Torvalds descubrió que un error del núcleo del
sistema operativo impedía que el virus pudiese ejecutarse
correctamente. Alertado así por el virus, corrigió el
error del núcleo de Linux. Ahora el núcleo funciona bien
y, como consecuencia paradójica, el virus puede infectarlo.
El troyano Zippo exige 300 dólares para recuperar datos encriptados
http://esp.sophos.com/pressoffice/news/articles/2006/03/zippo.html
Nuevas formas de hacer dinero ilegal: RansomWare
http://www.nod32-la.com/about/press.php?id=162
Nueva prueba de concepto capaz de infectar a Windows y GNU/Linux
http://www.hispasec.com/unaaldia/2734
Torvalds creates patch for cross-platform virus
http://software.newsforge.com/software/06/04/18/1941251.shtml?tid=78&tid=26
Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any digital medium, provided this notice is preserved.
<<