Un temporal de troyanos convierte 400.000 ordenadores en "zombies" en un fin de semana

24/01/07 16:24:18 

UN TEMPORAL DE TROYANOS CONVIERTE 400.000 ORDENADORES EN "ZOMBIES" EN UN FIN DE SEMANA

Mercè Molist

No se veía un bombardeo vírico tan agresivo desde 2005.
Pero no es un virus, ni un gusano, aunque lo llamen "Gusano de la
Tormenta". Es un programa que instala un troyano en los ordenadores con
sistema operativo Windows y los transforma en "zombies". Según
la empresa de seguridad Comendo, en sólo un fin de semana
infectó 400.000 equipos.

Su nombre, "Storm Worm" o "Gusano de la Tormenta", se debe a que fue
visto por primera vez en correos electrónicos que anunciaban
cientos de muertos en Europa por el frío. Prometía
más información si se pinchaba un archivo adjunto con la
extensión .exe, que mostraba claramente que era un programa y no
un documento. Aún así, "picaron" miles de personas en
todo el mundo.

Los expertos sólo se lo explican por su rápida y masiva
distribución. Empezó el viernes 19 de enero y hubo cuatro
oleadas más durante el fin de semana, cada una dirigida a
millones de direcciones. La grabación de los ataques, en el mapa
electrónico donde la empresa F-Secure localiza las infecciones
víricas, se asemeja a bombardeos aéreos a la velocidad de
la luz, España incluída.

Cada oleada enviaba versiones diferentes del troyano, para que los
antivirus no pudiesen bloquearlo. Y también del correo-trampa:
la segunda ola usaba títulos en inglés como "Rusia
dispara por equivocación a un satélite chino" o "Fidel
Castro ha muerto". La tercera anunciaba, entre otros, un alarmista "La
Tercera Guerra Mundial ha empezado".

La semana pasada hubo un bombardeo por día, con mensajes
más tiernos: "Pienso en ti" o "Te envío una postal".
Según la compañía Symantec, es el peor ataque
vírico desde mayo de 2005, cuando el gusano Sober infectó
cientos de miles de máquinas y marcó el fin de las
propagaciones masivas a favor de otras más discretas, para no
alertar a las compañías antivirus. 

Los expertos no saben si es un caso aislado o la vuelta al pasado. El
hecho de que fuesen ataques masivos sincronizados, usando cada vez
diferentes mensajes y versiones del programa malicioso, indica que
estaba meticulosamente planeado. Christian Axel Wanscher, de Comendo,
explica: "Hemos detectado elementos en el código de estos
"gusanos" que habían sido usados en otros, lo que indica que sus
autores no eran novatos". 

Presumiblemente, los criminales usaron ordenadores "zombie" para lanzar
los bombardeos. Los "zombies" son equipos infectados con troyanos que
ejecutan las órdenes de los delincuentes, sin que lo sepan sus
propietarios. El objetivo del "Gusano de la Tormenta" era instalar a su
vez más troyanos, para reclutar nuevos "zombies" e integrarlos
en "botnets" (redes de robots), usadas mayoritariamente en el
envío de correo basura.

Las "botnets" que creaba el "Gusano de la Tormenta" eran de
última generación: orquestadas al estilo P2P y subdividas
en redes. Así, explica Wanscher: "Cada ordenador sólo
está en contacto con un grupo de ordenadores infectados y no
tiene información del resto. Tampoco hay un servidor central que
los coordine a todos, de forma que es casi imposible destruir la red".

Vídeo de la propagación del "Gusano de la Tormenta"

http://www.youtube.com/watch?v=kH8cS1AkqiI

El mediático troyano de la tormenta y las lecciones no aprendidas

http://www.hispasec.com/unaaldia/3012/mediatico-troyano-tormenta-las-lecciones-aprend

Comendo

http://www.comendo.es

Copyright 2007 Mercè Molist. 

Verbatim copying, translation and distribution of this entire article
is permitted in any digital and no commercial medium, provided this
notice is preserved. 

<<