El gusano "Storm" sigue cayendo sobre Internet
Este worm o gusano se ha convertido en una verdadera pesadilla en el
mundo de la red. Este elemento polimórfico está mutando más
rápidamente que una bacteria de la vida real en un hospital y se ha
convertido en la plataforma de lanzamiento para muchas de las
recientes inundaciones de spam y ataques con denegación de servicios
que asolan a las redes de todo el mundo.
El worm Storm hizo su aparición en enero de este año en USA y Europa.
Distribuía una carta que hacía referencia a los recientes desastres
climáticos ocurridos en Europa. "230 muertos en las tormentas que
azotan a Europa," era su título.
Adjunto tenía un ejecutable que, al ser activado por algún ingenuo,
ponía en acción una serie irreversible de eventos negativos. La
familia Storm, Small.Dam y Win32/Nuwar, instalaba toda clase de
software, incluyendo componentes de update.
El gusano muta constantemente, cada 30 minutos y eso dificulta su
erradicación. La detección basada en firmas que usan los productos
antivirus resulta casi inútil porque el gusano adquiere nuevo código
más rápido de lo que los proveedores de antivirus pueden detectarlo
con sus firmas.
Storm no usa el mismo método "comand and control" que los demás.
Desactivar unos cuantos servidores de comando y control sirve para
desactivar a un botnet estándar, pero Storm es inmune a esta táctica.
Storm utiliza un método par-a-par para llevar su carga e instrucciones
de una computadora a otra. Estas computadoras infectadas se comunican
entre si con el protocolo de compartir archivos par-a-par de eDonkey.
La comunicación entre pares es encriptada y las claves de encripción
varían constantemente.
Este sofisticado elemento fue generado en Rusia y sorprende a los
especialistas con su capacidad de actualizar continuamente sus ataques
y crear algo nuevo cada semana. Storm está altamente componentizado y
se efectúa upgrades y cambios permanentemente.
Paul Ferguson, de Trend Micro, observó que Storm se particiona en una
cantidad de pequeñas botnets (redes de máquinas infectadas) y no en
una grande como en sus inicios. Ferguson todavía no sabe a qué
responde ese comportamiento de pequeñas particiones.
El mes pasado, Microsoft liberó una actualización para su herramienta
anti malware, cubriendo variantes de Win32/Nuwar y tuvo un efecto
positivo bajando en un 20 % la cantidad de máquinas infectadas. Pero
Storm recuperó posiciones en las siguientes semanas.
Para Ferguson, no se debe asumir que la actividad del virus haya
disminuido. "Se segmenta en pequeños botnets, reduciendo su tamaño.
Algunos malinterpretan esto porque no saben toda la verdad sobre el
tema."
Storm aprovecha la única vulnerabilidad que no se puede "patchear": el usuario
Dmitri Alperovitch, principal investigador científico en los
laboratorios Secure Computing TrustedSource, reconoce que Storm "ha
sido una sorpresa para toda la industria de la seguridad."
El investigador nos dice que la actualización realizada a la
herramienta de remoción de software malicioso de Microsoft (MSRT,
Malicious Software Removal Tool), fue de gran ayuda porque está
prácticamente en cada máquina Windows, excepto en aquellas con
versiones pirata. "Muchas de las máquinas infectadas posiblemente
corran con copias ilegales de Windows y sus usuarios no quieren
registrarse con Microsoft. También están quienes usan versiones viejas
del sistema operativo o han desactivado el update automático de
Windows por alguna razón," nos dice Alperovitch.
Pero la efectividad de Storm se debe fundamentalmente a que los
usuarios sigan siendo tan incautos. Parece algo de sentido común
básico no hacer click en un link o activar un ejecutable enviado por
un desconocido, pero muchos lo hacen.
Randy Abrams, investigador de la firma ESET, nos dice: "Storm explota
la única vulnerabilidad a la que no se puede aplicar un patch, el
usuario. "En las próximas semanas veremos spams haciendo referencia a
los incendios del Sur de California y tendrán links con infecciones
Storm."
Algunos piensan que las empresas dedicadas a la seguridad y antivirus
suelen exagerar acerca de problemas como Storm. Pero en consultoras e
investigadoras como Forrester Research, también cunde la preocupación.
Chenxi Wang, analista especializado en seguridad y administración de
riesgo, nos dice que "los usuarios no están alerta respecto a Storm ni
a otra clase de virus. No están actualizando sus firmas con la
frecuencia requerida y no están suficientemente atentos ante mails
sospechosos. Por eso Storm continúa encontrando víctimas."
La historia nos muestra que, una vez que los gusanos aparecen, estarán
con nosotros un buen rato. Dos de las variantes más conocidas son
Bagel y Netsky, que siguen apareciendo luego de varios años. "Estoy
seguro de que tendremos que luchar con Storm por un largo plazo,"
concluye Alperovitch.
mundo de la red. Este elemento polimórfico está mutando más
rápidamente que una bacteria de la vida real en un hospital y se ha
convertido en la plataforma de lanzamiento para muchas de las
recientes inundaciones de spam y ataques con denegación de servicios
que asolan a las redes de todo el mundo.
El worm Storm hizo su aparición en enero de este año en USA y Europa.
Distribuía una carta que hacía referencia a los recientes desastres
climáticos ocurridos en Europa. "230 muertos en las tormentas que
azotan a Europa," era su título.
Adjunto tenía un ejecutable que, al ser activado por algún ingenuo,
ponía en acción una serie irreversible de eventos negativos. La
familia Storm, Small.Dam y Win32/Nuwar, instalaba toda clase de
software, incluyendo componentes de update.
El gusano muta constantemente, cada 30 minutos y eso dificulta su
erradicación. La detección basada en firmas que usan los productos
antivirus resulta casi inútil porque el gusano adquiere nuevo código
más rápido de lo que los proveedores de antivirus pueden detectarlo
con sus firmas.
Storm no usa el mismo método "comand and control" que los demás.
Desactivar unos cuantos servidores de comando y control sirve para
desactivar a un botnet estándar, pero Storm es inmune a esta táctica.
Storm utiliza un método par-a-par para llevar su carga e instrucciones
de una computadora a otra. Estas computadoras infectadas se comunican
entre si con el protocolo de compartir archivos par-a-par de eDonkey.
La comunicación entre pares es encriptada y las claves de encripción
varían constantemente.
Este sofisticado elemento fue generado en Rusia y sorprende a los
especialistas con su capacidad de actualizar continuamente sus ataques
y crear algo nuevo cada semana. Storm está altamente componentizado y
se efectúa upgrades y cambios permanentemente.
Paul Ferguson, de Trend Micro, observó que Storm se particiona en una
cantidad de pequeñas botnets (redes de máquinas infectadas) y no en
una grande como en sus inicios. Ferguson todavía no sabe a qué
responde ese comportamiento de pequeñas particiones.
El mes pasado, Microsoft liberó una actualización para su herramienta
anti malware, cubriendo variantes de Win32/Nuwar y tuvo un efecto
positivo bajando en un 20 % la cantidad de máquinas infectadas. Pero
Storm recuperó posiciones en las siguientes semanas.
Para Ferguson, no se debe asumir que la actividad del virus haya
disminuido. "Se segmenta en pequeños botnets, reduciendo su tamaño.
Algunos malinterpretan esto porque no saben toda la verdad sobre el
tema."
Storm aprovecha la única vulnerabilidad que no se puede "patchear": el usuario
Dmitri Alperovitch, principal investigador científico en los
laboratorios Secure Computing TrustedSource, reconoce que Storm "ha
sido una sorpresa para toda la industria de la seguridad."
El investigador nos dice que la actualización realizada a la
herramienta de remoción de software malicioso de Microsoft (MSRT,
Malicious Software Removal Tool), fue de gran ayuda porque está
prácticamente en cada máquina Windows, excepto en aquellas con
versiones pirata. "Muchas de las máquinas infectadas posiblemente
corran con copias ilegales de Windows y sus usuarios no quieren
registrarse con Microsoft. También están quienes usan versiones viejas
del sistema operativo o han desactivado el update automático de
Windows por alguna razón," nos dice Alperovitch.
Pero la efectividad de Storm se debe fundamentalmente a que los
usuarios sigan siendo tan incautos. Parece algo de sentido común
básico no hacer click en un link o activar un ejecutable enviado por
un desconocido, pero muchos lo hacen.
Randy Abrams, investigador de la firma ESET, nos dice: "Storm explota
la única vulnerabilidad a la que no se puede aplicar un patch, el
usuario. "En las próximas semanas veremos spams haciendo referencia a
los incendios del Sur de California y tendrán links con infecciones
Storm."
Algunos piensan que las empresas dedicadas a la seguridad y antivirus
suelen exagerar acerca de problemas como Storm. Pero en consultoras e
investigadoras como Forrester Research, también cunde la preocupación.
Chenxi Wang, analista especializado en seguridad y administración de
riesgo, nos dice que "los usuarios no están alerta respecto a Storm ni
a otra clase de virus. No están actualizando sus firmas con la
frecuencia requerida y no están suficientemente atentos ante mails
sospechosos. Por eso Storm continúa encontrando víctimas."
La historia nos muestra que, una vez que los gusanos aparecen, estarán
con nosotros un buen rato. Dos de las variantes más conocidas son
Bagel y Netsky, que siguen apareciendo luego de varios años. "Estoy
seguro de que tendremos que luchar con Storm por un largo plazo,"
concluye Alperovitch.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!