martes, 10 de marzo de 2009

El virus que burla todas las medidas para frenarlo


Ariel Torres LA NACION
¡Pero qué industriosos y diligentes son estos piratas! Lástima que no dediquen esa energía y esfuerzo en algo productivo para todos. Cuando hace menos de un mes LA NACION publicó la noticia sobre una de las mayores epidemias de la historia de Internet ( http://www.lanacion.com.ar/1100537 ), adelantó que los expertos aguardaban todavía lo peor. A pesar de su vasta difusión, el Conficker, también conocido como Downadup, todavía no estaba causando daño.
.
Ese "peor escenario" parece estar ahora más cerca que nunca. El virus -técnicamente un gusano- ha sido actualizado por sus autores para burlar las medidas que había instrumentado una coalición de la industria para desactivarlo.
.
"Hasta ahora, este virus generaba 250 dominios por día al azar y sus autores sólo registraban algunos de ellos -explica Hernán Coronel, Systems Engineer de la empresa antivirus Symantec-. Por medio de esas direcciones de Internet, el virus recibe actualizaciones y comandos.
.
Así es como se monta una red pirata, una red robot o botnet . Bueno, la estrategia de la coalición fue quebrar el código del gusano y registrar de antemano los 250 posibles dominios. Ahora, la nueva versión del virus en lugar de generar 250 dominios por día produce 50.000."
.
Un dominio es la parte significativa de una dirección web o la que sigue a la arroba @ en una dirección de e-mail . Con este simple cambio, los autores del virus han prácticamente pulverizado las contramedidas de la alianza formada por Microsoft, Symantec, VeriSign y la Autoridad de Números y Nombres de Internet (Icann, por sus siglas en inglés). Podrían intentar registrar 50.000 dominios por día, pero esto sería muy complejo y costoso.
.
Burlada la posibilidad de que la coalición industrial acierte con el dominio registrado por los piratas, excepto que en efecto tomen 50.000 direcciones por día, sus autores tendrían ya todo listo para que la botnet empiece a ofrecer sus "servicios".
.
Por ejemplo, difundir otros virus, hacer envíos masivos de spam o atacar sitios web en masa. "Los virus ya no son algo para llamar la atención, todo lo contrario, ahora buscan mantenerse ocultos mientras se propagan para finalmente emplear todas las máquinas infectadas para fines ilegales", resume Coronel.
.
Es decir, si la PC del lector tiene el Conficker, su equipo podría emplearse subrepticiamente para una serie de actividades ilícitas.
Mensaje mafioso
El cambio en la nueva versión del Conficker parece menos una medida desesperada que una señal enviada a la coalición. Después de todo, si el virus empezó con un algoritmo para originar 250 dominios diarios y ahora pasó a 50.000, ¿qué evitaría que dentro de un mes pasara a 5 millones? ¿Mil millones? La verdad es que no hay nada que se lo evite, dado el enorme poder de las PC modernas.
.
Ninguna mafia informática quiere a la industria en su contra, ni mucho menos convertirse en noticias de los diarios. Ahora, ¿cómo alcanzó el Conficker tal celebridad? "Ha habido ataques muy grandes de esta clase, pero éste es el mayor", asegura Coronel.
.
El virus aprovecha una vulnerabilidad de Windows que Microsoft debió corregir con un parche de urgencia en octubre pasado. Esta actualización evita que el gusano entre en la PC. Sin embargo, la infección logró abrirse paso a un número enorme de equipos. Tantos, que la amenaza conjuró en su contra a algunos de los más poderosos de la industria. Ahora, sus autores parecen decir algo como: "No importa cuán poderosos sean, no pueden apagar nuestra red pirata".
.
Casi la única buena noticia en el frente de batalla es que la cantidad de máquinas infectadas sigue cayendo, a medida que los medios difunden la existencia del gusano y las personas limpian sus equipos. Mientras hace un mes se hablaba de millones, hoy la cifra de computadoras infectadas se estima en los cientos de miles.
.
Quizá por eso la nueva versión del invasor ha mejorado también sus técnicas para ocultarse y evitar la detección. "El Downadup ha dejado de propagarse y ahora está haciéndose fuerte en aquellas máquinas que logró infectar", diagnostica Coronel.

No hay comentarios: