Una vez que un virus se difunde, intenta quedarse cerca. De hecho, existen algunos virus que han desaparecido hace años, que en ocasiones son detectados y aún aparecen en Wildlist . Este es el caso de algunos virus de inicio o macrovirus.
Aunque esto no siempre es así, entonces, la pregunta es: ¿Por qué algunos virus mueren rápidamente o incluso mueren antes de nacer?

En el campo de la genética es de mucha utilidad estudiar familias específicas o líneas de sangre: lo mismo se da en el caso de los virus.
Para tratar de encontrar algunas respuestas, examinemos una familia de virus en particular, la de los gusanos Win32/Netsky.

Para comenzar y para clarificar, debería explicar algunos términos.
Un virus de ordenador, es un programa que puede infectar otros programas, modificándolos de tal manera como para incluir una copia de sí mismos (posiblemente más desarrollado).
Posteriormente, los virus se ejecutan junto con el programa que los aloja.
Un gusano es un programa que no requiere de otro archivo para infectar, ya que se autorreplica – podríamos decir que se contiene a sí mismo- e infecta al ordenador que lo alberga, más que a otros archivos.
Un gusano utiliza diferentes métodos para autoexpandirse, por ejemplo, explota todo tipo de vulnerabilidad, o requiere la intervención del usuario para que este deliberadamente ejecute el programa (el caso más común son los gusanos transmitidos a través del correo electrónico).

Un debate que se da generalmente dentro de la comunidad es sobre la diferenciación, o al menos la clasificación exacta de determinados objetos maliciosos (Malware) dentro de cada definición, pero por lo general los gusanos pueden ser considerados como un subconjunto de los virus.
El término Malware es simplemente una contracción de la frase Malicious Software (podría traducirse como programas o códigos maliciosos), frase que se utiliza para denominar todo tipo de programas que resulten amenazadores, como por ejemplo virus, gusanos, caballos de Troya, programas espías, etc.

Una “familia” de virus es un conjunto de virus que posee un alto grado de similitud entre sí, y que usualmente han sido compilados a partir del mismo código fuente, con algunas modificaciones.
Estas modificaciones pueden ser simples, tales como el reempaque de archivos con un compilador o empaquetador, o más complejos, como el agregado de nuevas rutinas de programa.
Algunas veces, aún cuando un nuevo virus es visiblemente similar a uno anterior, es lo suficientemente distinto como para ser clasificado con un nuevo nombre.
Un ejemplo de esto es la familia de gusanos Win32/Mytob, que está relacionada con la familia del virus Win32/MyDoom y que posiblemente fueron desarrollados por diferentes autores, utilizando el mismo código base.
Los nombres de las familias se generan utilizando consecutivamente las letras: Win32/Mytob A, Win32/Mytob B... Win32/Mytob Z, win32/Mytob AA, etc.

La familia de virus win32/Netsky se ubica dentro de la categoría de gusanos, ya que ellos son autónomos, no infectan otros archivos y también son muy interesantes como familia, a causa de la enorme variación en su ciclo de vida.

Probablemente el más frecuente de todos estos gusanos sea Win32/Netsky Q, que ha permanecido dentro de los primeros diez puestos de amenazas de VIRUS RADAR® por más de un año.
Por supuesto, como su nombre lo indica, el virus Win32/Nestky Q es la décimoséptima variación dentro de la famlia Win32/Netsky (de acuerdo a la denominación utilizada por ESET): esto significa que hubo por lo menos otras 16 variantes anteriores a esta.
Efectivamente no sólo esto es verdad, sino que se desarrollaron otras posteriormente.

Pero ¿qué hace que una variante en particular sea tan exitosa y cuál es el destino de las demás?

En el siguiente gráfico se puede observar la cantidad de veces que se detectó a cada uno de los miembros de la familia Win32/Netsky desde junio 2004 a junio 2005.

Una característica llamativa, además de la enorme predominancia de Win32/Netsky.Q es la existencia de grandes diferencias en las cantidades detectadas.
Llama la atención lo ocurrido con el primer miembro de familia, Win32/Netsky A ya que no fue detectado ni una vez.
Otra rareza es el hecho de las grandes variaciones que se producen: ¿Por qué Win32/Netsky.P alcanzó menos del 0,02% de diseminación de su antecesor?
¿Qué ocurrió con Win32/Netsky.H?

Las mayores diferencias entre ellos parecen ser en primer término la “Ingeniería social”, esto es las técnicas utilizadas para hacer que el receptor del mensaje abra el adjunto.
La segunda diferencia y la que resultaría la más exitosa en el caso de Win32/Netsky.Q es la explotación de una vulnerabilidad conocida.

La estrategia que utiliza Win32/Netsky.Q es la que permite que el archivo adjunto se ejecute en el ordenador sin ningún tipo de intervención del usuario.
Esta vulnerabilidad, que fue detectada en 2001, resulta muy interesante; aún cuando los parches para los sistemas operativos estén disponibles, muchas personas no los actualizan, quedando vulnerables, mientras los gusanos toman ventaja de esto.

Otra variante, Win32/Netsky.V, también aprovecha una vulnerabilidad para diseminarse, envía en el correo un enlace a una página, en lugar de un adjunto, lo que permite descargar el virus desde otro ordenador infectado, y luego es ejecutado.
Es notorio que esta variación no aparece en VIRUS RADAR® (ni en el gráfico superior) ya que VIRUS RADAR® sólo registra los virus que se transmiten a través del correo electrónico (aunque, por supuesto, NOD32 lo detecta) y este no lo hace.
Esta es otra de las fisuras que tiene un sistema como VIRUS RADAR®: No todos los gusanos utilizan directamente el correo electrónico para diseminarse.

En términos de factores limitantes, uno de los más relevantes es que muchas de las primeras variantes han tenido una fecha de “aislamiento”, después de la cual no se diseminarían más.
Esta particularidad habría sido desarrollada para probar cuán exitosos podrían ser los gusanos.
Otros factores restrictivos incluyen la similitud con gusanos anteriores: si el gusano no es lo sufientemente diferente, serán más los antivirus que los detectarán.
También hay a menudo alguna fallas en la programación del gusano, es decir que simplemente no se extiende, o al menos no como se esperaba.
Generalmente se observan en grandes cantidades y apenas son diseminados, pero desaparecen de la vista, por lo que resultan efectivamente ineficaces.

Muchas de las primeras variantes de Win32/Netsky han tenido un supuesto “noble” propósito: el de deshabilitar algunos de los virus Win32/Bagle.
Esto fue desarrollado en el medio de una guerra entre dos autores de virus rivales, cada uno de ellos tratando de superar al otro con sus creaciones, lo que implicaba un gran número de diferentes variantes disparadas rápidamente, muchas de las cuales no tuvieron éxito.
Win32/Netsky.L rompió esta tendencia no teniendo dentro de él fecha de aislamiento ni ninguna referencia a los autores del virus Win32/Bagle.
Se cree que Win32/Netsky.L y muchas de las variantes subsiguientes fueron desarrolladas por distintos autores, luego de que se lanzara el código fuente del gusano.

Las familias de gusanos pueden brindarnos información valiosa sobre la propagación de los virus y cómo pueden atravesar sistemas como VIRUS RADAR®, aunque una de las lecciones más claras es que los gusanos como Win32/Netsky.Q pueden enseñarnos en el caso de las vulnerabilidades de los sistemas, y así como a los antiguos virus, les toma realmente mucho tiempo desaparecer.

El parche para solucionar la vulnerabilidad utilizado por Netsky.Q se puede encontrar en http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx

El parche para solucionar la vulnerabilidad utilizado por Netsky.X se puede encontrar en http://www.microsoft.com/technet/security/bulletin/ms03-040.mspx

Autor: Andrew J. Lee
Andrew J. Lee es CTO (Chief Technical Officer, Director Técnico) de la empresa ESET, desarrolladora de ESET NOD32 Antivirus, habiendo escrito diversos artículos para revistas como PC Magazine y SC Magazine, además de ser miembro de los grupos AVIEN (Anti-Virus Information Exchange Network, Red para el intercambio de información de antivirus) y AVIEWS (una comunidad virtual en línea derivada de AVIEN para compartir esfuerzos y reducir el impacto de la difusión de código malicioso).