Existen ciclos de actividad en el mundo del código malicioso (Malware), momentos en que ciertos tipos de amenazas aumentan y disminuyen en relación con otras amenazas.
En los últimos meses, los gusanos que han tenido éxito no han sido tan frecuentes como lo fueron en otro momento.
Sin embargo, los anuncios de vulnerabilidades en los sistemas operativos de Microsoft pueden provocar a menudo ráfagas de actividad.
Esto fue lo que sucedió con la reciente serie de gusanos Win32/Zotob: en pocos días, entre el 14 y el 18 de agosto, aparecieron por lo menos seis variantes del mismo.
No todas se difundieron rápidamente.
En parte debido a que el código de explotación que transportaban sólo funcionaba en sistemas Windows 2000 expuestos y en parte también debido a que carecían de la funcionalidad de envío masivo de mensajes.
No obstante, a pesar de esto, muchos sitios fueron atacados, en particular en los sectores del gobierno y la educación, donde los ciclos de vida de los equipos suelen extenderse al máximo.
También se vieron afectadas diversas corporaciones importantes de medios de noticias en Estados Unidos, un ejemplo en el que los hacedores de noticias se convirtieron en noticia.

El hecho que estos gusanos tuvieran "éxito" sirve únicamente para resaltar que las vulnerabilidades más importantes serán explotadas con intenciones maliciosas.
También demuestra que la solución de parches y remiendos ofrecida por los antivirus tradicionales (y de hecho, por los proveedores de aplicaciones en general) no es suficiente para evitar la utilización de vulnerabilidades con fines delictuales.

¿Qué es Win32/Zotob, un poco de historia y cómo funciona?

Los gusanos Zotob (denominados Bozari por algunas compañías) son una evolución sobre la familia Win32/Mytob de gusanos, de los que se generaron cientos de variantes.
Las diferencias (lo suficientemente significativas como para garantizar la creación de un nombre como una familia independiente) están en que los primitivos gusanos Win32/Zotob utilizaban solamente una vulnerabilidad para difundirse y posteriormente se les quitó las funcionalidades de envío masivo de mensajes (o por lo menos se desactivaron) y se agregó código de explotación.
El método de difusión era bastante sencillo y no requería intervención por parte del usuario.

Un equipo infectado generaba direcciones IP aleatorias e intentaba conectarse con el puerto 445 en la dirección IP generada, utilizando código diseñado para explotar una vulnerabilidad en el servicio Plug and Play de Microsoft.
Dicha vulnerabilidad está explicada en el boletín MS05-039:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

Si el gusano lograba comprometer de manera exitosa al equipo remoto, ejecutaba otro código, lo que generaba una reconexión con el equipo de origen para recuperar una copia del gusano, desde un servidor instalado por el mismo gusano en el equipo de origen.

Una vez que el gusano ha recuperado la fuente infectada, se ejecuta en el nuevo equipo y descarga el código del gusano en el directorio del sistema, y además crea dos claves en el registro de Windows, de forma tal que el gusano se cargue en el inicio del ordenador.
Posteriormente se crea un servidor FTP en el sistema, que escuchará en el puerto 33333 y volvía a repetirse todo el proceso.
Para intentar protegerse de los programas antivirus (si el antivirus no era proactivo) los gusanos Win32/Zotob sobrescribían el archivo que contiene la lista de servidores.
De esa forma, el archivo de servidores pasa a contener direcciones IP consideradas incorrectas para la mayoría de los sitios antivirus (127.0.0.1) .
Esto significa que una vez que el gusano se encontrara activo, el equipo no podría descargar más actualizaciones para dicha aplicación antivirus.
De la misma forma, el gusano también bloqueaba otros sitios comerciales.
El acto final de los gusanos era abrir una puerta trasera en el equipo (backdoor).
Esta puerta contactaba un canal IRC (Internet Relay Chat) permitiéndole a un usuario remoto utilizar el equipo para sus propósitos, por ejemplo, abrir archivos ejecutables, reiniciar el ordenador, brindar servicios FTP, etc.

Las listas de esos equipos comprometidos a menudo se comercializan a delincuentes que las utilizan para realizar actividades fraudulentas tales como ataques Phishing, envío de correo no solicitado (Spam) e incluso para alojamiento de sitios del tipo Warez con contenido de programas fraudulentos.

A pesar del hecho que solamente ciertos tipos de equipos (sistemas Windows 2000) fueran vulnerables al ataque, este gusano tuvo su repercusión.
Esto demuestra dos aspectos: uno es que existen muchos sistemas antiguos en funcionamiento que no todo el mundo puede actualizar.
Desafortunadamente, esto muestra también que todavía existe mucha falta de conocimiento acerca de cómo proteger sistemas: un simple cortafuegos personal ejecutándose en el sistema hubiera significado la imposibilidad del gusano de infectar.
En un entorno corporativo, el cortafuegos de la empresa hubiera sido suficiente para brindar esta protección.

Cuando programas maliciosos explotan las vulnerabilidades de esta forma, el tiempo de reacción de las compañías antivirus es un factor muy importante, porque el gusano está completamente automatizado, y de esa forma puede difundirse muy rápidamente, localizando e infectando sistemas vulnerables ininterrumpidamente.
Esto puede reducir de manera significativa el tiempo que una compañía antivirus tiene para responder a la amenaza.
En el caso de Win32/Zotob, una vez que había ocurrido la infección, desactivaba de manera efectiva el antivirus al evitar futuras actualizaciones.
Por consiguiente, el tiempo ideal para evitar el ataque era antes de que este ocurriera.

Idealmente, los sistemas podrían contar con una mejor protección si tuvieran cortafuegos o programas similares, pero esto no es siempre un “antídoto” ya que muchas veces los sistemas requieren poseer ciertos puertos abiertos y si se descubre una vulnerabilidad que pueda utilizar ese puerto, un cortafuegos no lo detendrá.

A menudo, el programa antivirus es la última línea de defensa, motivo por el cual es tan crítico que sea proactivo.
Esperar una actualización puede incrementar en gran medida el riesgo de infección, una situación por lo general costosa y nunca bienvenida.

Las defensas proactivas tales como la tecnología ThreatSense ® exclusiva de ESET, permiten cerrar esa ventana de vulnerabilidad, lo que evita nuevas amenazas sin tener que saber específicamente de qué se tratan, ya que incluso sistemas vulnerables a exploits (agujeros de seguridad en el sistema) fueron protegidos con NOD32 de los gusanos Win32/Zotob.

En la siguiente tabla pueden verse los tiempos de detección de diferentes compañías, y en algunos casos, existe más de un día de diferencia entre esos tiempos que las compañías necesitaron para detectar estos gusanos.
¡Quizás no sea sorprendente que los gusanos como Win32/Zotob todavía se las arreglen para encontrar sistemas vulnerables!

Autor: Andrew J. Lee
Andrew J. Lee es CTO (Chief Technical Officer, Director Técnico) de la empresa ESET, desarrolladora de ESET NOD32 Antivirus, habiendo escrito diversos artículos para revistas como PC Magazine y SC Magazine, además de ser miembro de los grupos AVIEN (Anti-Virus Information Exchange Network, Red para el intercambio de información de antivirus) y AVIEWS (una comunidad virtual en línea derivada de AVIEN para compartir esfuerzos y reducir el impacto de la difusión de código malicioso).