Fortinet presenta un informe sobre la actividad de los códigos maliciosos registrada en junio
Proliferan diversas variantes del gusano Bagle que llegan a los ordenadores a través de archivos zip adjuntos y protegidos con contraseñas
Resurgen los virus de macro con la aparición de Kukudro, un troyano que se propaga en macros de Word
Fortinet ? compañía pionera y líder del mercado de Gestión Unificada de Amenazas (UTM ? Unified Threat Management ) y único proveedor de sistemas de seguridad de red multiamenaza, basados en ASIC, para la protección de red en tiempo real, ha presentado un nuevo informe sobre la actividad de los códigos maliciosos que más ha afectado a las empresas y a los consumidores en junio.
Durante el pasado mes, el top ten de la lista de códigos maliciosos que han afectado a los usuarios informáticos incluye figuras clásicas como Netsky.P, que acaparan un 10% de todas las amenazas detectadas, Grew.A, con un 7% de la actividad total, y el inocuo y ya regular adware Better Internet. Pero también han aparecido nuevas figuras en la Red: W32/BagleZip.GL@mm y W32/BagleZip.FY@mm., la primera de ellas se detectó el 22 de junio, mientras que la segunda fue el día 20 del mismo mes.
Bagles detrás de ficheros en formato ZIP
El equipo de expertos de Fortinet ha informado sobre nuevas epidemias de diferentes variantes del gusano Bagle a mediados de junio: Bagle.FY, GL y GM. Todos los meses aparecen nuevas variantes de este gusano, pero esta vez se han registrado algunas diferencias en los Bagles. Anteriormente, estos gusanos se propagaban con ayuda del gusano Mitglieder, pero este mes se propagó directamente y en solitario, abandonando el tradicional esquema de replicación en dos fases para poder bordear la detección de los programas de antivirus. Una moda que ataca por sorpresa a los sistemas de seguridad.
Guillaume Lovet, Responsable del Threat Response Team de Fortinet en EMEA, explica "los nuevos Bagles que llegaron a los buzones de correo electrónico de los usuarios lo hicieron bajo la forma de un archivo en formato zip y protegidos con contraseña generados por las diferentes variantes del gusano Bagle". De esta manera, éstos códigos maliciosos prevén la detección de los programas de antivirus, ya que dichos programas no pueden analizar su contenido para comprobar que están libres de malware antes de ser descomprimidos, de manera que cuando alguno de estos ficheros llega al ordenador, el antivirus no es capaz de avisar al usuario de que el fichero está infectado.
Los correos maliciosos incluyen, además del archivo zip que esconde al gusano, la contraseña escrita en el cuerpo del mensaje para poder abrir el archivo."Dando la contraseña para el archivo zip encriptado, la probabilidad de que el usuario informático abra el archivo zip protegido es mayor que si se presenta un fichero con formato zip normal. Por otra parte, la tendencia continuada de este tipo de envíos masivos nos hace prever que en los próximos días se origine una nueva variante", afirma Bryan Lu, miembro del equipo de investigación de virus de Fortinet.
Eventualmente, el archivo en formato zip no sólo contiene el malware en sí mismo, sino también archivos dll formados por basura aleatoria diferentes por cada replicación del malware. En la práctica, todo esto hace posible implementar algún polimorfismo eficaz casi sin esfuerzo: sólo se necesita rellenar la basura dll con bytes aleatorios sobre un gusano al azar por encima de un gusano estático, de manera que un archivo dll generado aleatoriamente se puede realizar sin dificultad a través de librerías zip. Por todo ello se puede pensar que esta actividad es como un polimorfismo parásito, al utilizar el virus sus recursos "host" para conseguir replicaciones polimórficas, en vez de llevar un mecanismo de encriptación polimórfica de su propiedad. Al incluir la clave para descriptar el archivo bajo la forma de imágenes en vez de sepultarlo en el malware en sí mismo, los autores pensaron que iba a coger por sorpresa a la industria de programas antivirus. Pero esto no ocurrió, porque algunos elementos de la encriptación de archivos zip permite a los programas de análisis visualizar los elementos sin romper la encriptación de por sí.
Un nombre estúpido detrás de un troyano peligroso: Kukudro
Durante el pasado mes de junio, el equipo de investigación de Fortinet registró la aparición de WM/Kukudro, ¿esto significará el resurgimiento de los virus de macro ?virus que utilizan una secuencia de instrucciones u operaciones que definen para que un programa las realice de forma automática y secuencial? De hecho, Kukudro se incrusta en archivos MS Word como un macro, lo que hace que se convierta en un particular peligro.
La característica más importante de este virus de macro es que se comporta de manera inusual: actúa como un dropper - fichero ejecutable que contiene varios tipos de virus en su interior, y que las configuraciones de seguridad relacionadas con las macros no son útiles contra Kukudro, incluso cuando el nivel de seguridad de Microsoft Word está en lo más alto, el virus aún puede ejecutarse para abrir documentos infectados.
Cuando surgieron los virus de macro hace tiempo, la motivación de los autores de los mismos no eran las mismas que los de los creadores de virus actuales, que piensan casi exclusivamente en conseguir beneficios económicos mediante la explotación industrial de los botnet. Y aunque hoy en día los usuarios informáticos tienen mayor información sobre los códigos maliciosos que inundan la red y la mayoría de ellos nunca habían oído hablar de los virus de macro en su vida. Por ello, su propagación es más sencilla ya que solo requieren que se abra un determinado documento de Microsoft Office que suele tener implicaciones sensacionalistas (el desnudo de una estrella de la televisión o de un jugador de tenis) para abrirlo. Una vez que el usuario abre el documento, se ejecuta un macro que se sirve de una vulnerabilidad en Word para instalar y ejecutar un troyano.
Sobre Fortinet (www.fortinet.com)
Fortinet es el líder del mercado de dispositivos de seguridad para la Gestión Unificada de Amenazas. Los sistemas de seguridad multiamenaza basados en ASIC ?FortiGate- de la compañía, que obtuvieron el premio al Producto de Seguridad del Año 2004 por la revista Network Computing y el de Producto Firewall del Año 2003 de la Industria Networking, constituyen la nueva generación de sistemas de protección de red en tiempo real. Detectan y eliminan los contenidos susceptibles de amenazas más peligrosos del correo electrónico y del tráfico de web, tales como virus, gusanos, intrusiones, contenidos web inapropiados, etc. en tiempo real, sin que se vea degradado el rendimiento de la red.
Las soluciones de Fortinet son los únicos productos de seguridad que tienen siete certificaciones ICSA (firewall, antivirus, IPSec, SSL, IDS, detección y eliminación de antivirus de cliente) y proporcionan un completa gama de servicios a nivel de red y aplicación en plataformas integradas que se gestionan con facilidad.
Nombrada la compañía privada top 10 Light Reading y la número 4 de la lista Silicon Valley/San Jose Business Journal?s "Fast 50", Fortinet es una compañía privada y tiene su oficina central en Sunnyvale, California.