Hablar de malware y de creaci?n de nuevas amenazas, generalmente es hablar de innovaci?n.
En este art?culo se hablar? de la excepci?n a la regla: Netsky, un gusano que tres a?os despu?s de su creaci?n, permanece como uno de los m?s detectados por las firmas antivirus.
Particularmente se analizar? la versi?n Q (o P seg?n la casa antivirus), que resulta ser la m?s propagada de todas las existentes.
Analizar cu?les pueden ser las causas de este hecho es complicado e incluso es posible que ninguna de las opiniones al respecto coincida. Ante todo, se plantear?n algunas preguntas que pueden resultar interesantes:
?Existen nuevas variantes de este gusano? No, no se registran nuevas apariciones desde el a?o 2004, cuando el equipo en donde el gusano hab?a sido desarrollado fue confiscado por las autoridades que detuvieron a su autor.
?Es detectado por los antivirus? S?, actualmente todas las variantes son detectadas como lo demuestra la siguiente imagen:
Imagen 1 - Detecci?n de NetSky.Q
?Utiliza m?todos de infecci?n originales? No, sus m?todos son el ?antiguo? uso del correo electr?nico y las redes P2P como medios de propagaci?n masiva.
?Puede influir los nombres de los archivos utilizados que contienen al malware para propagarse? Efectivamente, es posible que esto influya.
?Todos los usuarios y administradores actualizan su software peri?dicamente? No, y esta puede ser la punta del iceberg.
?Todos los usuarios se capacitan en temas b?sicos sobre c?mo proteger su sistema? No, generalmente al usuario estos temas lo tienen sin cuidado.
?Todos los usuarios utilizan antivirus y firewall? No, y esto puede ser la parte sumergida del iceberg.
?Por qu? se sigue propagando? Es lo que se intentar? dilucidar.Desde el momento de su aparici?n en el 2004 hasta la actualidad, el Netsky.Q siempre estuvo entre los malware de mayor propagaci?n en las estad?sticas mensuales, y en muchos casos, alcanz? la cima de los rankings.
En las estad?sticas de marzo del 2007, esta variante de la familia ?nicamente fue superada por la detecci?n heur?stica de ESET NOD32, la cual engloba la suma de todo tipo de malware desconocido.
Imagen 2 - Estad?sticas de propagaci?n del 2004 al 2007
Arribo
El gusano puede llegar al sistema del usuario por correo o bien ser descargado de redes P2P como Kazaa, eMule, eDonkey, etc.
En el primer caso, la propagaci?n se realiza mediante el env?o de correo masivo a direcciones que son obtenidas mediante t?cnicas que luego ser?n evaluadas. El usuario recibe un correo electr?nico en ingl?s con un archivo ejecutable o bien con un archivo comprimido (formato zip) conteniendo el ejecutable. El cuerpo del correo var?a, pero siempre es un mensaje que intenta enga?ar al usuario para que descargue el adjunto.
En la siguiente imagen se puede apreciar el formato t?pico de un mensaje con Netsky:
Imagen 3 - Archivo adjunto al recibir un correo
Como puede verse, se utiliza la Ingenier?a Social intentando convencer al usuario de que el correo es inofensivo para que este descargue el adjunto y lo ejecute.
En el caso de las redes P2P, el usuario descarga un archivo ejecutable, enga?ado al creer que en realidad descarga los archivos en los que est? interesado. Esta etapa de la infecci?n se analizar? con detalle, m?s adelante en este documento.
En los casos en que el sistema no se encuentre actualizado, el gusano puede utilizar una antigua vulnerabilidad del a?o 2001 [1] de Internet Explorer en versiones anteriores a la 6.0, que permite la ejecuci?n del archivo adjunto con s?lo leer el mensaje o visualizarlo en el panel de vista previa (sin acci?n del usuario).Como es evidente, esta ?ltima forma de propagaci?n podr? afectar s?lo a usuarios que hace m?s de 6 a?os no cambian o actualizan su sistema.
Una vez que el archivo comprimido ha sido descargado, el usuario deber? descomprimirlo para luego ejecutarlo.
En lo que respecta al archivo ejecutable en s?, el autor del gusano utiliz? una t?cnica muy antigua y conocida para enga?ar al usuario: la doble extensi?n. En la siguiente imagen puede apreciarse que el archivo descargado simula tener extensi?n ?.txt? pero en realidad puede verse que es un archivo ?.exe?.
Imagen 4 - Doble extensi?n de archivos
Imagen 5 - Configuraci?n de Windows para ver las extensiones
Imagen 6 - Proceso de NetSky ejecut?ndose
Imagen 7 - Modificaci?n del registro y archivo del gusano
We are the only AntiVirus, not Bagle, shut up and take your butterfly!
Message from SkyNet AV Team Lets join an all bagle!?
Imagen 8 - Mensaje de Netsky a Bagle
Imagen 9 - -Conversi?n de Archivos a ASCII (genera un ejecutable)
shared files, kazaa, mule, donkey, morpheus, lime, bear, icq, shar, upload, http, htdocs, ftp, download, my shared folder
Y se copia, como se ve a continuaci?n, con distintos nombres que puedan llamar la atenci?n al usuario:
Imagen 10 - Archivos creados por el gusano
.adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .jsp, .msg, .oft, .php, .pl, .rtf, .sht, .shtm, .tbb, .txt, .uin, .vbs, .wab, .wsh, .xml
@microsof - @antivi - @symantec - @spam - @avp - @f-secur - @bitdefender @norman - @mcafee - @kaspersky - @f-pro @norton - @fbi - abuse@ @messagel -@skynet @pandasof - @freeav @sophos ? ntivir - @viruslis - noreply@ - spam@ - reports@
Imagen 11 - Lista de posibles ?Asuntos? del mensaje
Imagen 12 - Lista de posibles ?Cuerpo? del mensaje
Imagen 13 - Comandos enviados por el motor SMTP
Imagen 14 ? Resultado de los comandos enviados y acci?n reproducida con telnet
?Utiliza m?todos de infecci?n originales? No, sus m?todos son el ?antiguo? uso del correo electr?nico y las redes P2P como medios de propagaci?n masiva.
?Puede influir los nombres de los archivos utilizados que contienen al malware para propagarse? Efectivamente, es posible que esto influya.
?Todos los usuarios y administradores actualizan su software peri?dicamente? No, y esta puede ser la punta del iceberg.
?Todos los usuarios se capacitan en temas b?sicos sobre c?mo proteger su sistema? No, generalmente al usuario estos temas lo tienen sin cuidado.
?Todos los usuarios utilizan antivirus y firewall? No, y esto puede ser la parte sumergida del iceberg.
?Por qu? se sigue propagando? Es lo que se intentar? dilucidar.Desde el momento de su aparici?n en el 2004 hasta la actualidad, el Netsky.Q siempre estuvo entre los malware de mayor propagaci?n en las estad?sticas mensuales, y en muchos casos, alcanz? la cima de los rankings.
En las estad?sticas de marzo del 2007, esta variante de la familia ?nicamente fue superada por la detecci?n heur?stica de ESET NOD32, la cual engloba la suma de todo tipo de malware desconocido.
Imagen 2 - Estad?sticas de propagaci?n del 2004 al 2007
Arribo
El gusano puede llegar al sistema del usuario por correo o bien ser descargado de redes P2P como Kazaa, eMule, eDonkey, etc.
En el primer caso, la propagaci?n se realiza mediante el env?o de correo masivo a direcciones que son obtenidas mediante t?cnicas que luego ser?n evaluadas. El usuario recibe un correo electr?nico en ingl?s con un archivo ejecutable o bien con un archivo comprimido (formato zip) conteniendo el ejecutable. El cuerpo del correo var?a, pero siempre es un mensaje que intenta enga?ar al usuario para que descargue el adjunto.
En la siguiente imagen se puede apreciar el formato t?pico de un mensaje con Netsky:
Imagen 3 - Archivo adjunto al recibir un correo
Como puede verse, se utiliza la Ingenier?a Social intentando convencer al usuario de que el correo es inofensivo para que este descargue el adjunto y lo ejecute.
En el caso de las redes P2P, el usuario descarga un archivo ejecutable, enga?ado al creer que en realidad descarga los archivos en los que est? interesado. Esta etapa de la infecci?n se analizar? con detalle, m?s adelante en este documento.
En los casos en que el sistema no se encuentre actualizado, el gusano puede utilizar una antigua vulnerabilidad del a?o 2001 [1] de Internet Explorer en versiones anteriores a la 6.0, que permite la ejecuci?n del archivo adjunto con s?lo leer el mensaje o visualizarlo en el panel de vista previa (sin acci?n del usuario).Como es evidente, esta ?ltima forma de propagaci?n podr? afectar s?lo a usuarios que hace m?s de 6 a?os no cambian o actualizan su sistema.
Una vez que el archivo comprimido ha sido descargado, el usuario deber? descomprimirlo para luego ejecutarlo.
En lo que respecta al archivo ejecutable en s?, el autor del gusano utiliz? una t?cnica muy antigua y conocida para enga?ar al usuario: la doble extensi?n. En la siguiente imagen puede apreciarse que el archivo descargado simula tener extensi?n ?.txt? pero en realidad puede verse que es un archivo ?.exe?.
Imagen 4 - Doble extensi?n de archivos
El ejecutable es el gusano propiamente dicho, un archivo de 29.568 bytes empaquetado con la aplicaci?n FSG.
Si se presta atenci?n puede verse que el supuesto ?document.txt? es en realidad un archivo del tipo ?Aplicaci?n? y no un archivo de texto como simula ser. Adem?s, extendiendo la columna de nombre del archivo puede verse la extensi?n real.
Es muy normal cometer este error debido a que la configuraci?n por defecto de Windows no muestra las extensiones de los archivos. Para hacerlo, debe cambiarse esta configuraci?n desde Herramientas ? Opciones de Carpeta ? Ver, y desmarcar la opci?n ?Ocultar las extensiones de archivos conocidos?.
Si se presta atenci?n puede verse que el supuesto ?document.txt? es en realidad un archivo del tipo ?Aplicaci?n? y no un archivo de texto como simula ser. Adem?s, extendiendo la columna de nombre del archivo puede verse la extensi?n real.
Es muy normal cometer este error debido a que la configuraci?n por defecto de Windows no muestra las extensiones de los archivos. Para hacerlo, debe cambiarse esta configuraci?n desde Herramientas ? Opciones de Carpeta ? Ver, y desmarcar la opci?n ?Ocultar las extensiones de archivos conocidos?.
Imagen 5 - Configuraci?n de Windows para ver las extensiones
Si el usuario hace doble clic sobre el archivo mencionado en la imagen n?mero 4 habr? instalado el malware en su computadora y comenzar? a formar parte de una extensa red de usuarios infectados que se encargan de propagar m?s correo basura (spam) con copias del mismo malware.
Luego de la ejecuci?n, el gusano crea un mutex [2] para evitar ejecutarse m?s de una vez en el mismo sistema y el primer s?ntoma de infecci?n no se hace esperar. El usuario comenzar? a sufrir de inmediato una ralentizaci?n notable en las comunicaciones debido al ancho de banda ocupado por el gusano al enviar spam.
Adem?s, al observar los procesos activos se ve que el gusano se encuentra en funcionamiento. Es suficiente terminar este proceso para que el gusano deje de actuar. Como puede verse, las t?cnicas utilizadas son tan sencillas como el modo de revertir las formas de ataques.
Luego de la ejecuci?n, el gusano crea un mutex [2] para evitar ejecutarse m?s de una vez en el mismo sistema y el primer s?ntoma de infecci?n no se hace esperar. El usuario comenzar? a sufrir de inmediato una ralentizaci?n notable en las comunicaciones debido al ancho de banda ocupado por el gusano al enviar spam.
Adem?s, al observar los procesos activos se ve que el gusano se encuentra en funcionamiento. Es suficiente terminar este proceso para que el gusano deje de actuar. Como puede verse, las t?cnicas utilizadas son tan sencillas como el modo de revertir las formas de ataques.
Imagen 6 - Proceso de NetSky ejecut?ndose
Para asegurar su permanencia en el sistema del usuario, el gusano crea una clave en el registro:
Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Valor: Norton Antivirus AV ? X:\WINDOWS\FVProtect.exe (donde X: es la unidad donde se encuentra instalado el sistema operativo).
Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Valor: Norton Antivirus AV ? X:\WINDOWS\FVProtect.exe (donde X: es la unidad donde se encuentra instalado el sistema operativo).
Imagen 7 - Modificaci?n del registro y archivo del gusano
As? tambi?n, elimina otras claves del registro, la mayor?a de ellas relacionadas con su ?rival?: el Gusano Bagle [3]. Resulta curioso que, en su c?digo fuente puede encontrarse el siguiente mensaje haciendo referencia a Bagle:
?Bagle do not delete SkyNet. You fucked bitch! Wanna go into a prison?We are the only AntiVirus, not Bagle, shut up and take your butterfly!
Message from SkyNet AV Team Lets join an all bagle!?
Imagen 8 - Mensaje de Netsky a Bagle
Adem?s de ?FVProtect.exe? crea otros archivos en el directorio del Windows para luego utilizarlos en su propagaci?n v?a correo electr?nico. Ellos son:
base64.tmp: versi?n codificada en formato UUEncoded del archivo ejecutable (40.520 bytes)
zip1.tmp: versi?n codificada, en formato MIME, del gusano en archivo ZIP (40.882 bytes)
zip2.tmp: versi?n codificada, en formato MIME, del gusano en archivo ZIP (40.894 bytes)
zip3.tmp: versi?n codificada, en formato MIME, del gusano en archivo ZIP (40.886 bytes)
zipped.tmp: el gusano en archivo ZIP (29.834 bytes)Estos archivos se encuentran codificados en Base64 [4] (MIME o UUEnconde) y listos para ser utilizados por cada env?o del gusano. Si se convierte este texto a ASCII se podr? apreciar que en realidad se trata de archivos ejecutables o comprimidos.
base64.tmp: versi?n codificada en formato UUEncoded del archivo ejecutable (40.520 bytes)
zip1.tmp: versi?n codificada, en formato MIME, del gusano en archivo ZIP (40.882 bytes)
zip2.tmp: versi?n codificada, en formato MIME, del gusano en archivo ZIP (40.894 bytes)
zip3.tmp: versi?n codificada, en formato MIME, del gusano en archivo ZIP (40.886 bytes)
zipped.tmp: el gusano en archivo ZIP (29.834 bytes)Estos archivos se encuentran codificados en Base64 [4] (MIME o UUEnconde) y listos para ser utilizados por cada env?o del gusano. Si se convierte este texto a ASCII se podr? apreciar que en realidad se trata de archivos ejecutables o comprimidos.
Imagen 9 - -Conversi?n de Archivos a ASCII (genera un ejecutable)
Propagaci?n
M?s all? del efecto mencionado en las comunicaciones, tambi?n puede observarse una ralentizaci?n en las tareas normales del sistema. Esto se debe a que, al ejecutarse, el gusano crea copias de s? mismo en las carpetas que pueden ser utilizadas en redes P2P. Para ello, busca las siguientes carpetas:
M?s all? del efecto mencionado en las comunicaciones, tambi?n puede observarse una ralentizaci?n en las tareas normales del sistema. Esto se debe a que, al ejecutarse, el gusano crea copias de s? mismo en las carpetas que pueden ser utilizadas en redes P2P. Para ello, busca las siguientes carpetas:
shared files, kazaa, mule, donkey, morpheus, lime, bear, icq, shar, upload, http, htdocs, ftp, download, my shared folder
Y se copia, como se ve a continuaci?n, con distintos nombres que puedan llamar la atenci?n al usuario:
Imagen 10 - Archivos creados por el gusano
Cualquier usuario que busque archivos similares en las redes P2P mencionadas podr?a descargar una copia del gusano.
Luego de la creaci?n de estos archivos, comienza su otra tarea fundamental: el env?o masivo de mensajes. El gusano rastrea todas las unidades del sistema en busca de direcciones de correo que obtiene de archivos del siguiente tipo:
Luego de la creaci?n de estos archivos, comienza su otra tarea fundamental: el env?o masivo de mensajes. El gusano rastrea todas las unidades del sistema en busca de direcciones de correo que obtiene de archivos del siguiente tipo:
.adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .jsp, .msg, .oft, .php, .pl, .rtf, .sht, .shtm, .tbb, .txt, .uin, .vbs, .wab, .wsh, .xml
El gusano se enviar? a todas las direcciones recolectadas en el equipo infectado. El remitente del mensaje es falsificado (spoofing) para enga?ar al destinatario.
Por otro lado, para evitar que lo reciban las casas antivirus, tambi?n evita enviarse a cada uno de los siguientes dominios:
Por otro lado, para evitar que lo reciban las casas antivirus, tambi?n evita enviarse a cada uno de los siguientes dominios:
@microsof - @antivi - @symantec - @spam - @avp - @f-secur - @bitdefender @norman - @mcafee - @kaspersky - @f-pro @norton - @fbi - abuse@ @messagel -@skynet @pandasof - @freeav @sophos ? ntivir - @viruslis - noreply@ - spam@ - reports@
El asunto del mensaje, es seleccionado aleatoriamente desde una lista que se encuentra en el c?digo fuente del gusano:
Imagen 11 - Lista de posibles ?Asuntos? del mensaje
De la misma forma es creado el cuerpo del mensaje y la firma del mismo:
Imagen 12 - Lista de posibles ?Cuerpo? del mensaje
Asimismo, tambi?n se crean los nombres de los archivos adjuntos al mensaje mediante la nomenclatura: [1] . [2] [Espacios] . [3]
Donde [1] puede ser alguno de los siguientes nombres:document05 - websites03 - game_xxo - your_document
[2] puede ser una de las siguientes extensiones:txt - doc
Y [3] puede ser una de las siguientes extensiones:exe - pif - scr - zip
Un ejemplo podr?a ser: document05.txt [Espacios] .exe
Si la extensi?n seleccionada es cualquiera de las tres primeras expuestas en el ?ltimo punto, el anexo ser? una copia de las ya mencionadas para el gusano. En caso de que la extensi?n sea .zip, el anexo ser? el archivo comprimido que contiene el ejecutable, y el nombre de este ?ltimo variar? entre: ?document.txt?, ?data.rtf? o ?details.txt?.
Para finalizar, y al igual que la mayor?a de los gusanos, Netsky utiliza su propio motor SMTP para enviarse a s? mismo a todas las direcciones de correo recolectadas anteriormente.
Para ello, al instalarse, copia en el directorio del sistema una librer?a din?mica (archivo DLL) con el nombre ?userconfig9x.dll? de 26.624 bytes de tama?o y empaquetado con una versi?n modificada de UPX.
Esta librer?a es la que se encarga, entre otras cosas, del env?o masivo de correo. Analizando el tr?fico de red, se puede ver que se conecta a distintos servidores y ejecuta los comandos necesarios para el env?o de correo.
Estas acciones se pueden reproducir, con los mismos resultados, mediante un sencillo comando telnet en DOS:
Donde [1] puede ser alguno de los siguientes nombres:document05 - websites03 - game_xxo - your_document
[2] puede ser una de las siguientes extensiones:txt - doc
Y [3] puede ser una de las siguientes extensiones:exe - pif - scr - zip
Un ejemplo podr?a ser: document05.txt [Espacios] .exe
Si la extensi?n seleccionada es cualquiera de las tres primeras expuestas en el ?ltimo punto, el anexo ser? una copia de las ya mencionadas para el gusano. En caso de que la extensi?n sea .zip, el anexo ser? el archivo comprimido que contiene el ejecutable, y el nombre de este ?ltimo variar? entre: ?document.txt?, ?data.rtf? o ?details.txt?.
Para finalizar, y al igual que la mayor?a de los gusanos, Netsky utiliza su propio motor SMTP para enviarse a s? mismo a todas las direcciones de correo recolectadas anteriormente.
Para ello, al instalarse, copia en el directorio del sistema una librer?a din?mica (archivo DLL) con el nombre ?userconfig9x.dll? de 26.624 bytes de tama?o y empaquetado con una versi?n modificada de UPX.
Esta librer?a es la que se encarga, entre otras cosas, del env?o masivo de correo. Analizando el tr?fico de red, se puede ver que se conecta a distintos servidores y ejecuta los comandos necesarios para el env?o de correo.
Estas acciones se pueden reproducir, con los mismos resultados, mediante un sencillo comando telnet en DOS:
Imagen 13 - Comandos enviados por el motor SMTP
Imagen 14 ? Resultado de los comandos enviados y acci?n reproducida con telnet
Estas conexiones son realizadas por el gusano en forma masiva cuando el mismo se activa, produciendo una degradaci?n notable en el sistema y en las conexiones.
Conclusiones
Como puede verse el funcionamiento de este gusano no es complejo; sin embargo, el hecho de no controlar el funcionamiento del sistema y de las conexiones puede llevar a que el mismo logre tasas de infecciones como las mencionadas al comienzo del presente.
Ampliando las respuestas planteadas al inicio del documento, se puede lograr un acercamiento al porqu? Netsky sigue siendo uno de los efectivos gusanos, luego de 4 a?os de su creaci?n, detecci?n y abandono del desarrollo original.
?Todos los usuarios y administradores actualizan su software peri?dicamente?Como se mencion? Netsky explota una vulnerabilidad corregida en el a?o 2001. Lamentablemente muchos usuarios no actualizan sus sistemas (operativo, aplicaciones, navegador, etc.) produciendo que el mismo se encuentre vulnerable, a?n cuando los agujeros de seguridad hayan sido solucionados hace a?os. Muchas veces se culpa al fabricante del software, pero tambi?n hay que ser conciente que la seguridad del sistema recae sobre el usuario.
?Todos los usuarios utilizan antivirus y firewall?La sencilla instalaci?n de cualquiera de estas aplicaciones soluciona casi por completo los problemas de este gusano. Como se mencion?, todos los antivirus detectan a Netsky y adem?s la instalaci?n de un firewall asegura que ning?n programa extra?o intente conectarse desde y hacia el sistema para realizar env?os no deseados, sin autorizaci?n del usuario.
?Todos los usuarios se capacitan en temas b?sicos para proteger su sistema?Este es otro tema que es importante remarcar. No conocer los puntos b?sicos para la protecci?n del sistema puede llevar a situaciones lamentables que, con un m?nimo de inter?s podr?an haberse evitado. Pensando en esta situaci?n, ESET desarroll? su Plataforma Educativa [5] en la que el usuario encontrar? valiosa informaci?n sobre c?mo protegerse de las amenazas actuales.
?Por qu? se sigue propagando Netsky?Por la combinaci?n de los puntos anteriores y por la t?cnica de enga?ar a los usuarios curiosos mediante Ingenier?a Social [6]. La cantidad de usuarios en Internet crece a un ritmo acelerado, se renuevan y as? siempre hay nuevos blancos ideales de este tipo de malware. Nunca faltar?n usuarios y, lamentablemente, nunca faltar?n nuevos ?Netskys? para infectarlos.
A esto se debe sumarle que las redes de intercambio de archivo son una t?cnica eficaz para lograr que usuarios incautos descarguen este tipo de c?digo malicioso bajo la creencia que descargan archivos ?tiles para sus fines. Cabe aclarar que muchas de estas aplicaciones suelen ser material pirateado, warez, cracks, etc.
En el ranking de este mes, Netsky se encuentra en la d?cima posici?n debido a un fuerte incremento de nuevas amenazas. Sin embargo, est? situaci?n ya vivi? durante los 4 a?os de vida del Netsky y dicho gusano volvi? a escalar a las principales posiciones.
Es curioso que una antigua amenaza como la familia Netsky se mantenga vigente con el correr del tiempo, cuando adem?s es detectado por todos los antivirus existentes en el mercado actual. En casos como este, se puede observar c?mo la educaci?n toma fundamental relevancia, ya que un usuario capacitado siempre tendr? menos chances de ser infectado por cualquier tipo de malware actual y futuro.
Para m?s informaci?n:
[1] MIME Header Vulnerability
[URL]http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx
[2] Mutex
http://es.wikipedia.org/wiki/Exclusi%C3%B3n_mutua_(inform%C3%A1tica)
[3] Bagle
[URL]http://www.eset-la.com/link.php?i=113
[4] Sistema de numeraci?n Base64
[URL]http://es.wikipedia.org/wiki/Base64
[5] Plataforma Educativa de ESET
http://edu.eset-la.com
[6] [URL]http://www.eset-la.com/threat-center/1515--arma-infalible:-ingenieria-social
Informaci?n provista por Eset Latinoam?rica
www.eset-la.com
Copyright ? ESET, LLC. Este art?culo se encuentra bajo licencia Creative Commons de Atribuci?n, No Comercial y Compartir Obras Derivadas Igual. (by-nc-sa).
Conclusiones
Como puede verse el funcionamiento de este gusano no es complejo; sin embargo, el hecho de no controlar el funcionamiento del sistema y de las conexiones puede llevar a que el mismo logre tasas de infecciones como las mencionadas al comienzo del presente.
Ampliando las respuestas planteadas al inicio del documento, se puede lograr un acercamiento al porqu? Netsky sigue siendo uno de los efectivos gusanos, luego de 4 a?os de su creaci?n, detecci?n y abandono del desarrollo original.
?Todos los usuarios y administradores actualizan su software peri?dicamente?Como se mencion? Netsky explota una vulnerabilidad corregida en el a?o 2001. Lamentablemente muchos usuarios no actualizan sus sistemas (operativo, aplicaciones, navegador, etc.) produciendo que el mismo se encuentre vulnerable, a?n cuando los agujeros de seguridad hayan sido solucionados hace a?os. Muchas veces se culpa al fabricante del software, pero tambi?n hay que ser conciente que la seguridad del sistema recae sobre el usuario.
?Todos los usuarios utilizan antivirus y firewall?La sencilla instalaci?n de cualquiera de estas aplicaciones soluciona casi por completo los problemas de este gusano. Como se mencion?, todos los antivirus detectan a Netsky y adem?s la instalaci?n de un firewall asegura que ning?n programa extra?o intente conectarse desde y hacia el sistema para realizar env?os no deseados, sin autorizaci?n del usuario.
?Todos los usuarios se capacitan en temas b?sicos para proteger su sistema?Este es otro tema que es importante remarcar. No conocer los puntos b?sicos para la protecci?n del sistema puede llevar a situaciones lamentables que, con un m?nimo de inter?s podr?an haberse evitado. Pensando en esta situaci?n, ESET desarroll? su Plataforma Educativa [5] en la que el usuario encontrar? valiosa informaci?n sobre c?mo protegerse de las amenazas actuales.
?Por qu? se sigue propagando Netsky?Por la combinaci?n de los puntos anteriores y por la t?cnica de enga?ar a los usuarios curiosos mediante Ingenier?a Social [6]. La cantidad de usuarios en Internet crece a un ritmo acelerado, se renuevan y as? siempre hay nuevos blancos ideales de este tipo de malware. Nunca faltar?n usuarios y, lamentablemente, nunca faltar?n nuevos ?Netskys? para infectarlos.
A esto se debe sumarle que las redes de intercambio de archivo son una t?cnica eficaz para lograr que usuarios incautos descarguen este tipo de c?digo malicioso bajo la creencia que descargan archivos ?tiles para sus fines. Cabe aclarar que muchas de estas aplicaciones suelen ser material pirateado, warez, cracks, etc.
En el ranking de este mes, Netsky se encuentra en la d?cima posici?n debido a un fuerte incremento de nuevas amenazas. Sin embargo, est? situaci?n ya vivi? durante los 4 a?os de vida del Netsky y dicho gusano volvi? a escalar a las principales posiciones.
Es curioso que una antigua amenaza como la familia Netsky se mantenga vigente con el correr del tiempo, cuando adem?s es detectado por todos los antivirus existentes en el mercado actual. En casos como este, se puede observar c?mo la educaci?n toma fundamental relevancia, ya que un usuario capacitado siempre tendr? menos chances de ser infectado por cualquier tipo de malware actual y futuro.
Para m?s informaci?n:
[1] MIME Header Vulnerability
[URL]http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx
[2] Mutex
http://es.wikipedia.org/wiki/Exclusi%C3%B3n_mutua_(inform%C3%A1tica)
[3] Bagle
[URL]http://www.eset-la.com/link.php?i=113
[4] Sistema de numeraci?n Base64
[URL]http://es.wikipedia.org/wiki/Base64
[5] Plataforma Educativa de ESET
http://edu.eset-la.com
[6] [URL]http://www.eset-la.com/threat-center/1515--arma-infalible:-ingenieria-social
Informaci?n provista por Eset Latinoam?rica
www.eset-la.com
Copyright ? ESET, LLC. Este art?culo se encuentra bajo licencia Creative Commons de Atribuci?n, No Comercial y Compartir Obras Derivadas Igual. (by-nc-sa).
Categorías