martes, 23 de octubre de 2007

La epidemia del "Storm Worm", algunas cifras

El "virus" Storm se ha posicionado desde enero como uno de los más pertinaces que se recuerdan desde la "época romántica". Si bien comenzó como una pequeña variante del virus Small, y aprovechó las inundaciones de enero en Europa para picar la curiosidad de sus víctimas, ha evolucionado mucho desde entonces, manejando unas cifras sorprendentes.

Hace tiempo que no se recordaba una epidemia tan duradera. Si bien no se percibe igual que en los tiempos del Klez, Code Red, Nimda o MyDoom, los niveles de infección pueden ser parecidos. Y no se percibe igual porque ya no es sólo que el Storm Worm mute con nuevas versiones, sino que se ha convertido en un complejo sistema multi-modular que se sirve de cientos de servidores comprometidos o no, una capacidad de mutación endiablada, y una modularidad que permite que sus funcionalidades cambien continua y radicalmente. Por tanto Storm Worm no se podría clasificar como un troyano sino como un complejo sistema perfectamente orquestado, cambiante y eficaz. Muy al estilo malware 2.0.

Muchos lo llaman Storm, otros Peacomm o Nuwar. Es difícil seguirle el juego cuando alguno de sus componentes han mutado más de 30 veces en un día durante meses. Una de sus capacidades (además de la del envío de correo basura, muy visible en los buzones) es la de recopilar sistemas zombis para control remoto (a través de HTTP, una técnica que deja atrás el IRC como protocolo de control). En los medios se ha hablado de millones de máquinas infectadas, y de una potencia equivalente que sacaría los colores a los superodenadores más caros del mundo.

Nunca lo sabremos de forma exacta. Hay que tener clara la diferencia entre infecciones totales y las concurrentes, teniendo presente la volatilidad de muchos sistemas infectados. Sin duda el número de infectados "históricos" es de millones, pero el número que compone la red zombi en un momento dado quizás no llegue a los 200.000 sistemas. Sin embargo podemos elucubrar cifras según algunos datos recopilados desde distintas fuentes. Symantec habla de que en agosto, observaron una operación de envío de spam motivada por el troyano que abarcaba 4.375 direcciones IP únicas en 24 horas. La mitad enviaba basura y la otra actuaba como "soporte", alojando malware, plantillas del spam, actuando como SMTP "relayers"... más tarde, en septiembre se observaron 6.000 en el mismo periodo de tiempo, y sólo un 25% coincidían.

IronPort Systems, una compañía especializada en antispam, contabilizó a principios de octubre el número de correos basura que contenían direcciones IP que se sabían pertenecientes a la red zombi. Unos 280.000 sistemas infectados enviaron 2.700 millones de spam que "promocionaban" esas direcciones. Sin ser de los días más ajetreados para el Storm Worm, fue responsable del 4% de la basura total mundial enviada ese día.

En septiembre, Microsoft incluyó la firma de un componente de Nuwar (como lo ha bautizado) en su "Malicious Software Removal Tool". En 15 días eliminó el troyano de 274.000 máquinas. Por otro lado, Brandon Enright, miembro del grupo de operaciones de red de la universidad de California en San Diego, afirmó en una presentación que llegó a contabilizar 200.000 miembros de la red activos concurrentemente en julio. Se valió de una herramienta que él mismo programó.

Quizás no sean números muy elevados, teniendo en cuenta las afirmaciones que se han dado anteriormente en muchos medios. Sin embargo son muy significativas. Se ha convertido en todo un "éxito" para los atacantes, su persistencia lo demuestra, y si bien no disponen de millones de máquinas en un mismo momento, el número de sistemas sobre el que tengan el control (ya sean 200.000 o 100.000) es más que suficiente para el impacto y los beneficios que obtienen. Con la capacidad de los ordenadores medios de sobremesa hoy día y el ancho de banda disponible en los hogares, parece más que suficiente.

Fuente: hispasec.com

No hay comentarios: