- (IX) Evolución de los virus informáticos -
Oxygen3 24h-365d, por Panda Software (
http://www.pandasoftware.es)
Madrid, 13 de agosto de 2004 - Hoy, en Oxygen3 24h-365d vamos a referirnos a
cómo los autores de virus comenzaron a aprovechar vulnerabilidades -o fallos
de seguridad- de los programas más utilizados, para conseguir difundir sus
creaciones al mayor número posible de equipos.
El aprovechamiento de vulnerabilidades de software, por parte de los códigos
maliciosos, empezó en 1998 con Back Orifice. Este troyano utilizaba puertos
de comunicaciones desprotegidos para introducirse en los sistemas y dejarlos
a merced de hackers, que podían controlarlos de forma remota. Tras él, en
1999, apareció el gusano BubbleBoy que, aprovechando un agujero de seguridad
de Internet Explorer, se activaba de forma automática simplemente con
visualizar el mensaje de correo en el que llegaba al equipo. Esto mismo
también lo hacía el gusano Kak, cuyo código se ocultaba en la autofirma de
los mensajes generados con Microsoft Outlook Express.
Casi siempre, el aprovechamiento de una vulnerabilidad de software por parte
de un virus se hace a través de un exploit, que ha sido previamente
programado por otros usuarios y, raramente, por el propio autor del código
malicioso. Técnicamente, un exploit es un bloque de código que se ejecuta si
en la máquina objeto del ataque se produce un error esperado y muy concreto,
es decir, en el caso de que la máquina presente la vulnerabilidad que el
exploit trata de utilizar.
La incorporación de exploits a virus o gusanos informáticos puede
considerarse el inicio de una "nueva era" de los códigos maliciosos. Si se
trata de un problema de seguridad que afecta a un sistema operativo, como
puede ser Windows, supone que millones de equipos de todo el mundo son
víctimas potenciales de sus ataques.
Los códigos maliciosos que incorporan exploits suelen tener una velocidad de
propagación extremadamente rápida, ya que nada se interpone en su camino.
Así, por ejemplo, los que aprovechan una vulnerabilidad -para introducirse
en los ordenadores a través de un puerto de comunicación desprotegido- son
detectados y eliminados por el software antivirus cuando ya se encuentran
dentro del equipo. Sin embargo, el antivirus no podrá evitar que vuelvan a
entrar una y otra vez, hasta que se instale la actualización que resuelve la
vulnerabilidad empleada. Klez.I, Blaster, Mydoom y Sasser son algunos
ejemplares que han utilizado, con gran éxito, dicho recurso, que les ha
permitido seguir afectando equipos de todo el mundo, mucho tiempo después de
su aparición.