VIRUS ILOVEYOU

El pasado 4 de mayo surgió en Internet un virus del tipo "gusano" que ha infectado miles de sistemas en todo el mundo. El virus apareció en un principio en forma de mensaje de correo con el asunto "ILOVEYOU" y un archivo adjunto con el nombre "LOVE-LETTER-FOR-YOU.TXT.vbs", que al ser abierto, infectaba el ordenador y se autoenviaba a las direcciones de correo que el usuario tuviera en su agenda de direcciones.

El virus afecta a ordenadores con Windows que tengan activado el Windows Scripting Host (WSH) y actúa alterando los archivos del PC con extensiones .vbs, .vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, mp3 y mp2; además, el virus se autoenvía a todas las direcciones que aparecen en la agenda de Microsoft Outlook con el fin de propagarse por la red.

Cinco días después se reconocen al menos 18 mutaciones del virus. Los asuntos de los mensajes infectados por estas mutaciones pueden ser cualquiera de los siguientes, por lo tanto, lo mejor es borrar inmediatamente cualquier mensaje que recibamos con estos asuntos:

ILOVEYOU
Susitikim shi vakara kavos puodukui...
fwd: Joke
Mothers Day Order Confirmation
Dangerous Virus Warning
Virus ALERT!!!
Important! Read carefully!!
How to protect yourself from the IL0VEY0U bug!
I Cant Believe This!!!
Thank You For Flying With Arab Airlines
Variant Test
Yeah, Yeah another time to DEATH...
LOOK!
Bewerbung KreolinaP

Para evitar el ataque de éste y otros virus que aparezcan en el futuro conviene tratar con precaución los mensajes que contengan archivos adjuntos ya que éstos pueden esconder programas y virus, que comenzarán a actuar al abrirse el archivo adjunto. Una buena recomendación para evitar riesgos sería no abrir ningún archivo adjunto de un mensaje de correo no solicitado, aunque provenga de una fuente confiable. En caso de duda, cuando el remitente es confiable se le puede pedir que
nos confirme el envío y nos proporcione información sobre el contenido de los anexos.

Otras recomendaciones para evitar riesgos:

Desactivar la apertura automática de archivos adjuntos en el navegador
Actualizar el software antivirus del PC
Desactivar el Windows Scripting Host
Si se usa Internet Explorer, desactivar el Active Scripting
Si se usa IRC, desactivar la recepción automática de archivos vía D

Klez

El virus Klez, que surgió a principios de 2002, todavía está en todas las redes y el riesgo que presenta es cada vez mayor debido a las nuevas variaciones que siguen apareciendo (como Klez.e, Klez.g, Klez.h, Klez.i, Klez.k, etc.). Las nuevas versiones del virus incluyen mecanismos de distribución cada vez más ingeniosos, los cuales le permiten esparcirse aun más fácilmente. El virus KLEZ (cuyo nombre de código es W32.Klez.Worm@mm) es un gusano que se disemina a través del correo electrónico. También posee otras 4 formas de difundirse:

La Web
Carpetas compartidas
Agujeros de seguridad de Microsoft IIS
Transferencia de archivos

Los usuarios que corren mayor riesgo son aquellos que utilizan Microsoft Outlook en Windows 95, 98, Millenium, NT4, 2000 y XP, como así también los usuarios de Microsoft Internet Explorer.
Qué hace el virus

El gusano Klez recupera la lista de direcciones que encontró en la libreta de direcciones de Microsoft Outlook o Eudora, como la de clientes de mensajería instantánea (ICQ).

A continuación, el virus Klez envía un correo electrónico a todos los destinatarios, mediante el uso de su propio servidor SMTP.

Debido a esto, el virus Klez puede generar correos electrónicos sin texto y con un asunto elegido de manera aleatoria de una lista de aproximadamente cien opciones preconfiguradas. Adjunta al correo electrónico un archivo ejecutable que contiene una variante del virus. Los virus poseen una extensión .eml para explotar una falla de seguridad en Microsoft Internet Explorer 5.

El virus Klez se distingue por su capacidad para enviar correos electrónicos que parecen provenir de una persona cuya dirección se encontró en el equipo de la víctima (que aparece en el campo denominado De en el correo electrónico enviado).

Las versiones más recientes del virus incluso poseen herramientas para volver obsoletos a los programas antivirus más comunes.

Lo que es peor, sus propios creadores programaron una medida correctiva falsa para el virus enviada a las víctimas en un correo electrónico titulado Worm Klez.E immunity. El correo electrónico también envía mensajes de error falsos que muestran que el mensaje no se pudo enviar. Estos mensajes contienen otra copia del virus como archivo adjunto.

Además, en Microsoft Windows el virus Klez se puede diseminar por carpetas de red compartidas, infectando así archivos ejecutables que allí se encuentran.

Navegar por sitios Web en servidores infectados con el virus Klez puede causar una infección cuando un usuario visita páginas con el navegador Microsoft Internet Explorer 5, el cual es vulnerable.

El virus Nimda también es capaz de tomar el control del servidor Web de Microsoft IIS, al explotar ciertos agujeros de seguridad.

Finalmente, como sus primos, el virus infecta archivos ejecutables encontrados en el equipo infectado. Esto significa que también puede difundirse por transferencias de archivos.

Se calcula que el virus Klez puede eliminar archivos elegidos de manera aleatoria todos los días 6 de los meses impares. Como si esto fuera poco, los 6 de enero y 6 de julio ¡el virus borrará todos los archivos del disco duro!
Síntomas de infección

El virus Klez utiliza todos los recursos que puede tomar del equipo infectado. Si su equipo reacciona lentamente o de manera extraña, lo primero que debe hacer es analizar sus discos duros con su software antivirus, teniendo en cuenta que el virus pudo haber alterado el programa antivirus para no ser detectado.
Cómo eliminar el virus

Para eliminar el virus Klez, el mejor método es, en primer lugar, desconectar el equipo infectado de la red y después utilizar un software antivirus actualizado o la herramienta de desinfección de Symantec (preferentemente, reiniciando el equipo en modo a prueba de errores):
Descargue la herramienta de desinfección

Además, el virus puede dispersarse al utilizar un agujero de seguridad de Microsoft Internet Explorer. Esto significa que se puede recibir un virus al visitar un sitio infectado. Para solucionar este problema, se debe descargar el parche para Microsoft Internet Explorer 5.01 y 5.5. Verifique la versión de su navegador y descargue el parche de ser necesario:


Debido a que el virus falsifica la dirección de correo electrónico del destinatario del mensaje (en el campo denominado De), se recomienda no responder este correo electrónico. En su lugar, verifique el campo denominado Ruta de Retorno del mensaje y responda a la dirección que allí aparece.

Code Red e Code Red II

Una mutación del gusano "Code Red" especialmente peligrosa cuyo único parecido con la versión original es el mecanismo de propagación. Una de las características de esta nueva mutación es el abrir diversas puertas traseras en la máquina infectada.

Este nuevo gusano fue detectado por primera vez durante la tarde del pasado 4 de agosto.

Vulnerabilidad explotada

Esta variante del gusano utiliza el mismo mecanismo de la versión original de "Code Red" para infectar los servidores vulnerables. Es decir, el gusano busca servidores con Internet Information Server a los que no se ha instalado la actualización necesaria para solucionar el desbordamiento de memoria intermedia existente en IDQ.DLL o bien no se han eliminado los mapeos de los scripts I. Para más información sobre esta vulnerabilidad, podéis consultar los boletines que en su día emitió Hispasec:.

Excepto en el mecanismo de infección utilizando este desbordamiento de memoria intermedia para ejecutar el código del gusano en el servidor vulnerable, el resto del gusano es totalmente nuevo y muy diferente de las diversas variedades de "Code Red" conocidas hasta la fecha

Nota:
Según el estudio de eEye, el código de este gusano sólo funciona correctamente en los sistemas Windows 2000 que tengan una versión vulnerable de . Los servidores basados en Windows NT simplemente quedarán colgados en el momento de ejecutar el código del gusano.

Puerta trasera

La característica más peligrosa de este nuevo gusano es hecho que crea una puerta trasera (backdoor) en los servidores infectados, dejándolos por tanto a la merced de cualquier atacante.

El gusano copia el archivo %windir%CMD.EXE en los siguientes directorios:

c:inetpubscriptsroot.exe
c:progra~1common~1systemMSADCroot.exe
d:inetpubscriptsroot.exe
d:progra~1common~1systemMSADCroot.exe

La instalación de estas copias de CMD.EXE permite a cualquier atacante ejecutar órdenes arbitrarias del sistema en la máquina comprometida.

Además, el gusano crea una copia modificada del EXPLORER.EXE, tal como describiremos más adelante. Si se utiliza esta versión modificada, IIS hará que los directorios raíz de las unidades C: y D: del servidor sean accesibles para cualquier atacante remoto, incluso si el programa ROOT.EXE (CMD.EXE) ha sido borrado de los directorios SCRIPTS y MSADC.

Versión modificada de EXPLORER.EXE

El gusano transporta su propia versión del archivo EXPLORER.EXE y se encarga de copiarla en los directorios C: y D:. El hecho que sea copiado en estos directorios hace que Windows los encuentre y ejecute con preferencia a la versión real de EXPLORER.EXE, debido a la forma en que Windows busca los archivos ejecutables.

Si no se ha instalado la actualización que elimina la vulnerabilidad de las vías de acceso relativas, la próxima vez que un usuario abra una sesión en el sistema se ejecutará esta versión modificada de EXPLORER.EXE (para más detalles sobre esta vulnerabilidad y la actualización publicada por Microsoft, se pueden consultar.

Cuando se ejecuta esta versión modificada de EXPLORER.EXE, el gusano se encarga de ejecutar la versión autentica del programa de forma que el usuario no advierte ningún problema. A continuación, inicia a modificar el contenido del registro del sistema.

En primer lugar, añade a HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinLogin
el valor SFCDisable=0xFFFFFF9D. Con esto deshabilita completamente el mecanismo de protección de archivos de Windows (Windows File Protection, WFP). WFP es quien se encarga de prevenir la sobreescritura de determinados archivos del sistema. Para más detalles acerca de WFP, consultar .

El segundo paso es la modificación de una serie de directorios virtuales dentro del registro:

- Asigna a
SYSTEMCurrentControlSetServicesW3SVCParametersVirtual Rootscripts
el valor ",,217"

- Asigna a
SYSTEMCurrentControlSetServicesW3SVCParametersVirtual Rootsmsadc
el valor ",,217"

El valor "217" indica que tanto el directorio SCRIPTS como el directorio MSADC (en donde, recordemos, se ha copia el archivo ROOT.EXE, una copia de CMD.EXE) tienen permiso de lectura, escritura y ejecución.

Por último, la versión modificada de EXPLORER.EXE crea dos directorios virtuales nuevos:

- Crea
SYSTEMCurrentControlSetServicesW3SVCParametersVirtual Rootsc
con el valor "c:,,217"

- Crea
SYSTEMCurrentControlSetServicesW3SVCParametersVirtual Rootsd
con el valor "d:,,217"

Estos dos directorios virtuales, que habitualmente no existen, permiten acceder remotamente a los directorios raíz de las unidades C: y D: mediante el servidor web, con permisos de lectura, escritura y desarrollo.

Es importante indicar que hay suficiente con ejecutar una única vez la versión modificada del EXPLORER.EXE para que se realicen estos cambios en el sistema.
Desde el momento en que se hagan estas modificaciones y se reinicie, las puertas traseras estarán activas. Es más, éstas continuaran activas con independencia de si EXPLORER.EXE está funcionando o no.

Incluso, el hecho de detener el proceso de la versión modificada de EXPLORER.EXE no elimina las puertas traseras. Detener EXPLORER.EXE y borrar las copias de ROOT.EXE, así como borrar las entradas del registro *tampoco* eliminan las puertas traseras. En el momento en que vuelva a ejecutarse la versión modificada de EXPLORER.EXE (por ejemplo, cuando un nuevo usuario accede al sistema) se volverán a realizar los cambios en el registro y por tanto los directorios estarán de nuevo accesibles desde el exterior desde el mismo momento en que se reinicie el IIS (Para más detalles acerca de los directorios virtuales de se puede consultar .

Como consideración final, debe indicarse que el borrar las entradas del registro, borrar las copias de ROOT.EXE y borrar la versión modificada de EXPLORER.EXE puede no ser suficiente para limpiar un sistema infectado. Desde el momento en que existe una puerta trasera en el sistema, hay la posibilidad más que real de que un atacante instale otras puertas traseras que no estén relacionadas de ninguna forma con este gusano.

El proceso de la versión modificada de EXPLORER queda suspendido la mayor parte del tiempo, aunque cada diez minutos comprueba los valores de las variables modificadas en el registro. De esta forma, si un administrador de la máquina detecta los cambios y los borra, el gusano se encargará de restaurar estos valores a los pocos minutos.

Propagación

El método utilizado por el gusano varia en función de si el idioma chino está instalado en la máquina víctima. Si lo está, el gusano lanzará 600 threads que intentarán propagar el gusano a otros sistemas durante 48 horas.

Si el idioma chino no está instalado, el gusano lanza 300 threads y el periodo de propagación es de 24 horas.

Una vez transcurrido el periodo de propagación, el gusano fuerza una detención del sistema y su reinicio. De esta forma, el gusano desaparece de la memoria del ordenador, aunque las puertas traseras continuan activas.

Esta versión del gusano envía un paquete ligeramente diferente al atacar una máquina:

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b0
0%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 200 152 "-" "-"


Selección de víctimas

Los threads utilizados para la propagación (300 ó 600) funcionan de forma simultánea. Cada uno de ellos selecciona una dirección IP de forma aleatoria y a continuación aplica una de las siguientes máscaras de red con un índice de probabilidades. Esto hace que la propagación
del gusano se realice preferentemente en las máquinas con direcciones IP cercanas a las del ordenador infectado:

Máscara Índice Resultado
probabilidad
-------- ------------- -------------------
0.0.0.0 12,5% Dirección aleatoria

255.0.0.0 50,0% Dentro de la misma
clase A

255.255.0.0 37,5% Dentro de la misma
clase B

Las direcciones IP de las clases 127.x.x.x y 224.x.x.x son excluidas, así como las direcciones 0 y 255 de cada red. Tampoco intenta infectarse él mismo.

Proceso de infección

Antes de realizar una conexión a una posible nueva víctima, el gusano realiza una comprobación de la fecha del sistema: si el año es inferior al 2002 y el mes anterior a octubre. Sino se cumple alguna de estas dos condiciones, el gusano finaliza su ciclo de propagación y reinicia el servidor. Esto significa que el gusano dejará de propagarse el próximo 1 de octubre del presente año.

En vistas a mejorar el rendimiento, el gusano utiliza un socket sin bloqueo para conectar con la posible víctima. Como consecuencia, si un thread queda e la espera de la respuesta debido a una conexión lenta, esto no afectará al resto de threads.

Una vez finalizada la conexión TCP/IP con la posible víctima, el gusano envía todo el código a la vez y queda a la espera del acuse de recibo. A continuación, prueba de infectar a otra posible víctima.

Al llegar a una víctima, lo primero que comprueba el gusano es si la máquina ya ha sido infectada. En caso afirmativo, queda deshabilitado. La forma de comprobar la existencia consiste en determinar si se ha establecido el átomo CodeRedII mediante GlobalFindAtomA. Si encuentra la existencia de este átomo, queda en estado de suspensión. En caso de no existir, el gusano continua con su proceso normal de ejecución.

My Doom

02-02-2004
500.000 infectados en España en tres días
MyDoom, el virus más rápido de la historia

MyDoom ya se ha convertido en el virus de más rápida propagación de la historia, según varias empresas de seguridad informática, mientras una nueva versión del temible virus, MyDoom.B, programada para realizar un ataque de denegación de servicio (DoS) contra las web de Microsoft y SCO, circula ya por la Red.



MyDoom, que infecta ordenadores con sistema operativo Windows, está diseñada para atacar la página web del gigante informático, desde la que se hacen descargas para poner al día los programas y bajar parches de seguridad (Microsoft Windows Update).

"Estamos tratando de comprender lo que hace el virus, pero creemos que trata de impedir a los usuarios que acudan a los sitios de seguridad", señaló Sharon Ruckman, de la firma Symantec.

MyDoom.B, que circula en un correo electrónico similar al de su predecesor, también está programado para llevar a cabo un ataque contra la web de la compañía de software SCO entre el 1 y el 12 de febrero. Una amenaza que ya ha cumplido.

El virus informático Mydoom ya ha infectado en España a 500.000 ordenadores.

Recompensa por información

SCO, propietaria de una de las versiones del sistema operativo UNIX, ha ofrecido una recompensa de 250.000 dólares por información que lleve a la detención del responsable del gusano, que comenzó a extenderse el 26 de enero a una velocidad vertiginosa.

La medida de SCO recuerda a la iniciativa que tomó Microsoft a principios de noviembre, cuando anunció un fondo de cinco millones de dólares para acabar con los autores de los virus que entonces estaban azotando la Red como el MSBlast y el SoBig.

Claves de Mydoom.A

¿Cómo actúa?
Mydoom.A llega en un mensaje de correo electrónico que tiene un fichero adjunto. Al igual que los últimos protagonistas de grandes epidemias, utiliza las técnicas de ingeniería social para engañar al usuario y hacer que abra dicho mensaje. Al hacerlo, no sólo infecta al equipo que lo ha recibido, sino que se reenvía por sí solo a todos los contactos de la libreta de direcciones.

Además, abre el puerto TCP 3127 del ordenador afectado, permitiendo el control del equipo desde el exterior, lo que quiere decir que cualquier hacker malicioso podría introducirse en él y robar, manipular o destruir todo tipo de información contenida en el equipo.

Mydoom.A busca direcciones de correo electrónico en los ficheros del equipo que tengan las siguientes extensiones: .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt. Se envía por correo electrónico utilizando su propio motor SMTP.

¿Qué sucede en los equipos infectados?
Una vez ha infectado un equipo, si el usuario utiliza la red de intercambio de ficheros "peer to peer" KaZaa, copia un fichero en el directorio compartido que permite su distribución a través de este sistema. Dicho fichero puede tener alguno de los siguientes nombres: winamp5, icq2004-final, activation_crack, strip-girl-2.0bdcom_patches, rootkitXP, office_crack, nuke2004 y la extensión.PIF, .SCR o .BAT.

Se transmite a gran velocidad

Ambas versiones del MyDoom se transmiten por correo electrónico, en ficheros adjuntos, y también por las redes P2P (intercambio de archivos).

Según la compañía de seguridad MX Logic, MyDoom se está propagando un 59 por ciento más rápido que el temible SoBig.F, y está presente en uno de cada cinco correos electrónicos que circulan por la Red.

Este gusano contiene un programa que una vez instalado podría permitir el acceso a los ordenadores infectados, afecta a aquellos aparatos con el sistema operativo Windows y es capaz de enviar 100 mensajes infectados en 30 segundos.

Gusanos, troyanos y el resto plagas, nada se le resiste al Antivirus de Telefónica. ¿Quieres comprobarlo?

Gran incidencia en España

El Centro de Alerta Temprana sobre Virus y Seguridad Informática (CAT) ha informado de que el gusano MyDoom "continúa expandiéndose masivamente por la Red" y ha contabilizado 500.000 infecciones en España desde su aparición.

De los casi 2,8 millones de correos electrónicos analizados por la red de sensores del CAT durante las primeras 24 horas después de la apación de MyDoom, el 13,3 por ciento (372.580) estaban infectados por el mismo, que aglutinó el 93,4 por ciento de los email infectados en territorio español.

Leap-A/Oompa-A

En estos tiempos en que el malware nos asalta a través de todo tipo de formatos y plataformas, casi podemos mirar con nostalgia aquellos virus que infectaban un ordenador desde un disquete o una macro de Word. Claro que a quien perdiera sus archivos por culpa de alguno de estos virus o viera como su ordenador se convertía en un zombi, no le hará tanta gracia recordarlo…

Hoy en día, los virus informáticos, que ahora se transmiten habitualmente por correo electrónico, desde páginas web infectadas o al descargar archivos, siguen siendo un fastidio bastante extendido. Según la consultora Consumer Reports, sólo en los EEUU los virus informáticos han provocado este año a los usuarios unas pérdidas estimadas en 8.500 millones de dólares.

En How Stuff Works encontramos una recopilación con los diez virus más letales de la historia. Muchos de ellos son tremendamente familiares:

1. Melissa: creado en 1999 por David L. Smith, fue uno de los primeros virus en atraer la atención pública. Basado en una macro de Microsoft Word, Melissa se enviaba como documento adjunto en un correo, y al abrirlo se reenviaba a 50 direcciones Su creador fue juzgado y condenado a 20 meses de cárcel y una multa de 5-000 dólares.

2. I LOVE YOU: un gusano que se extendió desde Filipinas en el año 2000 Inicialmente se distribuyó por e-mail, pero después también circuló por chats y por Internet. Se calcula que generó unas pérdidas estimadas en 10.000 millones de dólares, aunque su creador nunca fue sancionado.

3. Klez: creado a finales de 2001, este virus fue un precursor de una nueva generación de malware, ya que podría actuar como gusano o troyano. Además, podía desactivar el escaneado de las herramientas antivirus, y hacerse psar por un detector de virus. También fue precursor del spoofing, una forma de spam que sustituye el nombre del emisor del mensaje.

4. Code Red y Code Red II: sendos gusanos que explotaban un agujero de seguridad en Windows 2000 y Windows NT. Los ordenadores infectados por el primero hincaron un ataque DDoS contra los servidores de la Casa Blanca. El segundo, creaba una puerta trasera en el ordenador infectado, por la queel usuario perdía el control de la máquina.

5. Nimda: otro virus de 2001, catalogado como el de más rápida expansión de la historia. Sólo necesitó 22 minutos para salir a Internet y encabezar las listas de ataques registrados. Aunque infectó muchos PCs domésticos, Nimda fue programado para atacar servidores de Internet, con el propósito de colapsar el tráfico de la Web.

6, SQL Slammer/Sapphire: un virus que en enero de 2003 pilló desprevenidos a multitud de sistemas de seguridad, que desde entonces prepararon planes de emergencia. Infectó los sistemas de compañías como Continental Airlines y los cajeros automáticos de Bank of America, así como la mitad de los servidores que soportan el tráfico de Internet. Un país como Corea quedó temporalmente ailsado del acceso a la Red.

7. MyDoom: otro virus que creaba puertas traseras, y que tuvo varias oleadas en 2004. Además, fue capaz de colapsar varios buscadores, a los que enviaba peticiones de búsqueda. En su momento de máximo apogeo, uno de cada 12 e-mails que circulaban por Internet estaba infectado con MyDoom.

8. Passer y Netsky: dos gusanos creados por un joven alemán de 17 años, Sven Jaschan. Ser menor de edad le salvó de un castigo mayor, pero sus dos creaciones se expandieron creando sus propias variantes, y causando multitud de pérdidas y molestias.

9. Leap-A/Oompa-A: un virus que demuestra que los usuarios de Mac no están a salvo de esta amenaza, a pesar de que Apple se enorgullece de que su sistema operativo está blindado ante los virus. Leap-A se expandió en 2006 a través del programa de mensajería iChat, donde mandaba un archivo corrupto con formato de imagen a todos los contactos. No causó gran daño, pero demostró que Apple también puede ser vulnerable.

10. Storm Worm: un troyano que se expandió a finales de 2006, convirtiendo en zombis los PCs infectados, que pasan a ser controlados a distancia para enviar spam o robar información. Con sus múltiples versiones se considera el virus más extendido de la historia, aunque no es difícil de detectar y eliminar cor un antivirus.

Storm Worm

El storm botnet o el storm worm botnet es una red de computadores "zombi",controlada remotamente, que ha sido encadenada por el gusano storm, un caballo de troya distribuido por medio de spam de e-mail. Algunos han estimado que por septiembre de 2007 el storm botnet estaba corriendo en entre 1 millón y 50 millones de sistemas de computación.1 2 Otras fuentes han puesto el tamaño del botnet en alrededor de 250.000 a 1 millón de sistemas comprometidos. Más conservadoramente, un analista de seguridad de redes decía haber desarrollado el software que se ha arrastrado por el botnet y estima que controla 160.000 computadoras infectadas.3 El storm botnet fue identificado por primera vez alrededor de enero de 2007, con el gusano storm en un punto contabilizando por el 8% de todo el malware en las computadoras con Microsoft Windows.4

El storm botnet has sido usado en una variedad de actividades criminales. Todavía no han sido identificados sus controladores y los autores del gusano storm. El storm botnet ha exhibido comportamientos defensivos que indicaron que sus controladores han estado protegiendo activamente al botnet contra tentativas en seguirle la pista e inhabilitarlo. El botnet ha atacado específicamente las operaciones en línea de algunos vendedores e investigadores de seguridad que procurarban investigar al botnet.5 El experto en seguridad Joe Stewart reveló eso a finales de 2007, los operadores del botnet comenzaron a descentralizar más sus operaciones, en posibles planes para vender posibles porciones del storm botnet a otros operadores. Algunos informes de finales de 2007 indicaron que el storm botnet estaba en declinación, pero muchos expertos en seguridad divulgaron que esperan que el botnet seguiría siendo un importante riesgo de seguridad en línea, y el FBI de Estados Unidos considera al botnet como un riesgo importante en el creciente fraude bancario, el hurto de identidad, y a otros cibercrímenes.6 7

Para septiembre de 2007 se reporta que el botnet es suficientemente poderoso para forzar países enteros fuera de Internet, y se estima que es capaz de ejecutar más instrucciones por segundo que algunos de los más poderosos supercomputadores del mundo.8 Sin embargo, no es una comparación totalmente exacta, según el analista de seguridad James Turner, quien dijo que comparar un botnet a un supercomputador es como comparar a un ejército de francotiradores a un arma nuclear.9 Bradley Anstis, la firma de seguridad Marshal del Reino Unido, dijo, "la cosa más preocupante es el ancho de banda. Calcule cuatro millones de veces una conexión ADSL estándar. Ése es mucho ancho de banda. Esto es absolutamente preocupante. Teniendo recursos como ese a su disposición - distribuido alrededor del mundo con una alta presencia y en muchos países - significa que pueden hacer ataques distribuidos muy efectivos contra los hosts".9


Fuente: www.equipotecnico.es