19/04/06 17:37:42


UN VIRUS SECUESTRA DOCUMENTOS A CAMBIO DE UN RESCATE


Mercè Molist
Un nuevo tipo de código malicioso, los criptovirus, avanzan en una lenta pero constante evolución, avisan los expertos. Se introducen en los ordenadores de la misma forma que el resto. La diferencia es que no destruyen documentos sinó que los cifran o los hacen inaccesibles y piden un rescate. La semana pasada, aparecía un nuevo especimen: CryZip, también llamado Zippo.

Cuando entra en un ordenador, el virus troyano Zippo busca determinados archivos, como documentos Word, bases de datos u hojas de cálculo, y los transforma en archivos comprimidos que precisan una contraseña para acceder a ellos. A cambio de obtener esta palabra de paso, la víctima deberá pagar 300 dólares a una cuenta.

Estos virus son aún rudimentarios y no fue difícil que la empresa Sophos, después de analizarlo, descubriese dónde almacena la contraseña. Su antecesor, PGPCoder, que apareció en mayo de 2005, también tenía fallos, aunque su concepto estaba claro: cifraba los documentos y pedía un rescate por descifrarlos.

La fragilidad de los criptovirus reside en su novedad: no tienen plantillas en las que basarse, deben ser creados desde cero, lo que explica los errores iniciales. Según Cristian Borghello, director técnico de Eset Latinoamérica, "hasta ahora y por ser los primeros, los métodos de cifrado han sido sencillos y fácilmente reversibles. Además, el modo de utilización de cuentas bancarias aún no se ha perfeccionado, lo que permite rastrearlas de forma sencilla".

Pero los expertos están seguros de su proliferación futura, al conllevar ganancias económicas, principal motivación de la mayoría de creadores de virus: "Es fácil imaginar que cuando se perfeccionen usarán técnicas de cifrado fuertes, lo que imposibilitará el descifrado de los archivos. Es inevitable que este sistema de secuestro se perfeccione", explica Borghello.

El concepto de criptovirus es muy nuevo. Surgió en 1996, cuando Moti Yung y Adam Young desarrollaron la teoría que aunaba la virología y el cifrado. Permaneció como una hipótesis de laboratorio hasta que en 2005 apareció PGPCoder. La única defensa, además de usar antivirus, es realizar copias periódicas de seguridad.


Virus para Windows y Linux

También la semana pasada, Kaspersky Lab descubría un nuevo virus, Bi.a, que infecta ejecutables tanto de Windows como de Linux. A pesar del revuelo mediático, no es el primer virus de este tipo. Existían ya Smile o Winux, obra del grupo español de creadores de virus 29A. Todos pruebas de laboratorio, más que virus reales.

Según Sergio de los Santos, de Hispasec Sistemas, "Bi.a es bastante inofensivo. Sólo se extiende sobre los archivos del directorio donde se ha ejecutado, no causa daño y no se auto-propaga a otros sistemas. No es más que el intento de alguien por demostrar que pueden existir estos "bichos"".

Su capacidad de infectar Linux es mínima, afirma: "El diseño de Linux impide casi por definición que un virus pueda reproducirse fácilmente o que pueda ser ejecutado de forma inadvertida por el usuario. Los virus para Linux, apenas unas decenas, poco activos y menos agresivos, han sonado más como curiosidades que por su capacidad de infección real".

A pesar de ello, Bi.a llamó la atención de Linus Torvalds, creador de Linux, quien lo examinó para conocer su alcance. Torvalds descubrió que un error del núcleo del sistema operativo impedía que el virus pudiese ejecutarse correctamente. Alertado así por el virus, corrigió el error del núcleo de Linux. Ahora el núcleo funciona bien y, como consecuencia paradójica, el virus puede infectarlo.



El troyano Zippo exige 300 dólares para recuperar datos encriptados
http://esp.sophos.com/pressoffice/news/articles/2006/03/zippo.html

Nuevas formas de hacer dinero ilegal: RansomWare
http://www.nod32-la.com/about/press.php?id=162

Nueva prueba de concepto capaz de infectar a Windows y GNU/Linux
http://www.hispasec.com/unaaldia/2734

Torvalds creates patch for cross-platform virus
http://software.newsforge.com/software/06/04/18/1941251.shtml?tid=78&tid=26


 
Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.
 

<<