Malware

Las posibilidades de resultar afectado son prácticamente nulas en nuestro medio, puesto que el paquete infectado es el que proporciona el soporte de lenguaje vietnamita a Firefox 2. Sin embargo resulta muy preocupante comprobar cómo semejante engendro ha logrado habitar en los servidores oficiales de Mozilla durante meses, afectando a los miles de personas que han descargado el pack. Así las cosas, nada impide pensar que mañana pueda saltar una alarma similar en relación a cualquier otro código presuntamente fiable.

Según se dice, el problema pudo originarse en una infección en la red local de algún desarrollador que trabajaba en el paquete. El gusano Xorer.O afecta sólo a sistemas Windows.

Según Window Snyder, jefa de seguridad de Mozilla, el paquete fue escaneado al ser incorporado a los servidores, pero la detección de Xorer no estaba aún disponible en los antivirus por aquellas fechas...

Maarten Van Horenbeeck narra hoy en SANS ISC un interesante hallazgo: un ejemplar de malware que no detectan la mayor parte de los antivirus y que llegó camuflado en un fichero de ayuda de Windows (extensión CHM).

Una vez infectada la máquina, el troyano se conecta a un servidor de Hong Kong, desde donde descarga un ejecutable que se encarga de la segunda fase del ataque. En ésta se realiza la conexión a un segundo servidor, que responde con datos codificados en BASE64. Una vez decodificados, su contenido es el siguiente:

      
      netmgetr usb:\*.doc
      netmgetr usb:\*.pkr
      netmgetr usb:\*.skr
      netlsr usb:\*.*
      

La función de netmgetr es revisar el sistema en busca de los ficheros cuyas extensiones se explicitan (entre ellos los anillos de claves públicas y secretas de cifrado PGP).

Pero, ¿de qué sirve una clave secreta sin su frase-contraseña? No hay problema..

Informa hoy New Scientist de la atrevida idea que acaba de concebir el centro de investigación de Microsoft en Cambridge (Reino Unido).

Se trata de distribuir las actualizaciones de seguridad mediante un mecanismo "epidémico", es decir, imitando el modo de propagación que utilizan los gusanos informáticos. Del mismo modo, el gusano "bueno" de Microsoft buscaría aleatoriamente ordenadores a infectar-parchear, aprendiendo con la experiencia y evitando la necesidad de utilizar servidores centrales.

Por si no bastara con el miedo que produce un arma así en manos de Microsoft, el gusano "bueno" sólo sería el antecesor del gusano "perfecto", que detectaría las vulnerabilidades de la red y procedería a parchearlas antes de que un gusano "malo" pudiera explotarlas.

No es la primera vez que alguien llama la atención sobre la participación de máquinas linux en botnets. En esta ocasión se trata de Sophos, quien afirma haber detectado Linux/Rst-B (un antiguo virus para linux, con seis años de antigüedad) en el 70% del malware de sus honeypots.

Desde Sophos proponen descargar una herramienta específica para detectar Linux/Rst-B en servidores linux y ruegan que se les informe de los posibles hallazgos.

Puede que sólo se trate de una simple estrategia para crear negocio, pero no cabe duda de que un servidor linux es una pieza atractiva para un atacante que pretenda emplearlo para comandar un ejército de ordenadores zombis.

¿Creéis que ha llegado la hora de tener que escanear rutinariamente los servidores linux con antivirus?

De entrada, el asunto parece sencillo:

1. En Alemania -como en casi todo el mundo- un juez puede autorizar a la policía para que realice escuchas telefónicas a un sospechoso.
2. La policía alemana asegura (cierto o no) que no puede cumplir esa función cuando el sospechoso utiliza Skype.
3. El gobierno de Baviera (vía Fiscalía) pide presupuesto a una empresa para crear un software (¿troyano?) capaz de facilitar las escuchas legales de sospechosos que utilizan Skype. La empresa responde y le remite al gobierno de Baviera el presupuesto solicitado.

Así las cosas, no parece haber en principio demasiado motivo para el escándalo. Desde luego el alboroto estaría justificado si habláramos de Estados Unidos y sus escuchas ilegales (o al menos extrajudiciales) mantenidas durante años... o si el software en cuestión se instalara indiscriminadamente... o si realizara otras funciones no previstas... De momento no se dice nada de eso.

Pero sí veo un aspecto que puede resultar preocupante, y es algo que ya comentamos con respecto a un plan similar del gobierno suizo: para que el sistema funcione, los fabricantes de antivirus no pueden incluir la detección de este software en sus productos, y también posiblemente será preciso permitir que sobrepase los cortafuegos.

De producirse tal aquiescencia por parte de las firmas de seguridad informática (y no veo otra forma de que el sistema resulte eficaz), desde luego no ayudaría en nada a despejar dudas sobre otras posibilidades preocupantes, como la implantación de puertas traseras en cualquier tipo de software de cifrado y similares.