Tres virus ponen en jaque a Internet
La combinación de tres virus especialmente invasivos y una grave falla de seguridad en los principales sistemas operativos de Microsoft han dado lugar al peor ataque informático global de la historia.
La agresión infectó millones de máquinas y hubo redes completas que tuvieron que salir de servicio. Por ejemplo, el Departamento de Defensa de los Estados Unidos, la compañía ferroviaria más importante de ese país -CSX- y el Massachusetts Institute of Technology habían sido gravemente afectados por el ataque.
El mayor proveedor de los Estados Unidos, America OnLine, dijo ayer que había filtrado más de 40 millones de e-mails con estos virus. El Sobig.F fue el más activo y el fabricante de antivirus español Panda ( www.pandasoftware.es ) dijo que ya había infectado el 1,67% de las computadoras delmundo. En la Argentina había ayer alrededor de 50.000 máquinas infectadas sólo con el Sobig.F.
Los gusanos Blaster y una de sus variantes, el Nachi.A, y el Sobig.F hicieron ayer estragos en Internet y comprometieron la seguridad de millones de computadoras y redes corporativas. Los dos primeros aprovechan un agujero de seguridad presente en los sistemas operativos Windows XP, 2000, NT 4.0 y 2003 Server. Windows 95, 98 y Millennium, Macintosh y Linux no se ven afectados por estos dos gusanos.
Aunque Microsoft publicó el parche en su sitio hace más de un mes ( www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp ), muchos sistemas corporativos y personales no fueron actualizados a tiempo. El Blaster y el Nachi.A aprovechan esta falla y entran en el equipo sin pasar por el mail.
El Sobig.F, en cambio, llega por correo electrónico con un archivo adjunto. Si el receptor abre el adjunto (le da doble clic, por ejemplo), el gusano infecta la computadora.
Avalancha
El más virulento de los tres, el Sobig.F, llega en mensajes que tienen como asunto casi siempre la palabra "Re:" (que en la jerga informática significa "respuesta") seguido de Details , Approved , That movie y otros. También puede usar el asunto Thank You! y Your details , sin "Re:". Este truco de ingeniería social hace que mucha gente abra el archivo adjunto.
Una vez liberado en la computadora de la víctima, el Sobig.F intenta mandarse por mail a las personas cuyas direcciones de correo figuran en los archivos de la máquina infectada. Hace esto cada diez segundos, por lo que la escalada ha tenido las características de una avalancha.
Esta multiplicación de mensajes busca colapsar los sistemas de correo, especialmente en ambientes corporativos, aunque algunos expertos creen que este virus puede haber sido creado por quienes mandan publicidad no solicitada por mail (o spam ) para probar si es posible traspasar los filtros contra esta clase de avisos.
El Sobig.F combina una inusual frecuencia en el reenvío de mensajes con la técnica de buscar direcciones de futuras víctimas en casi cualquier archivo que pueda contenerlas en una computadora, desde la Libreta de Direcciones de Windows hasta documentos de texto y páginas web almacenadas en el disco.
Puertas abiertas
Dos de estos gusanos, sin embargo, esconden una amenaza todavía más grave. Por medio de diferentes técnicas, El Blaster y el Sobig.F dejan abierto un canal en la computadora al que puede conectarse un pirata informático para tener acceso remoto al equipo, lo que compromete la seguridad de los datos.
El Blaster, sin embargo, contiene un error de programación que satura Windows y lo obliga a reiniciarse. Así, súbitamente, a poco de conectarse con Internet, el usuario se enfrenta con un cuadro que dice que la máquina va a apagarse por orden de NT Authority/System y le concede sólo 60 segundos para cerrar todas las aplicaciones y salvar sus datos.
No era ésta la intención del autor del Blaster, pero su impericia lo dejó en evidencia la semana última. El Nachi.A es una variante del Blaster que aparte de aprovechar la falla antes mencionada puede entrar en la computadora usando otro agujero de seguridad en los sistemas de Microsoft. La información técnica y los parches para corregir este defecto están en www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-007.asp.
Lo más extravagante del Nachi.A, originario de China, es que elimina al Blaster, destruye sus archivos y termina sus procesos, además de instalar el parche para que el Blaster no pueda volver a entrar. Al parecer, fue diseñado como una forma de proteger compulsivamente las computadoras del Blaster. Sin embargo, su gran número bloquea las redes y su presencia en el equipo lo desestabiliza.
El virus Sobig.F es fácil de reconocer. Llega por mail y el asunto intenta que abramos el adjunto que llega con el mensaje. Este adjunto usa los nombres Your_document , Document_all , Thank_you y otros, siempre en inglés, y con la extensión PIF o SCR. La extensión de un archivo son los tres caracteres que siguen al punto al final del nombre de un archivo.
Herramientas útiles
Los antivirus actualizados los reconocen. Si una máquina ya fue infectada, se puede bajar sin cargo la herramienta para erradicar el gusano del sitio de Panda y Symantec ( www.symantec.com ).
En ambos sitios hay también programas para limpiar el Blaster y el Nachi.A. Debe tenerse presente, sin embargo, que además de erradicar estos dos virus es indispensable instalar los parches mencionados antes, para que no vuelvan a entrar en la PC.
Los parches deben bajarse del sitio de Microsoft en el idioma correspondiente al Windows que se tenga instalado en el equipo.
Los expertos opinaban ayer que hoy la epidemia seguiría aumentando, para empezar a ceder sólo hacia el fin de semana.
Los antecedentes más graves
Klez: 25-12- 2002. Sorprendió por la facilidad para modificar su código. Llegó a reproducirse en más de una decena de versiones.
Code red: 30-07-2001. En nueve horas, infectó más de 250.000 computadoras. Causó pérdidas por más de 2600 millones de dólares.
LoveLetter: 5-05-2000. En sólo cinco horas fue reportado desde todos los países. Afectó a millones de computadoras.
Melissa: 26-03-1999. En tres días infectó más de 25.000 computadoras. Era un macrovirus típico, aunque muy prolífico