2003

En el año 2003 sucedieron dos ataques globales a Internet, que podrían considerarse los mayores de su historia.

El gusano de Internet Slammer, fue la base de los ataques, y usó una vulnerabilidad del servidor MSSQL para propagarse. Slammer fue el primer gusano clásico, que ilustraba perfectamente las cualidades del gusano flash, que fueron pronosticadas muchos años antes.

El 25 de Enero del 2003, en el espacio de pocos minutos, el gusano infectó cientos de miles de ordenadores a nivel mundial, aumentando el tráfico en el servicio de redes a tal punto que varios segmentos nacionales del Internet se desplomaron. Expertos estiman que el tráfico aumento de un 40% - 80% en varias redes. El gusano atacó los puertos 1433 a 1434 y al ingresar en los ordenadores, no realizó una autocopia en ningún disco, sino simplemente se instaló en la memoria RAM. Si analizamos la dinámica de esta epidemia, podemos asegurar que el gusano fue originado en el lejano este.

La segunda epidemia fue causada por el gusano Lovesan, que apareció en Agosto del 2003. El gusano nos demostró cuan frágil es Windows. De la misma manera que Slammer, Lovesan aprovechó sus vulnerabilidades para reproducirse.

La diferencia estaba en que Lovesan usaba una vulnerabilidad del servicio RPC DCOM de Windows 2000/XP, logrando que casi todos los usuarios de Internet fuesen atacados por este gusano

Aunque los virus atacaron nuevas plataformas y aplicaciones, el año fue sorpresivamente tranquilo.

MPB,Kynel fue la única novedad. Descubierto en forma accidental por los laboratorios Kaspersky, este virus escrito en Mapbasic, infectaba documentos de Mapinfo y, fue sin lugar a duda escrito por un ruso.

El año 2003, fue de incesantes epidemias generadas gusanos de correo electrónico. Ganda y Avron fueron los primeros detectados en el mes de Enero. Fueron transcritos en idioma Suizo y siguen siendo el gusano de correo electrónico más propagado en Escandinavia, no obstante el hecho de que la policía Suiza arrestó a su autor a finales de Marzo.

Avron, fue el primer gusano creado en la URSS, capaz de causar una epidemia significativa en todo el mundo.

El código de orígen del gusano, fue publicado en Internet, lo que provocó la aparición de cierto número de versiones menos efectivas.

Otro evento importante fue en el mes de Enero del 2003 con la aparición del primer gusano Sobig.

Todos los gusanos provenientes de esta familia, causaron una epidemia muy significativa, pero fue la versión ´f ´ la cual rompió con todos los records, convirtiéndose en el gusano más distribuido en la historia de Internet. En la parte culminante de la epidemia, el Sobig.f, que fue detectado en el mes de agosto, podía ser encontrado uno en cada 20 mensajes de correo electrónico. Los escritores del virus que crearon la familia Sobig pretendían crear una red de máquinas infectadas que condujeran ataques DoS contra sitios web seleccionados arbitrariamente, pudiendo ser usada para enviar correo no solicitado.

El gusano de correo electrónico Tanantos.b. fue también un notable evento en el estudio de los virus. Su primera versión se propagó a mediados del 2002, pero la versión ´b´ apareció solo un año después. El gusano aprovechó la conocida vulnerabilidad IFRAME de MS Outlook para activarse automáticamente desde los mensajes infectados

El año 2003 Tanatos causó una de las epidemias más significativas de correo electrónico, ocupando el segundo lugar después de la originada por Sobig.f,

batiendo el record de equipos infectados por un gusano de correo electrónico.

Gusanos de la familia Lentin continuaron apareciendo. Todos estos gusanos fueron escritos en India por un grupo de escritores locales, como parte de una “guerra virtual” entre escritores indios y pakistaníes. Las versiones más difundidas fueron las ‘m’ y ó´, las cuales se reproducían en forma de archivo ZIP adjunto a los mensajes infectados

Los escritores rusos continuaron activos.

El segundo gusano proveniente de la URSS, que provocó una epidemia global, fue el Mimail

Este gusano usó la vulnerabilidad más reciente de Internet Explorer para activarse, lo que le permitió extraer el código binario de los archivos HTML y ejecutarlo.

Esta técnica fue utilizada por primera vez en Rusia en mayo del 2003 (Trojan. Win32,StartPage1) Siguiendo esta tendencia, la familia Mimail y muchos otros programas Trojan hicieron uso de esta vulnerabilidad.

Los creadores del gusano Mimail publicaron el código de origen en Internet, provocando la aparición de nuevas variedades de este gusano redactadas por otros escritores de virus en noviembre del 2003.

Septiembre fue el mes de Swen.I-Worm-Swen, disfrazándose como una pequeña parte de Microsoft, infectando varios cientos de miles de computadoras en todo el mundo, permaneciendo hasta la fecha como uno de los gusanos electrónicos mundialmente más distribuido

El autor de este virus se aprovechó de los usuarios temerosos que aún permanecían nerviosos después de las epidemias de Lovesan y Sobig

La epidemia reciente más significativa fue causada por Sober, un gusano relativamente sencillo escrito por un alemán. Era una imitación de Sobig.f, líder de los gusanos por muchos años.

La cantidad de backdoors y troyanos espías empezó a aumentar el 2002, y esta tendencia continuó el 2003.

En esta categoría, Backdoor

Agobot y Afcore fueron los más notables

Hoy en día, existen mas de 40 variedades de Algobot, desde que el autor de la versión original creara una red de sitios Web y canales de IRC donde cualquiera que deseara ser el dueño de una versión exclusiva de Backdoor-a creada de acuerdo a sus deseos, podía adquirirla por un precio mínimo de $150.

Afcore fue propagado con menos fuerza, aún así, para disfrazar su presencia en el sistema, utilizó un método inusual: se introdujo en el sistema de archivos adicional del sistema NTFS, es decir, en el flujo de catálogos, y no en el flujo de archivos.

Una tendencia nueva y potencialmente peligrosa fue identificada a finales del 2003; un nuevo tipo de troyano: Troyano Proxy. Esta fue la primera señal de que los escritores y propagadores de virus estaban unidos.

Los propagadores de virus comenzaron a usar equipos infectados por troyanos para realizar ataques masivos.

Esta claro también que los spammers participaron en numerosas epidemias de programas maliciosos que fueron distribuidos usando la tecnología de correo no solicitado.

Los gusanos de Internet constituyen la segunda clase de virus más activa en el año 2003; más específicamente los I-worms, que se multiplicaban capturando las contraseñas de los recursos de redes remotas.

Como regla, estos gusanos se basan en clientes de IRC, y escanean las direcciones de sus usuarios. Luego intentan ingresar a las computadoras usando el protocolo NetBios y el puerto 445.

Los virus más notables de esta clase son los gusanos de Internet de la familia Randon

Durante todo el año, los gusanos de Internet continuaron siendo el tipo dominante de software malicioso.

Los llamados macro virus, tal como el Macro.Word97.Saver, ocuparon el segundo lugar. Aun así, los programas troyanos sobrepasaron a los virus en otoño, continuando esta tendencia hasta la fecha.