A principios del 2007 saltaba de la oscuridad un código malicioso que comenzaría a ser motivo de importantes noticias debido a su particulares estrategias de engaño y por una importante campaña de infección a nivel global que aún hoy siguen siendo motivo de investigación por parte de la comunidad de seguridad.

Se trata de Storm, también conocido como Nuwar o Zhelatin dependiendo de la identidad asignada por las compañías antivirus, aunque es más conocido como “tormenta”, quizás en alusión a la forma en que arrasaba los sistemas por los cuales pasaba transformándolos en zombis, reclutando los equipos bajo el mando de su botnet.

En la actualidad, la amenaza que representó Storm no ha quedado a un costado, sino que traspasó sus características al hermano gemelo, Waledac, que mantiene como esencia la característica de intentar innovar en cuanto a las excusas que propone para su propagación, y que recientemente se ha despertado luego de un periodo de hibernación.

Durante prácticamente todo el 2007, Storm (cuyas primeras apariciones utilizaban como estrategia de engaño la visualización de un video sobre una tormenta desatada en Europa) utilizó como medio de propagación/infección el correo electrónico con asuntos y temáticas muy variadas que incitaban a hacer clic sobre un enlace incrustado en el cuerpo del mensaje que, en algunos casos direccionaba hacia una página (algunas de ellas, además de propagar Storm intentaban explotar vulnerabilidades utilizando etiquetas iframe como recursos), y en otros direccionaba a la descarga directa de un binario, Storm en ambos casos.

Ya para el próximo año (2008), Storm incorporó el “efecto sorpresa” vinculando el enlace del correo electrónico siempre a un sitio web que acompañaba la excusa expuesta en el asunto del correo junto a una imagen alusiva, también a la temática que, al igual que en el 2007, rotaba con cada suceso importante (día de San Valentín, Independencia de EEUU, navidad, etc). Además, algunas variantes se propagaron a través de blogs.

Luego de varios meses de inactividad en cuanto a la propagación de la amenaza, durante enero de este año aparece Waledac, un troyano que utiliza los mismos mecanismos empleados por Storm y muchos profesionales de seguridad comienzan ver la similitud entre ellos.

Luego de varias investigaciones, se afirma que Waledac es el, se podría decir, el hermano gemelo de Storm. Utilizando las mismas metodologías de Ingeniería Social con una amplia cartera de imágenes y temáticas que utiliza como excusa para captar la atención de los usuarios. Pasando por las típicas imágenes un tanto “amorosas” durante el mes de San Valentín, asuntos sobre supuestos atentados terroristas, entre otros, hasta llegar a la reciente sobre un supuesto video en YouTube.

Existen, entre otras, dos características sumamente interesantes tanto en Waledac como en Storm: la utilización de redes Fast-Flux y capacidades polimórficas en el servidor.

La primera de ellas permite que las amenazas se propaguen a través de diferentes direcciones IP y utilizando diferentes nombres de dominio que van rotando constantemente entre sí intercambiando la resolución de nombres. Esto provoca que, a través de un determinado tiempo de vida (TTL) previamente configurado cada x cantidad de saltos entre nodos (equipos infectados), desde un mismo dominio, se descargue un prototipo diferente del malware.

Lo que da lugar a la segunda característica, el polimorfismo. De esta manera, cada vez que el paquete (malware) alcanza el TTL establecido se intenta descargar una versión diferente del código malicioso que se “modifica” cada cierta cantidad de tiempo (también previamente establecido por el atacante) estableciendo la capacidad polimórfica.

En el siguiente diagrama se establece la relación directa que, a lo largo del tiempo, la amenaza fue utilizando en cuanto a las estrategias de engaño.