La epidemia del “Storm Worm”

El “virus” Storm se ha posicionado desde enero como uno de los más
pertinaces que se recuerdan desde la “época romántica”. Si bien comenzó
como una pequeña variante del virus Small, y aprovechó las inundaciones
de enero en Europa para picar la curiosidad de sus víctimas, ha
evolucionado mucho desde entonces, manejando unas cifras sorprendentes.

Hace tiempo que no se recordaba una epidemia tan duradera. Si bien no se
percibe igual que en los tiempos del Klez, Code Red, Nimda o MyDoom, los
niveles de infección pueden ser parecidos. Y no se percibe igual porque
ya no es sólo que el Storm Worm mute con nuevas versiones, sino que se
ha convertido en un complejo sistema multi-modular que se sirve de
cientos de servidores comprometidos o no, una capacidad de mutación
endiablada, y una modularidad que permite que sus funcionalidades
cambien continua y radicalmente. Por tanto Storm Worm no se podría
clasificar como un troyano sino como un complejo sistema perfectamente
orquestado, cambiante y eficaz. Muy al estilo malware 2.0.

Muchos lo llaman Storm, otros Peacomm o Nuwar. Es difícil seguirle el
juego cuando alguno de sus componentes han mutado más de 30 veces en un
día durante meses. Una de sus capacidades (además de la del envío de
correo basura, muy visible en los buzones) es la de recopilar sistemas
zombis para control remoto (a través de HTTP, una técnica que deja atrás
el IRC como protocolo de control). En los medios se ha hablado de
millones de máquinas infectadas, y de una potencia equivalente que
sacaría los colores a los superodenadores más caros del mundo.

Nunca lo sabremos de forma exacta. Hay que tener clara la diferencia
entre infecciones totales y las concurrentes, teniendo presente la
volatilidad de muchos sistemas infectados. Sin duda el número de
infectados “históricos” es de millones, pero el número que compone la
red zombi en un momento dado quizás no llegue a los 200.000 sistemas.
Sin embargo podemos elucubrar cifras según algunos datos recopilados
desde distintas fuentes. Symantec habla de que en agosto, observaron una
operación de envío de spam motivada por el troyano que abarcaba 4.375
direcciones IP únicas en 24 horas. La mitad enviaba basura y la otra
actuaba como “soporte”, alojando malware, plantillas del spam, actuando
como SMTP “relayers”… más tarde, en septiembre se observaron 6.000 en
el mismo periodo de tiempo, y sólo un 25% coincidían.

IronPort Systems, una compañía especializada en antispam, contabilizó a
principios de octubre el número de correos basura que contenían
direcciones IP que se sabían pertenecientes a la red zombi. Unos 280.000
sistemas infectados enviaron 2.700 millones de spam que “promocionaban”
esas direcciones. Sin ser de los días más ajetreados para el Storm Worm,
fue responsable del 4% de la basura total mundial enviada ese día.

En septiembre, Microsoft incluyó la firma de un componente de Nuwar
(como lo ha bautizado) en su “Malicious Software Removal Tool”. En 15
días eliminó el troyano de 274.000 máquinas. Por otro lado, Brandon
Enright, miembro del grupo de operaciones de red de la universidad de
California en San Diego, afirmó en una presentación que llegó a
contabilizar 200.000 miembros de la red activos concurrentemente en
julio. Se valió de una herramienta que él mismo programó.

Quizás no sean números muy elevados, teniendo en cuenta las afirmaciones
que se han dado anteriormente en muchos medios. Sin embargo son muy
significativas. Se ha convertido en todo un “éxito” para los atacantes,
su persistencia lo demuestra, y si bien no disponen de millones de
máquinas en un mismo momento, el número de sistemas sobre el que tengan
el control (ya sean 200.000 o 100.000) es más que suficiente para el
impacto y los beneficios que obtienen. Con la capacidad de los
ordenadores medios de sobremesa hoy día y el ancho de banda disponible
en los hogares, parece más que suficiente.
Fuente: Hispasec