Juventud Rebelde - Diario de la Juventud Cubana

Nuevos programas malignos reportados anualmente a Segurmática desde 2002 Fuente: Cortesía del autor Los primeros ocho meses del año, desde el punto de vista de los códigos malignos reportados nacionalmente a la empresa de Consultoría y Seguridad Informática (Segurmática) se han caracterizado por un incremento notorio de nuevos ejemplares.

Basta decir que la cifra total (1 201) es superior a la suma de los totales de 2004 a 2007 (1 159).

Los más notorios fueron por amplio margen los miembros de la familia W32.Onlinegames (42,7 por ciento). Su nombre viene dado porque sus acciones dañinas están asociadas a un tipo de videojuego, que se desarrolla en computadoras conectadas a Internet, en los que miles de jugadores pueden introducirse simultáneamente en un mundo virtual representados por personajes gráficos e interactuar entre ellos.

Para acceder a estas distracciones es necesario comprar el programa cliente y pagar una cuota mensual. Dada la alta demanda es común encontrar una gran cantidad de sitios, en la gran Red, con versiones piratas, las cuales se pueden utilizar de manera gratuita, pero con nivel de seguridad y prestación menor.

Según la empresa Kaspersky Antivirus la cantidad de servidores piratas es tan grande que una búsqueda en Google de la frase «private game server», realizada en junio de 2007, obtuvo casi once millones de enlaces. Esta es una vía alternativa para acceder a los juegos a pesar de los riesgos.

Estos esparcimientos tienen también como característica el intercambio y compra de artículos virtuales, por ejemplo armas. Lo anterior, combinado con la destreza del jugador, constituye la base para aspirar a pasar a niveles de mayor complejidad.

La compra de los utensilios se relaciona estrechamente con el dinero que puede desembolsar el jugador en el mundo real. Un artículo importante para una etapa determinada del juego tiene su precio, interviniendo la ley de la oferta y la demanda, así como el interés en su adquisición ilícita.

El acceso a los juegos es a través de la autenticación, que se realiza mediante la combinación del nombre de usuario y la contraseña. Un «jugador» malintencionado puede apropiarse de las credenciales de otro y reemplazarlo o robar sus «pertenencias virtuales» para venderlas posteriormente. Aquí precisamente cumplen su función los códigos malignos y la ingeniería social.

Onlinegames ladrones

Karpersky Antivirus detectó que el número de programas nocivos destinados exclusivamente a los jugadores en línea durante 2007 aumentó en un 145 por ciento en comparación con el año 2006, y llegó a la conclusión de que los delincuentes están más interesados en las contraseñas de los juegos en línea que en las contraseñas de correo electrónico, mensajería instantánea o de la banca en línea.

Precisamente la funcionalidad principal de los miembros de la familia W32.Onlinegames es el robo de la información de autenticación en varios de los juegos en línea más usados. Estos programas nocivos se instalan en las computadoras personales desde las memorias flash USB y a través de accesos a páginas web, en Internet, preparadas al efecto.

La propagación a través de la primera vía ocurre tan pronto el dispositivo externo «infectado» es colocado en el conector del puerto USB, pues el Sistema Operativo por defecto interpreta el fichero autorun.inf presente en el directorio raíz y ejecuta la aplicación llamada desde este. Los miembros de la familia están formados por varios ficheros componentes.

En este caso el autorun.inf referencia a otro fichero ejecutable, localizado también en el directorio raíz, cuyo nombre oscila entre las variantes que forman la familia; ejemplo de este son dp.cmd, w3dn9f.bat, co.com, copetttt.com, io.com, 9m2ke.exe, h8i.com, mtlhieej.cmd y otros.

Una vez que esa segunda aplicación es ejecutada, crea en el directorio raíz de las unidades presentes en la computadora, un fichero autorun.inf y otro fichero ejecutable, con las características mencionadas anteriormente y con los atributos de oculto (Hide), sistema (System) y de solo lectura (Read only) para encubrirlos al usuario.

El comando attrib.exe puede ser empleado para visualizar los ficheros ocultos. Para ello, a través del botón Inicio se puede seleccionar Ejecutar y en la ventana que se abre teclear cmd y pulsar el botón Aceptar. A continuación, en la nueva ventana (en modo texto):

Teclear la letra correspondiente a la unidad de la flash o a la unidad lógica que se quiera revisar, seguida del caracter “:”. Ejemplo: E:

Pulsar la tecla Enter

Teclear: cd

Teclear: attrib *.*

Pulsar la tecla Enter y comprobar la existencia de tales archivos (fichero AutoRun.inf y el llamado desde este).

Nota: Otra variante es teclear: dir/ah y pulsar la tecla Enter.

Con el uso de este comando se puede comprobar la presencia de otros ficheros o componentes que también crea el código maligno en el directorio sistema en la unidad de disco duro (ej: C:WINNTsystem32, C:Windowssystem32), los cuales también varían en nombre pero de manera general oscilan entre los siguientes: kavo.exe, kavo0.dll, amvo.exe, amvo0.dll, amvo1.dll, avpo0.dll, avpo1.dll, kxvo.exe, fool0.dll y ieso0.dll,

El archivo con extensión .dll es asociado (inyectado) a procesos que se encuentran en ejecución en la computadora, siendo una técnica muy empleada para ocultar en la memoria componentes de los códigos malignos.

A la vez este explota otras funcionalidades, entre las que se encuentran realizar alteraciones en el Registro de Windows y el monitoreo de procesos relacionados con juegos de computadoras con el fin de obtener la información tecleada y enviarla posteriormente a determinados sitios en Internet.

Algunos de estos son wow.exe (World of WardCraft), cabalmain.exe (Cabal Online), fairlyclient.exe (ROHAN), so3d.exe (Seal Online), hyo.exe (HuangYi Online), wsm.exe (Rexue Jianghu), Ragfree.exe y ragexe.exe (Ragnarok Online), maplestory.exe (MapleStory), elementclient.exe (Perfect World) y ge.exe (Granado Espada).

El archivo ejecutable .exe no es más que una copia del mismo fichero que es llamado desde el autorun.inf (ej: dp.cmd, w3dn9f.bat, co.com, etc.). Con el fin de que tome el control, cada vez que el sistema se reinicia se modifica el Registro del sistema.

Registro modificable

La modificación del Registro para ejecutar los archivos con códigos malignos, presentes en los discos, es un aspecto que se ha estandarizado entre sus autores.

Para dificultar al usuario la posibilidad de detectar de manera sencilla la presencia de los ficheros creados, también realizan otras alteraciones, las cuales pueden ser comprobadas con el auxilio del editor del registro de Windows (Regedit.exe).

Sin embargo, con frecuencia los creadores de programas malignos también deshabilitan su uso, así como el de Taskmanager.exe, que es una aplicación que permite ver y finalizar procesos en memoria.

Otra característica de esta familia, es la creación en el directorio temporal de la configuración local del usuario (C:Documents and SettingsNombre de usuarioConfiguración localTemp) de otro archivo .dll con nombre variable, ejemplo: 2t99k.dll, 4z5zdceq.dll, 75t7.dll, 7rcq.dll, 8qv5cvkq.dll, 8d9y8cfy.dll, 9s8z2.dll, aajc.dll, aqb2.dll, a.dll, etc y atributo de oculto.

La descarga que realizan desde Internet de nuevas versiones y componentes, la otra vía de propagación, constituye un peligro adicional, pues una computadora afectada puede hospedar diversas variantes, que por su novedad logran no ser reconocidas inicialmente por productos antivirus.

Medidas necesarias

El uso de dispositivos portátiles, pequeños, veloces y con un nivel de capacidad de almacenamiento cada vez mayor, ya es común y su empleo, sin considerar los riesgos, puede causar daños no estimados en el medio empresarial.

El 65 por ciento de los nuevos códigos malignos reportados en Cuba en el intervalo de tiempo analizado se difunde por esta vía, por lo que es necesario estar conscientes de la problemática que constituyen y de aplicar medidas de seguridad informática que ayuden a limitar su acción nociva.

Entre las medidas que se deben tomar cuando se manipulan estos dispositivos se puede modificar el registro, con el auxilio de Regedit, para que el código maligno no tome el control cuando el dispositivo externo sea conectado al puerto USB.

Para ello, a través del botón Inicio se debe seleccionar Ejecutar y en la ventana que se abre teclear regedit y pulsar el botón Aceptar.

Dentro de la aplicación seleccionar, en la ventana de la izquierda, HKEY_LOCAL_MACHINE y luego seguir navegando a través de SOFTWAREMicrosoftWindowsNTCurrentVersionIniFileMapping.

Una vez que se haya llegado a esta última clave o subllave, crear una nueva, con el botón derecho del ratón, a la que se asignará como nombre Autorun.inf.

En la ventana de la derecha modificar el valor predeterminado, seleccionándolo y empleando el botón derecho del ratón. Por último, teclear @SYS:DoesNotExist en Información del valor y pulsar Aceptar.

El inconveniente de esta medida se encuentra en aquellos casos en los que el trabajo con una aplicación en un CD o DVD requiera de la ejecución automática de un programa de instalación, labor que bajo esta condición tendrá que realizar el interesado.

También se puede crear en el directorio raíz del dispositivo externo una carpeta con el nombre autorun.inf, con el fin de engañar provisionalmente a estos códigos en el momento en el que intenten crear el fichero con igual nombre.

Esto no impedirá que se creen los ficheros llamados por el autorun.inf; sin embargo, en la mayoría de los casos la ejecución de estos últimos dependerá generalmente del usuario.

Los productos antivirus, desarrollados en la Empresa de Consultoría y Seguridad Informática (Segurmática) identifican y eliminan las muestras reportadas en Cuba.

* Especialista principal del Laboratorio de Seguridad Informática de Segurmática