El ataque a equipos con 'Windows 2000' puede esconder una guerra entre creadores de virus

La difusión de los virus de la familia Zotob sigue siendo menor que la alcanzada en el mismo periodo de tiempo por otros códigos dañinos, por lo que la mayoría de expertos rebaja su peligrosidad. Algunos de estos programas, de los que se han detectado más de una decena de variantes, se eliminan entre ellos, en lo que parece ser una guerra entre creadores de virus. Microsoft y las compañías de seguridad ofrecen ya herramientas para desinfectar el ordenador.

El diseño de este grupo de virus hace que su difusión sea mayor en redes cerradas como las de las empresas que a través de Internet, lo que hace que, pese a haber golpeado a destacadas empresas y medios de comunicación, su extensión sea considerada menor y su peligrosidad global, limitada. Por ahora el único de estos virus que logra la calificación de alta peligrosidad en los índices del Centro de Alerta Temprana sobre Virus y Seguridad Informática de Red.es, dependiente del ministerio de Industria, es Zotob.E. El resto no pasa del nivel medio o el bajo.

Infoworld cuenta hoy que Computer Associates ha detectado entre sus clientes unos 250.000 equipos infectados, una cantidad que no se considera muy elevada frente a las registradas por otras amenazas informáticas en el pasado. La gran mayoría de los afectados son ordenadores de redes corporativas que usan el sistema operativo Windows 2000, que sufre una vulnerabilidad que de no ser corregida con la actualización que ofrece Microsoft permiten la infección.

Herramienta de desinfección

El gigante del software asegura en la página web que ha creado para informar sobre estos virus y facilitar su eliminación que "sólo una pequeña parte" de sus clientes han resultado afectados. Además de los parches que cierran el agujero en su sistema operativo, disponibles antes de que se detectaran estos virus, la compañía de Bill Gates ofrece desde ayer una herramienta que permite eliminar el virus Zotob de los equipos que hayan resultado infectados. Se trata de una versión actualizada del software 'Windows Malicious Software Removal Tool' (WMSRT).

Microsoft suele actualizar este programa -que puede utilizarse, sin necesidad de realizar una descarga, desde el sitio de la compañía- mensualmente, incluyendo en él los parches de seguridad más recientes, pero en esta ocasión ha adelantado los cambios para luchar contra los nuevos virus. Microsoft asegura que WMSRT es capaz de detectar y eliminar las versiones A, B, C, D y E de Zotobm además de Bobax.O, Esbot.A, Rbot.MA, Rbot.MB y Rbot.MC.

Un lucrativo negocio

Los expertos todavía no saben a ciencia cierta de dónde proceden los gusanos informáticos y, aunque "parece que una nueva variante llega cada dos minutos, no podemos saber cuál es el origen", según ha declarado Joe Hartmann, director de la firma de seguridad Trend Micro. Lo que parece claro es que, sea quien sea el creador de estos programas dañinos, no lo hace ya tanto por lograr notoriedad sino con una motivación económica.

La compañía de seguridad F-Secure, elevaba ayer hasta once el número de variantes del virus detectadas Mikko Hypponen, jefe de investigación, afirma que varias han sido programadas para combatir entre ellas, por lo que "parece que hay tres grupos de creadores de virus compitiendo".

El objetivo de esta lucha sería lograr la mayor red de ordenadores esclavos o botnet, de la cual puede sacarse un jugoso beneficio. Según recoge News.com Symantec ha calculado que una red 5.500 equipos ajenos pero obedientes al atacante puede ser alquilada a remitentes de contenidos no solicitados -conocidos también como spammers- y estafadores que utilizan la técnica del phishing por unos 350 dólares.

Incidencia menor que otros virus

Microsoft, por su parte insiste que, a pesar de los problemas suscitados en decenas de empresas y destacados medios de comunicación, es improbable que los virus de la familia Zotob causen tanto alboroto como MyDoom o Sobig. La empresa de seguridad informática Symantec comparte esta opinión y los ha colocado en el nivel dos en su escala de peligrosidad, que llega hasta cinco, y señala que hasta ayer sólo 230 de sus clientes habían resultado infectados.

La escasa difusión de los virus que explotan la vulnerabilidad de 'Windows 2000' contrasta con el número de infecciones de otros virus, que llegaron a millones de ordenadores en cuestión de días. Debby Fry Wilson, directora del Centro de Respuesta de Microsoft, explica que la compañía está trabajando con "los clientes que han resultado afectados", pero insisten en que "en términos numéricos" el efecto de estos virus es "relativamente bajo".

Los virus de la familia Zotob aprovechan una vulnerabilidad de Windows 2000 hecha pública por Microsoft el pasado 9 de agosto, al mismo tiempo que ponía a disposición de sus clientes el software que corrige el problema. Pero el 12 de agosto ya se pudo detectar en Internet un programa que permitía aprovechar el agujero para 'colarse' en sistemas ajenos, un software generalmente conocido como exploit del que probablemente partieron los creadores de Zotob para dar a luz a la criatura.