En muchas ocasiones diversos especialistas han tratado de extraer conclusiones a partir de las llamadas «wildlists», con el fin de poder intuír de antemano cuáles serán los virus o i-worms de mayor prevalencia a corto plazo. Las estadísticas que revela este tipo de listas, sin embargo, aún dejan muchas incógnitas pendientes.
Para muestra, un botón: la producción de virus de fichero para Win32 es, desde hace meses, sensiblemente superior a la de virus de macro, i-worms y, por supuesto, especímenes infectores del ya vetusto DOS. Sin embargo, y de acuerdo con los datos ofrecidos a partir de la última «wildlist» oficial, el único representante de este grupo de cuya actividad infecciosa se tiene constancia es el «CIH», que, eso sí, con 38 impactos, se sitúa segundo en la lista, detrás del aparentemente imbatible «Happy99».
Esta situación viene a ser una continuación de la relación que ya protagonizaron los virus de fichero de DOS y los prácticamente desaparecidos infectores de «boot»: a pesar de que los primeros eran cuantitativamente superiores, los segundos siempre llevaron la delantera en cuanto al nomero de infecciones producidas a nivel mundial.
Lo cierto es que resultar¡a incre¡blemente tedioso efectuar una valoraci¢n para dilucidar si el problema atiende a razones de mayor o menor complejidad, si bien es cierto que, en l¡neas generales, los virus de fichero suelen ofrecer aspectos de tipo t’cnico m s interesantes que los que podemos encontrar en los espec¡menes infectores de «boot». Pero este argumento chocar¡a de golpe con un hecho tan peculiar como el que representa la presencia del virus «Form», simple y directo donde los haya, a_o tras a_o y mes tras mes en puestos privilegiados de las listas de prevalencia, compartiendo cartel con un cl sico de fichero como «OneHalf» -conocido por ser uno de los virus de DOS m s complejos que se recuerdan- y con «AntiCMOS» y «AntiEXE», dos ejemplares m s de «boot» cuyo estilo raya en el m s puro de los minimalismos. El testigo de «OneHalf» parece recogerlo el «CIH», que en su momento fue un aut’ntico impacto t’cnico – poca gente hasta entonces hab¡a sido capaz de alcanzar «ring-0» (el anillo de privilegios m ximos en Windows) desde un virus.
Entonces… +tienen m s posibilidades de extenderse «in the wild» los virus de «boot» simples y los virus de fichero m s complejos? ejemplos como «Marburg» -un infector de archivos de formato PE EXE para Windows95 bastante simple- o «Zhengxi», considerado como uno de los virus de fichero m s complejos de la historia, no son m s que la punta del iceberg que desbarata cualquier tipo de teor¡a al respecto.
Por si esto fuera poco, los virus de macro, relevo generacional de los infectores de «boot», crecen en progresi¢n geom’trica mes tras mes, y siguen siendo, con mucho, el g’nero de virus m s extendido desde su aparici¢n. Estad¡sticas oficiales hacen eco de un dato alarmante: m s del 65% de las infecciones que tienen lugar a diario est n producidas por un virus de macro, y de hecho es posible comprobar c¢mo, de los diez espec¡menes m s extendidos de acuerdo con la «wildlist» del mes de enero, seis pertenecen a este simple pero muy efectivo g’nero v¡rico.
Sin embargo, el verdadero problema lo tenemos a la vuelta de la esquina: el fen¢meno de los gusanos (i-worms e IRC worms) est cobrando un peligroso protagonismo, pese a su corto periodo de vida. Especialmente en el caso de los i-worms, habr¡a que hacer hincapi’ en un hecho escalofriante: el primer esp’cimen de este tipo data de enero de 1999, y, desde entonces, se han escrito menos de quince ejemplares de este g’nero. Sin embargo, cuatro de ellos aparecen en los primeros puestos de la «wildlist» del mes de enero (entre ellos, «Happy99» en el primer puesto), y se tiene constancia que la pr ctica totalidad de los restantes i-worms conocidos hasta el momento han sido encontrados en algon momento «in the wild».
Las estad¡sticas que se barajan, en comparaci¢n con las de los g’neros de virus m s antiguos, nos hacen augurar un futuro muy poco esperanzador. El clavo ardiente al que debemos agarrarnos es el hecho de que, salvo el caso de «BubbleBoy», la ejecuci¢n de un i-worm en un ordenador no infectado es una situaci¢n de interacci¢n en la que se miden las fuerzas los recursos a nivel de ingenier¡a social de los escritores de virus y la precauci¢n de los usuarios, que, en el momento de recibir un gusano pasan autom ticamente a convertirse en posibles v¡ctimas.
A pesar de todas estas conjeturas, siempre nos quedar una duda por resolver: +hasta qu’ punto dependen las probabilidades que tiene un virus de cara a su ulterior expansi¢n «in the wild» de sus mecanismos de auto-ocultaci¢n? +cu ndo y c¢mo se suele descubrir la mayor¡a de las infecciones v¡ricas? +tras haber escaneado el disco duro con un antivirus actualizado, o antes de que el propio antivirus haya tenido noticia de la existencia del esp’cimen en cuesti¢n? y, sobre todo, +cu ntas infecciones v¡ricas se han producido a lo largo del mundo y siguen vigentes hoy d¡a sin haber sido descubiertas?
Las estad¡sticas son un dato fundamental de cara a la futura prevenci¢n de males que hoy en d¡a nos aquejan, y por desgracia son todav¡a muy pocas las compa_¡as antivirus que se preocupan por obtener algon tipo de informaci¢n adicional por parte de sus usuarios acerca de los ataques v¡ricos que ‘stos sufren d¡a tras d¡a, algo que puede suscitar dos oltimas preguntas: +hasta qu’ punto interesa a este tipo de empresas erradicar de manera definitiva las plagas v¡ricas de la inform tica? +funcionan de manera an loga a la medicina general, prestando m s atenci¢n a las consecuencias que a las causas reales?
M s informaci¢n:
WildList Organization International
http://www.wildlist.org
Trend Micro (Real-time Virus Tracking)
http://wtc.trendmicro.com/wtc
Giorgio Talvanti
talvanti@hispasec.com
