LoveLetter y Conficker, dos recordados malwares del nuevo milenio

Los “clásicos” malwares del nuevo milenio, los recordados LoveLetter (2000) y el gusano Conficker (2008) provocaron estragos en un sinnúmero de computadoras. A continuación te detallamos de qué se trataron.

LoveLetter

El 5 de mayo del año 2000 comenzó a llegar a la bandeja de entrada de los usuarios un correo que en el asunto decía “I Love You” y que en el cuerpo contenía el siguiente mensaje: “Abre la carta de amor que te envié”. El correo venía con un archivo adjunto cuyo nombre era Love-Letter-For-You.TXT.VBS. Lamentablemente, muchos cayeron en el engaño de esta técnica de ingeniería social y se vieron infectados por el gusano LoveLetter, también conocido por los nombres VBS/LoveLetter, Love Bug o ILOVEYOU.

Este gusano escrito en VBScript fue desarrollado en Filipinas por dos jóvenes estudiantes de ciencias de la computación. Ellos son Reonel Ramones y Onel de Guzman. Parte del éxito de LoveLetter fue que el correo que contenía la amenaza parecía haber sido enviado por un contacto conocido, ya que el gusano tenía la capacidad de ingresar a la libreta de direcciones de la víctima para luego enviar copias de sí mismo a sus contactos. Según el Ejército de los Estados Unidos, LoveLetter se propagó 15 veces más rápido que Melissa.

¿Qué daño provocaba LoveLetter? Con solo hacer doble clic en el adjunto, la amenaza se activaba y sobrescribía archivos en el sistema con copias de sí mismo y hacía cambios en el registro de Windows. Por otra parte, noticias de la época afirman que LoveLetter infectó aproximadamente 55 millones de computadoras de diferentes partes del mundo y que los daños causados provocaron pérdidas valuadas en aproximadamente diez mil millones de dólares.

En una entrevista realizada por NY Times, Onel de Guzman dijo que se convirtió en sospechoso debido a una propuesta de tesis que envió al instituto en el que estudiaba, en la que proponía un método para robar contraseñas y así obtener acceso gratuito a Internet. Su propuesta fue rechazada, y según explica en la entrevista, Guzman no solo dijo a sus profesores que tenían una mente cerrada, sino que según él “no querían creer que había creado un programa que exponía la existencia de un agujero en el sistema operativo”.

Si bien tanto Ramones como de Guzmán fueron detenidos, ninguno de los dos fue condenado, dado que en esa época la ley en Filipinas no contemplaba los delitos informáticos.

Conficker

El 23 de octubre de 2008 Microsoft publicaba el lanzamiento de un parche que reparaba una vulnerabilidad crítica  (MS08-067) en el servicio Server, la cual, según los términos utilizados en el comunicado, podría permitir a un atacante la ejecución remota de código. De esta manera, la compañía instaba a los usuarios a actualizar sus sistemas operativos de manera inmediata.

El hecho de que se haya producido este lanzamiento por fuera del ciclo habitual de actualizaciones que Microsoft realiza todos los segundos martes de cada mes (patch Tuesday), demostraba que se trataba de algo importante. Y el mismo día que fue lanzado el parche, se detectó el primer código malicioso que explotaba la vulnerabilidad anunciada por Microsoft y que robaba nombres de usuario y contraseñas de MSN Messenger, Outlook Express e Internet Explorer, así como también cookies almacenadas en el sistema, pero que no logró altos índices de infección ni perduró en el tiempo. Este código era detectado por los productos de ESET como Win32/Gimmiv.

Menos de un mes después, el 21 de noviembre de 2008, el gusano llamado Conficker hacía su aparición y generaría un gran revuelo a nivel mundial, comprometiendo computadoras en hogares, empresas y organismos gubernamentales que utilizaban Windows en 190 países.

Luego de ser analizado, los expertos en seguridad se dieron cuenta de que estaban ante un código malicioso desarrollado por profesionales y que presentaba rutinas de propagación y actualización que no se habían visto hasta el momento. Y casi un mes después, el 29 de diciembre, se detectaba una nueva variante de Conficker que no solo incorporaba mejoras para evitar su desinfección, sino que también podía propagarse a través de dispositivos USB y carpetas compartidas con contraseñas débiles, y tenía la capacidad de infectar equipos que hubieran instalado el parche de seguridad que había lanzado Microsoft en octubre de ese mismo año.

Con el paso del tiempo y las variantes que fueron surgiendo, se convirtió en la familia de malware más extendida que se había conocido hasta el momento. Incluso ocho años después de su aparición, seguía siendo una de las más extendidas en todo el mundo.

Hasta hace dos años, este brote de malware había infectado cerca de 11 millones de dispositivos, incluyendo máquinas del Ministerio de Defensa del Reino Unido y de la Bundeswehr (Fuerzas Armadas Unificadas de Alemania).

Las consecuencias económicas de Conficker fueron enormes. Al municipio de la ciudad de Manchester, en Reino Unido, le costó 1,5 millones de libras poder recuperarse de los daños provocados por esta amenaza.

La gravedad de Conficker derivó en que el Departamento de Seguridad Nacional de los Estados Unidos financie la creación de un equipo de trabajo que se llamó “The Conficker Working Group”, en el que participaron miembros de ESET, CISCO, Facebook, Microsoft, entre otros, con el objetivo de investigar su impacto en el largo plazo.

De hecho, el grupo publicó un paper en el que manifestaban su preocupación ya que consideraban que “debidamente instruido, el gusano podía ser una amenaza real para la infraestructura crítica de Internet”.

Y pese a todo el daño que causó y su impacto, no se logró identificar a los responsables detrás de Conficker. Parece ser que el gusano abandonó sus actividades a finales de 2009, aunque todavía sigue siendo un misterio.

Según opinó el especialistas de ESET Aryeh Goretsky, despertó demasiada atención y provocó que toda la industria de la seguridad esté atenta a sus pasos, lo que hizo que sea muy difícil para los actores maliciosos detrás de Conficker que puedan hacer algo para monetizar su amenaza.

El próximo lunes saldrá el último artículo de esta serie sobre malware clásicos, en el que repasaremos lo que a nuestro criterio son dos de las amenazas más importantes de la década del 2010.