El mediático troyano de la tormenta y las lecciones no aprendidas

Lo oportuno del asunto original con el que aparecía en los buzones (haciendo referencia a la tormenta que ha azotado Europa), ha provocado que muchos usuarios lo ejecuten y queden infectados. Resulta llamativa su capacidad de infección teniendo en cuenta que “Storm” es un malware con un método de infección “de manual”, tradicional y sin ninguna capacidad técnica que llame la atención.

El viernes F-Secure alertaba de una rápida propagación de un troyano llamado por algunas casas Small.DAM (más conocido como “Storm”), que llegaba a través del correo electrónico. En la noticia publicada (acompañada de un mapa del mundo muy vistoso) se podían seguir a través de luces parpadeantes la velocidad de infección del malware en cuestión.

Técnicamente hablando Small.DAM no aporta nada nuevo, ni en su técnica de expansión ni en su daño potencial: Es una variante de Small, es un “downloader” para sistemas Windows, instala un nuevo servicio y tiene propiedades de puerta trasera con lo que el sistema quedaría a disposición de, probablemente, un operador de botnet. Nada que destacar hasta el momento.

La versión original detectada el viernes 19 de enero se propagaba a través del correo, en un archivo adjunto ejecutable para sistemas Microsoft (.exe) y con asuntos como:

* 230 dead as storm batters Europe (230 muertos en una tormenta que arrasa Europa)

* Saddam Hussein alive! (¡Saddam Hussein vivo!)

Y adjuntos con la carga maliciosa con nombres como:

* Full Clip.exe

* Full Story.exe

* Read More.exe

* Video.exe

Un ejemplo “de libro” sobre ingeniería social sencilla a la hora de intentar engañar a los usuarios. Este virus no ha necesitado aprovechar ningún tipo de vulnerabilidad, esconderse bajo extensiones aparentemente inofensivas, ni partir de una familia previamente no detectada de malware. Simplemente, ha usado una noticia actual y suficientemente morbosa (la promesa de un vídeo sobre los que han sufrido mortalmente el temporal o la hipótesis de un dictador vivo cuando medio mundo ha presenciado su ejecución) para conseguir cierto éxito y propagarse sin dificultad. Una muestra más del eslabón más débil de cualquier cadena de seguridad: el usuario.

Ante el éxito, la pista se pierde. En las últimas horas han aparecido decenas de variantes, con nuevos asuntos, adjuntos y carga vírica. En sus últimos análisis, se observan inclusos comportamientos de rootkit para ocultarse en el sistema.

Las últimas actualizaciones de la mayoría de los antivirus están añadiendo a marchas forzadas firmas para detectar las muchas variantes producidas. Se recomienda en cualquier caso, aplicar el sentido común y no ejecutar archivos ejecutables no solicitados. Si los administradores todavía no lo han hecho, se deberían descartar los archivos ejecutables a nivel de pasarela de correo.

Sorprende (y decepciona) que acudir a técnicas de propagación tradicionales y carentes de imaginación como este malware (que confía sólo en el poder de un asunto llamativo para su propagación), resulte exitoso a estas alturas. Es una lección que, por repetición desde hace ya muchos años, creíamos aprendida