Un virus infecta en dos d¨ªas m¨¢s de 200.000 ordenadores en Espa?a

Semana negra en la Red. Tras la aparici¨®n de los virus Blaster y Nachi, ahora le ha llegado el turno a Sobig.F, un virus que en menos de 48 horas ha superado todos los r¨¦cords de propagaci¨®n en Internet. En Espa?a, por ejemplo, s¨®lo entre el martes y el mi¨¦rcoles infect¨® unos 200.000 ordenadores, seg¨²n el Centro de Alerta Temprana (CAT), del Ministerio de Ciencia. El Sobig.F, que ha sembrado la alarma en otros 29 pa¨ªses, se transmite por correo electr¨®nico (con texto en ingl¨¦s) y las carpetas compartidas en redes de Microsoft. Aunque no destruye el sistema operativo, s¨ª que puede abrir una puerta trasera en el ordenador que permite, desde el exterior, el robo de sus contrase?as e informaci¨®n.

La semana pasada, el virus Blaster desataba las alarmas en el campo inform¨¢tico. Esta semana le ha tocado el turno a Sobig.F, la ¨²ltima mutaci¨®n de un virus aparecido a finales de mayo. El resultado, con millones de ordenadores afectados en el mundo, representa una de las mayores epidemias conocidas en Internet y pulveriza los efectos del Blaster (que infect¨® en todo el mundo a la mitad de ordenadores que el Sobig.F en Espa?a).

Por fortuna, el virus no es destructivo y s¨®lo se reproduce, enviando copias a otros internautas. Desafortunadamente, esta aseveraci¨®n puede cambiar en cualquier momento a voluntad del creador del virus, gracias a un sistema de actualizaciones similar al que emplea Windows para instalar nuevos componentes del sistema.

El virus, de hecho, s¨®lo afecta a los sistemas operativos de la familia Windows (95, 98, ME y XP), as¨ª como al NT y 2000, que tambi¨¦n pertenecen a Microsoft. Sus v¨ªas de propagaci¨®n son el correo electr¨®nico y tambi¨¦n los recursos compartidos en redes de Microsoft (por lo que puede afectar a las redes internas de las empresas).

Sobig.F afecta a estos sistemas operativos pero no los da?a. Por ello el CAT y varias empresas antivirus califican el da?o que ocasiona este virus de mediano. En cambio, la difusi¨®n y la dispersabilidad del virus es considerada alta por el CAT.

El correo electr¨®nico en el que se oculta el virus viene con el asunto escrito en ingl¨¦s (ver el gr¨¢fico) y generalmente el remitente es una persona de confianza, que previamente ha sido infectada. Si el mensaje se abre, se instala en el sistema de recepci¨®n. Entonces utiliza las direcciones del correo del usuario reci¨¦n infectado para reenviarse y extenderse.

A parte de este comportamiento, el Sobig.F es capaz de abrir una puerta trasera en el ordenador infectado que permite el robo de contrase?as y la destrucci¨®n de datos. Esta ¨²ltima t¨¦cnica no es nueva. Ya hace tres a?os el virus Hybris la desarroll¨® por primera vez. Unos peque?os m¨®dulos de c¨®digo, bautizados como muecines, se encargaban de llamar a todas las copias del virus en cada luna llena, con el fin de suministrarles nuevas caracter¨ªsticas v¨ªricas. Sobig.F efect¨²a la misma tarea, abriendo cinco puertos (del 995 al 999) en las m¨¢quinas que infecta; a trav¨¦s de estos canales de comunicaci¨®n, el virus es capaz de recibir comandos enviados ex profeso por su autor, generalmente en forma de direcciones web desde las que puede descargar archivos de actualizaci¨®n para mejorar su c¨®digo, dificultar su desinfecci¨®n, o a?adir funciones in¨¦ditas. Entre estas funciones podr¨ªa incluirse el robo o la eliminaci¨®n de informaci¨®n.

Desinfecci¨®n

Es por ello que el CAT recomienda extremar las medidas de precauci¨®n y desconfiar sistem¨¢ticamente de cualquier archivo adjunto no solicitado. Los usuarios infectados pueden acudir a la p¨¢gina web del CAT (www.alerta-antivirus.es) donde se proporciona informaci¨®n sobre los m¨¦todos a seguir para eliminar el virus y donde diariamente se actualizan los datos sobre los diferentes virus existentes y sus m¨¦todos para combatirlos. Los inform¨¢ticos recuerdan la necesidad de actualizar los antivirus y de instalar los parches de seguridad necesarios para tapar las vulnerabilidades por las que se introducen los virus. Sobig.F, como otros virus, tiene fecha de caducidad. El 10 de setiembre se autodesactivir¨¢.

El presidente de la Asociaci¨®n de Internautas, V¨ªctor Domingo, se?al¨® ayer que con las ¨²ltimas alertas de virus lo que se est¨¢ consiguiendo es que los usuarios protejan mejor sus equipos.