19/08/2005 - Madrid - Los grafos son una forma de representación gráfica utilizada comúnmente en programación para poder entender el flujo de ejecución de los procesos de un programa. Se construyen por medio de nodos, que representan los procesos, y conexiones o ejes, que describen el flujo de ejecución entre los distintos procesos.
Así, los grafos de las principales variantes de los últimos días son los siguientes:
http://www.pandasoftware.com/resources/des/bck_ircbot_JZ.zip
http://www.pandasoftware.com/resources/des/ircbot_KC.zip
http://www.pandasoftware.com/resources/des/ircbot_KD.zip
http://www.pandasoftware.com/resources/des/zotob_A.zip
http://www.pandasoftware.com/resources/des/zotob_B.zip
http://www.pandasoftware.com/resources/des/zotob_C.zip
http://www.pandasoftware.com/resources/des/zotob_D.zip
En el gráfico, se muestra el diagrama de flujo, o grafo, de los procesos llevados a cabo por cada uno de los gusanos, ordenados de forma normalizada, constituyendo la "huella dactilar" o "marca genética" de cada gusano. Esto permite hacerse una idea gráfica de la constitución de los mismos, su complejidad, y la relación que pudieran tener con otras variantes.
Así, en la comparativa entre los distintos grafos de las variantes, es posible ver que mientras las variantes A, B y C de Zotob, causantes de alerta durante el pasado fin de semana, son prácticamente idénticas entre sí, son muy diferentes al resto, que fueron las que causaron las infecciones a lo largo del pasado día 17 de agosto.
Por otro lado, la complejidad de las variantes desplegadas en las últimas 48 horas es sensiblemente mayor, pero de nuevo parece haber dos desarrollos paralelos, una que por un lado constituyeron Zotob.D y IRCBot.JZ, y por otro lado, la constituida por IRCBot.KC e IRCBot.KD, como se puede ver en los grafos. La casi coincidencia de los mismos, dos a dos, indica paralelismos muy fuertes en la constitución de su código, lo que induce a pensar que su desarrollador o desarrolladores son comunes, y por otro lado, diferentes a las primeras variantes de Zotob. Es decir, que pese a que en la práctica la funcionalidad conseguida, a grandes rasgos, es prácticamente idéntica, los códigos fuente de las distintas familias son muy diferentes.
Hay otros datos que apoyan la idea de los tres creadores, como es el hecho de que algunos de ellos incluyan funcionalidad para eliminar aquellos que no son de su "familia". Como ejemplo, Zotob.D incluye funcionalidad para finalizar los procesos asociados con las variantes anteriores, Zotob.A, Zotob.B y Zotob.C.
El hecho de que todos evolucionaran hacia un mismo punto puede deberse a que partieran de un código base común, disponible a partir de pruebas de concepto sobre un exploit para la vulnerabilidad reportada por Microsoft en su boletín MS05-039 la semana pasada, y sobre él, incluyeran modificaciones, como las referidas al modo de propagación (por barrido de IPs) o a la finalización de procesos alternativos.
¿Por qué está afectando a las grandes empresas?
Una de las preguntas que surgen en torno a este ataque se centra en por qué las afectadas han sido grandes empresas. En las últimas horas se ha tenido noticia de que grandes empresas, como CNN, The New York Times, UPS o Caterpillar han sido víctimas de esta infección.
Esto podría deberse a dos motivos: por un lado, debido a la complejidad de la migración de los sistemas informáticos de éstas, son las más proclives a haber mantenido como sistema operativo Windows 2000, el principal damnificado del ataque. No debemos olvidar que pese a que la vulnerabilidad también está presente en sistemas Windows XP y 2003 Server, el aprovechamiento en estos sistemas depende de la concesión de permisos administrativos en los mismos, algo que no es evidente conseguir.
Por otra parte, las grandes empresas, y entre ellas los medios de comunicación (otros de los grandes damnificados), poseen un gran número de trabajadores en movilidad, lo que hace que sea más difícil el control de la seguridad de los mismos una vez que estos retornan a la red corporativa y se conectan junto con el resto del parque informático, habiendo traspasado la protección que brindan los sistemas instalados en el punto de entrada de la red. El hecho de haber afectado a grandes grupos de comunicación también ha beneficiado la notoriedad de este gusano, que es uno de los principales objetivos que persiguen los creadores de este tipo de malware.
"Las infecciones a las que hemos asistido tuvieron éxito por la concurrencia de diversos factores: por un lado, el aprovechamiento de una vulnerabilidad relativamente reciente, y por ello, no solucionada en todos los sistemas. Así mismo, la dificultad de control de los equipos en movilidad puede haber facilitado la propagación." comenta Luis Corrons, director de PandaLabs. "Nuestras Tecnologías TruPreventTM permitieron mantener a los usuarios de las mismas fuera de peligro en todo momento, lo que demuestra la enorme utilidad del uso de las tecnologías proactivas en este tipo de amenazas desconocidas y de rápida propagación".
Los ataques sufridos ayer por diversas empresas y usuarios de todo el mundo, aunque especialmente en EEUU, podrían haber sido dirigidos desde tres fuentes independientes, según revela el análisis de grafos llevado a cabo por PandaLabs. 
