Un envío anónimo revela el nombre del autor del Sobig

l anuncio fue publicado en forma anónima el pasado 30 de octubre de 2004, mostrando un enlace a un archivo en formato PDF conteniendo las 48 páginas de un análisis forense técnico, donde se explican los pormenores de la investigación que llevan a identificar al supuesto autor del virus.

Sobig es un gusano de muy rápida propagación que hizo su aparición por primera vez, en enero de 2003. Casi desde el comienzo, la mayoría de los expertos coincidieron en que las técnicas utilizadas en él, no eran las que emplearía un simple escritor de virus adolescente.

Para muchos, detrás del Sobig se escondían personajes del crimen organizado, en busca de las ganancias proporcionadas por el spam. Por ejemplo, cada máquina infectada, podía convertirse en un emisor de correo con publicidad no deseada.

Los problemas causados por el Sobig, al principio no fueron valorados en toda su magnitud. Por ejemplo, el gusano estuvo a punto de llevar casi al colapso a una central nuclear en los Estados Unidos.

Además, cada versión demostraba un trabajo poco común del autor, en busca de nuevas técnicas o procedimientos, inclusive creando una intensa expectativa por la actividad anunciada específicamente para determinados días, lo que puso a muchos organismos en alerta máxima. Cada versión del Sobig permitió al autor obtener no solo más experiencia, sino información, al mismo tiempo que mejoraban sus técnicas para enviar spam. También le permitieron estudiar las formas más prácticas para eludir las técnicas usadas para bloquearlo.

El documento ahora divulgado, fue anunciado en forma anónima, en varias listas y foros públicos, como en Slashdot (http://it.slashdot.org/it/04/11/01/1410229.shtml?tid=220), pero con enlaces a otros sitios, como http://authortravis.tripod.com, desde donde aún se puede descargar el PDF.

Según el informe, el Sobig es un virus especialmente diseñado para ayudar a mantener en el anonimato a los spammers. Sobig habilita los servicios necesarios para el reenvío anónimo de correo electrónico.

"Aunque públicamente el motivo y el autor del virus sean desconocidos, usando técnicas forenses y estudio de perfiles, hemos identificado a un sospechoso y un motivo muy probables", dice el artículo. "Nuestra investigación indica que el autor es Ruslan Ibragimov de Moscú, Rusia, tal vez junto a un equipo de desarrollo."

Ibragimov es el autor de un programa llamado Send-Safe, una herramienta especialmente diseñada para el envío masivo de correo no solicitado. Incluso un grupo específico de spammers que utiliza Send-Safe realizan reenvíos a través de equipos infectados por el Sobig.

El extenso informe desmenuza estas coincidencias y muchas otras, haciendo técnicamente creíble la investigación y los resultados.

Sin embargo, comete errores como indicar como fecha de aparición del gusano el 18 de agosto de 2003, cuando esa corresponde a la aparición de la versión "F" del gusano. El Sobig "A" fue descubierto el 9 de enero del mismo año.

Los autores, identificados solo por una llave pública PGP, liberaron este informe haciéndolo coincidir con el aniversario del programa de recompensas Anti-Virus, creado el pasado 5 de noviembre de 2003 por Microsoft en coordinación con el FBI e Interpol, junto a otros organismos estatales norteamericanos. Sin embargo, los investigadores aclaran que su estímulo no eran los $250.000 ofrecidos. Microsoft hasta este momento no ha hecho comentarios acerca del artículo.

Más información:

So, Who Wrote Sobig?
http://it.slashdot.org/it/04/11/01/1410229.shtml?tid=220

Who Wrote Sobig?
http://www.geocities.com/author_travis/
http://www.geocities.com/author_travis/WhoWroteSobig.pdf

Who Wrote Sobig?
http://authortravis.tripod.com/
http://authortravis.tripod.com/WhoWroteSobig.pdf