El gusano "Stration" hace crecer los niveles de spam

l gusano Stration, también conocido con el nombre de Warezov, ha sido el tópico número uno en las listas de las firmas antivirus por casi tres meses, pero hasta ahora, no se ha dicho que, en caso de ocurrir una infección, el gusano espera 6 horas antes de realizar una tarea diferente a la que mencionan la mayoría de las descripciones conocidas del mismo.

Según iDefense, el Stration comienza entonces a enviar cantidades masivas de correo basura, con publicidad de productos como Viagra y otros.

"Muchos vendedores de antivirus han estado diciendo que Stration no tiene una carga maliciosa secundaria," dice Mike La Pilla, un analista de iDefense. "Pero sí la tiene. El gusano espera exactamente seis horas antes de contactarse con diferentes sitios de Internet, y descargar un troyano que comienza a enviar correo electrónico."

Si un usuario ejecuta el archivo adjunto al mensaje original, un pequeño troyano del tipo downloader es lanzado, e intenta conectarse a un determinado dominio para descargar otras versiones del gusano. El Stration, en su momento, envía las direcciones electrónicas capturadas en el sistema infectado, a otros sistemas en otros dominios. Solo más tarde intentará conectarse a un segundo dominio para descargar el "spam bot" (robot para el envío de spam).

El Stration ha sido señalado por muchos analistas, como el culpable del explosivo aumento de la tasa de correo basura de los últimos meses, y del gran número de "bots" detectados en Internet.

El enfoque de los dos dominios del Stration, ha sido lo suficientemente sofisticado como para engañar a gran parte de los vendedores más grandes de antivirus. iDefense se refiere también a otras características del Stration que han sido descuidadas, como por ejemplo, que el gusano también es capaz de propagarse por ICQ.

El gusano no solamente recoge direcciones de correo electrónico, sino también listas de contactos de ICQ que pueda encontrar en las computadoras infectadas. La mayor parte de las infecciones a través del ICQ se dan en países como Rusia, Estonia, Lituania, y otros similares, en gran medida debido a que el mensajero instantáneo es muy popular en Europa del Este.

Pocos antivirus advirtieron esta faceta del Stration. La Pilla dice que las excepciones son Grisoft, una compañía establecida en la república checa, que vende la línea AVG, y ESET, la compañía eslovaca que produce NOD32.

El ISC (Internet Storm Center del SANS Institute), relacionó la rápida subida en los niveles del correo basura en octubre, con un considerable salto en el número de sistemas infectados, lo que coincide con la circunstancial conexión entre el Stration y su envío de spam.

"En los últimos meses, el número de proveedores de Internet infectados, ronda el millón por día. El pasado 18 de octubre ese número trepó a casi 1.8 millones, esto coincide con un dramático incremento en el spam," publicó este martes el ISC.

"El Stration, con sus constantes cambios, intenta mantenerse siempre un paso adelante de los antivirus," dice La Pilla. "Cuando usted abre el adjunto, ejecuta un troyano que descarga una nueva versión del gusano. No es el gusano propiamente dicho lo que recibe."

Eso puede hacer que cuando usted abra el correo a determinada hora del día, descargue una versión vieja del gusano, pero si lo hace más tarde, tal vez descargue la versión más reciente, que no siempre podrá ser detectada por su antivirus, aunque el mismo esté actualizado. Es evidente que el enfoque de una detección proactiva antes que reactiva, es fundamental en este tipo de amenazas.