Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Cómo se descubrió a los autores del Goner
 
VSantivirus No. 521 - Año 6 - Martes 11 de diciembre de 2001

Cómo se descubrió a los autores del Goner
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


La clave para dar con la pista y posterior arresto de los autores del virus Goner, involucró a una decena de personas, en dos continentes, las que llevaron a cabo las investigaciones necesarias para que la justicia diera en un tiempo récord (comparado con otros virus), con los culpables, los que resultaron ser cuatro adolescentes israelitas.

La principal clave para comenzar, la dio el mensaje que presenta el gusano cuando se ejecuta el supuesto salvador de pantalla que lo contiene (GONE.SCR). Esto fue complementado con el rastreo de una de las acciones del virus, la cuál lo lleva a conectarse al canal de IRC #pentagonex. La idea de sus creadores tras esto último, era controlar al gusano para iniciar ataques de negación de servicio (D.o.S).

Expertos de seguridad que forman parte de un equipo que trabaja para el servidor de IRC usado por los autores del virus para esta acción (DALnet), utilizaron estas pistas para localizar a estos últimos.

Lo primero que identificaron, fueron los intentos de generar los ataques de negación de servicio, los que controlados desde el canal #pentagonex, estaban dirigidos al IRC de una empresa rival de DALnet.

Un ataque de D.o.S (Denial of Service, o negación de servicio), es una rápida sucesión de solicitudes de servicio, que al no poder ser respondidas por la computadora o servidor al que van dirigidas, van disminuyendo paulatinamente su rendimiento.

Bloqueada esta posibilidad ante la primer señal de alarma, los expertos empezaron a examinar las evidencias.

La primera de estas, fue el mensaje que el gusano muestra al ejecutarse, aparentemente del autor a sus amigos:

"Pentagone - coded by: suid. tested by ThE_SKuLL and [satan]. greetings to: TraceWar, k9-unit, stef16, ^Reno. Greetings also to nonick2 out there where ever you are."

Allí se mencionan varios alias o nicks (apodos), usados por los involucrados al relacionarse a través de Internet: suid, ThE_SKuLL, [satan], TraceWar, k9-unit, stef16, ^Reno y nonick2.

Una comprobación de los logs de acceso al IRC en busca de estos nombres, sus direcciones IP (las direcciones desde las que se conectaban), y su relación con el acceso al canal de chat #pentagonex para tomar el control de las máquinas infectadas, dio una primera pista que llevaba hacia un proveedor de servicios de Internet en Israel.

Las pruebas obtenidas demostraban que el que firmaba como autor del virus (Suid), además de estar suscrito a una cuenta de línea digital en su país (DSL), utilizaba varias computadoras (hackeadas) alrededor del mundo para intentar ocultar su verdadera ubicación. Esta información fue enviada por DALnet al CERT (Computer Emergency Response Team) de Estados Unidos, siendo notificado entonces el FBI, el que alertó al escuadrón especializado en este tipo de crímenes de la policía israelí.

De todos los nombres involucrados al principio, solo cuatro de ellos tenían acciones en común con relación a la difusión del virus y los intentos para controlarlo a través del canal de IRC ya mencionado. Estas cuatro personas resultaron ser estudiantes secundarios, cuyas edades oscilan entre los 15 y los 16 años, los cuáles fueron arrestados en la ciudad norteña de Nahariya en Israel, el viernes 7 de diciembre, apenas 4 días después de la primera detección del gusano.

Los cuatro admitieron inmediatamente su culpabilidad, y se exponen ahora a penas de prisión que van de 3 a 5 años, según las leyes aprobadas en Israel en 1995.

Goner es un virus bastante simple en su forma de actuar, pero contiene algunos trucos sucios que incluyen la desactivación y borrado de antivirus y aplicaciones de cortafuegos personales, además de poderse propagar vía ICQ y correo electrónico (Outlook y Outlook Express).

A pesar de haber sido una gran plaga en mucho países, no lo ha sido tanto en aquellos de habla española (incluida España según los últimos informes). Tal vez, por estar el mensaje en inglés, fue menos tentador para que los usuarios abrieran el adjunto, lo cuál provoca la infección.

Expertos como Graham Cluley, de Sophos, advierten que aunque se hayan atrapado a los culpables de la creación de este gusano, el mismo continuará haciendo daños, porque como cualquier virus, una vez liberado, se seguirá propagando a través de usuarios infectados. Uno solo de estos usuarios que envíe un mensaje infectado, continuará la infección por largo tiempo.

Por otra parte, a la hora de fijar una sentencia basada en los daños causados por el virus, el hecho de que estos daños continuarán sucediéndose, crea una situación aún más difícil para quienes tienen la misión de aplicar la sentencia.

Los adolescentes, incluso podrían recibir cargos en su contra por el uso ilegal de los sistemas remotos que usaron para intentar ocultar su identidad, todos ellos proveedores norteamericanos. Esto último no ha sido confirmado.

A pesar de las edades de los involucrados, son muchos los que esperan que las penas sean ejemplares, para disuadir a otros creadores de virus en el futuro. Hasta ahora, en la mayoría de los casos más recientes, los jueces y fiscales han sido bastante benignos en sus sentencias.

Relacionados:

VSantivirus No. 519 - 9/dic/01
Capturados los culpables de crear y liberar al Goner
http://www.vsantivirus.com/09-12-01a.htm

VirusAttack!
Jóvenes israelíes confiesan ser los autores del W32/Goner
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=125

VSantivirus No. 515 - 5/dic/01
W32/Goner.A. Elimina software antivirus y cortafuegos 
http://www.vsantivirus.com/goner-a.htm

VSantivirus No. 515 - 5/dic/01
El gusano Goner podría ser una alarma exagerada
http://www.vsantivirus.com/05-12-01.htm

VirusAttack! - W32/Goner, un gusano elitista
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=123



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS