Hace varios días venimos observando muchas opiniones de este gusano que es detectado por ESET Smart Security como Win32/Flamer. Su nombre puede variar entre Flamer, Flame y sKyWIper según la fuente.
Debido a la gran repercusión que está teniendo este malware se ha generado mucha especulación al respecto. Por eso, parece interesante aclarar algunos detalles sobre este código malicioso que todavía se encuentran algo difusos. El 28 de mayo pasado, el Centro de Coordinación del Equipo de Respuesta de Emergencias Computacionales (CERT) de Irán, puso a disposición las muestras a algunas empresas fabricantes de software de seguridad para que sean debidamente analizadas. A partir de eso, el Laboratorio de Criptografía y Seguridad en Sistemas de la Universidad de Tecnología de Budapest hizo un interesante análisis sobre la amenaza que es recomendable tener en cuenta. Posterior a estos hechos, comenzó a circular mucha información al respecto en Internet, que podría llevar a la confusión a algunos usuarios. Por esa razón, decidimos desmitificar algunas de esas afirmaciones y aclarar algunos detalles de este polémico gusano:
Flamer es una amenaza nueva.
Falso, esta amenaza ya está hace algunos años activa. No obstante, ahora han aumentado las atenciones hacia ella desde que fue publicada por el CERT de Irán y las respectivas compañías de seguridad. Adicionalmente, comenzaron a aparecer detecciones en determinados países que ya han sufrido ataques cibernéticos dirigidos a sus instalaciones y plantas industriales, lo que lleva a pensar en una evolución de ese malware.
Flamer está relacionado con Stuxnet y Duqu.
En algunos aspectos, ya que existen determinados indicios que llevan a considerar esta teoría. En primer lugar, Flamer sí tiene algunas cosas en común como un diseño modular que le permite agregar o actualizar funcionalidades de forma independiente y en diferentes momentos. Sin embargo, por otro lado, Flamer es capaz de propagarse a través de USB al igual que Stuxnet pero a diferencia de Duqu. Stuxnet, además, se replicaba automáticamente, mientras que Flamer y Duqu no. Por lo tanto, existen una infinidad de características que lo hacen similar a estas dos amenazas y otro tanto que lo hacen una amenaza particular.
Su tamaño es de 20 Mb, lo cual es sensiblemente mayor a las otras amenazas.
Verdadero, tomando todos sus módulos es una amenaza con un tamaño considerable ya que el resto normalmente no supera el megabyte. De hecho, es decenas de veces más grande que otras amenazas como Stuxnet. Esto puede deberse a que tiene mucho código de terceros embebido en su contenido mientras que la mayoría de las otras amenazas no lo hace.
Es el código malicioso más letal de todos los tiempos.
Depende. Es difícil poder determinar esto sin saber realmente cuáles son sus blancos. Es una amenaza que está teóricamente diseñada para el robo de información, sin embargo han aparecido detecciones en diversos países. Desde el Medio Oriente hasta algunos países de Europa del Este. Por lo tanto, lo más razonable sería contar con más información para poder afirmar este hecho.
No podemos protegernos de estas amenazas complejas.
Falso, a pesar de que estas amenazas presentan muchas características de propagación y un nivel de complejidad superior al promedio, existen mecanismos para proteger la información del usuario. En el caso particular de Flamer, se explotan vulnerabilidades conocidas como MS10-061 y MS10-046 y ninguna 0-day. Por lo tanto, existen parches tanto para la primera como para la segunda vulnerabilidad explotada, ya publicados de parte de Microsoft. Adicionalmente, es recomendable la utilización de una tecnología de seguridad que permita detectar esta amenaza antes de que ingrese al sistema para mantener a los usuarios seguros de forma proactiva.
En fin, quedan muchos datos por confirmar acerca de la magnitud de los daños que podría causar esta amenaza y hacia quiénes, por lo cual le recomendamos a todos nuestros usuarios mantener actualizados sus sistemas y antivirus de modo que sus datos no se vean comprometidos. Con respecto a la evolución de esta amenaza, hay cosas que todavía son inciertas sin embargo ya tenemos información suficiente para estar atentos ya que seguramente no se va tratar de una amenaza más en Internet.
Raphael Labaca Castro
Awareness & Research Coordinator