Son arrestados los autores del Mytob y del Zotob
Por Angela Ruiz

Trabajando con las autoridades de Marruecos y Turquía, el FBI anunció el arresto de dos individuos acusados de ser responsables en la creación y distribución de los gusanos Mytob y Zotob, éste último liberado hace apenas dos semanas, y que causara la interrupción de los servicios de numerosas compañías, sobre todo norteamericanas, incluyendo las cadenas de noticias CNN, ABC News, el periódico New York Time, y otros.

Zotob fue detectado desde el principio por NOD32, como una variante de la familia de los Mytob sin necesidad de actualización de su base de firmas, gracias a su heurística avanzada. La similitud de ambos códigos, fue lo que relacionó a los dos autores.

En Rabat, capital de Marruecos, fue arrestado Farid Essebar, de 18 años, nacido en Rusia y nacionalizado marroquí, conocido en las redes como "Diabl0", y acusado de crear el Zotob. Al mismo tiempo en Turquía, era arrestado Atilla Ekici, conocido como "Coder", de 21 años, al cuál se acusa de ser el autor del Mytob.

Los seudónimos utilizados por los dos autores, fueron encontrados en el código del primer Zotob. El gusano se conecta a un servidor de IRC llamado "diabl0.turkcoders.net", y contiene el siguiente texto de agradecimiento: "Greetz to good friend Coder" (agradecimientos al buen amigo Coder). Diabl0 está asociado también al código de otras variantes del Mytob.

Con la ayuda de las autoridades marroquíes, el ministro del interior turco y la policía nacional de ese país, y la asistencia de Microsoft, estos individuos fueron arrestados el viernes 26, sin mayores incidentes.

"En el mundo actual de sofisticadas tecnologías, los cibercriminales necesitan muy pocas herramientas para llevar a cabo sus crímenes. Con unos pocos golpes en el teclado y un clic de ratón, un código malicioso puede esparcirse instantáneamente a través de las redes de computadoras, causando daños y significativas pérdidas económicas en todo el mundo", dijo Louis M. Reigel III, director asistente de la "Cyber División" del FBI. 

"En el FBI nosotros enfrentamos este problema, formando un equipo con nuestros más hábiles investigadores cibernéticos, y otros del país, y las agencias encargadas de aplicar las leyes internacionales, así como compañías del sector privado, incluyendo a Microsoft y a varios miembros de la comunidad de antivirus. La rápida resolución de este asunto, es el resultado directo de una efectiva coordinación, y sirve como ejemplo de lo que podemos lograr al trabajar todos juntos".

La investigación del FBI comenzó apenas se supo del impacto que el Zotob tuvo. Aunque el código del gusano mostraba una amenaza a los fabricantes de antivirus (en inglés, decía algo como "el primer antivirus que detecte este gusano será el primero en ser asesinado en las próximas 24 horas"), ninguna de estas compañías sufrió un ataque directo.

Brad Smith, vicepresidente senior de Microsoft, felicitó a las autoridades turcas y marroquíes, y al FBI "por encontrar y arrestar tan rápidamente a los presuntos distribuidores de gusanos como el Zotob y otros."

Smith también comentó que estos arrestos, "demuestran el valor de la colaboración entre las fuerzas públicas y privadas, el trabajo de investigación de primer nivel realizado por las autoridades durante las 24 horas del día, y el apoyo técnico e investigativo proporcionado por nuestro equipo especializado en las investigaciones del crimen en Internet, aquí en Microsoft. Los resultados muestran claramente que los cibercriminales pueden ser identificados y arrestados, y deberán hacerse responsables de sus acciones".

El Zotob es un gusano que ataca a equipos basados en Windows 2000 principalmente. El gusano es capaz de abrir una puerta trasera en Windows 2000, y explotar la vulnerabilidad de Microsoft Windows ocasionada por un desbordamiento de búfer en el componente Plug and Play, descripta en el boletín de seguridad MS05-039.

Estas detenciones, sin embargo, no aseguran que no surjan nuevas variantes de esta familia de gusanos, ya que su código está basado en un exploit público. Algunos especialistas incluso afirman que el código del Zotob podría ser modificado sin mayores problemas para atacar también a equipos con Windows XP (actualmente solo Windows 2000 es afectado sin la intervención directa del usuario). Sin embargo, esto no debería tener el mismo impacto que el primer ataque, ya que una de las principales razones del éxito inicial del gusano, fue que apareció a los pocos días de haberse publicado el parche, y de haber sido hecho público el exploit para dicha vulnerabilidad.

Reigel y Smith dijeron que la investigación continúa, y que es demasiado temprano para discutir los motivos para los ataques de las últimas semanas, en que múltiples variantes del Zotob y otros gusanos y troyanos relacionados, se concentraron en el problema del Plug and play de Windows 2000. El parche fue liberado por Microsoft el 9 de agosto, y apenas cuatro días después apareció Zotob.

Smith dijo que el equipo de investigación de crímenes en Internet de Microsoft, inició la investigación junto a las fuerzas de la ley y el orden, apenas se detectó el gusano, proporcionando información técnica y apoyo analítico al FBI, quien luego compartió esto con la inteligencia marroquí y las autoridades turcas.

Aunque parece que ambos autores trabajaron juntos, no hay evidencia de que lo hayan hecho cara a cara. Su colaboración fue vía Internet, y el arrestado en Turquía, inicialmente no fue implicado en la escritura del código del Zotob. Reigel comentó que la extradición de ambos jóvenes a los Estados Unidos es poco probable en este punto. "Ambos países (Marruecos y Turquía), presentarán cargos a estos individuos," dijo. "El FBI proporcionará toda la evidencia necesaria para que ellos sean procesados en sus propios países."

(c) Video Soft
(c) VSAntivirus