Aunque no se descarta que el estudiante alemán de 18 años lanzara el virus Sasser-E poco antes de ser capturado por la Policía, algunos expertos se inclinan por la posibilidad de que exista una red de creadores de virus fuera de Alemania. Sin embargo, Microsoft cree que el joven desarrolló Sasser-E, al igual que otras variantes, y lo lanzó prácticamente a la vez que se produjo su arresto.
Los expertos en antivirus cuestionan la autoría del alemán en la nueva variante del virus porque de haber sido él lo tendría que haber lanzado antes de su detención. F-Secure supo de la existencia de Sasser-E diez horas después de su aparición, pero sabe de informes que la sitúan casi cuatro horas después del arresto, demasiado tiempo para que un virus circule por la Red sin ser descubierto.
“Es posible que alguien más lanzara la nueva variante para probar que él no es el único, que ese chico haya escrito varias versiones de Sasser pero no todas, o que haya admitido su culpa para proteger a alguien”, opina Mikko Hyppönen, jefe de investigación de antivirus de la firma F-Secure.
Por su parte, Symantec no recibió una copia de Sasser-E hasta la una del mediodía del pasado domingo, casi dos días después del tan comentado arresto. La compañía no dispone de suficientes datos para confirmar si hay múltiples autores detrás del gusano. No obstante, el número de variantes del gusano llevó a Symantec a pensar en la posibilidad de que hubiera un grupo de escritores de virus detrás de Sasser y Netsky, antes de que se cogiera a su presunto autor.
F-Secure también asumió la existencia de un grupo de trabajo, probablemente ubicado en Rusia. “Nos sorprendió que se tratase sólo de un chico y que no estuviera en Rusia”, asegura Hyppönen.
Microsoft continua investigando Sasser y no descarta la posibilidad de que haya más implicados. “Es posible que haya más arrestos, pero creemos que la Policía alemana cogió a su hombre el viernes”, insiste Smith.
Aparece un nuevo gusano: Cycle.A
La proliferación de virus en el ciberespacio continúa, a pesar de que las autoridades alemanas hayan dado con el autor de uno de los mayores gusanos de todos los tiempos.
En este sentido, Panda Software ha detectado la aparición de un nuevo gusano denominado Cycle.A que, al igual que Sasser y sus variantes, hace uso de la vulnerabilidad LSASS de Windows para propagarse rápidamente e infectar los equipos a través de Internet.
Según esta compañía, el autor del virus se hace llamar Cyclone y dice ser iraní. En el texto encontrado dentro de su código se refiere a la situación política y social de su país. El contenido íntegro de dicho mensaje se encuentra en
www.pandasoftware.es/virus_info/enciclopedia.
Para realizar sus acciones, Cycle.A intenta acceder a los equipos a través del puerto de comunicaciones TCP 445 para comprobar si son vulnerables, de ser así el propio ordenador descarga una copia del gusano con el nombre Cyclone.Exe, pero esto sólo ocurrirá si se encuentra instalada en el sistema de aplicación TFTP.EXE.
Para evitar que Cycle.A, Sasser y sus variantes infecten un equipo, se debe instalar el parche que Microsoft ha publicado y que se puede descargar desde
www.microsoft.com/technet/security/bulletin/MS04-011.mspx
