En el año 2003 sucedieron dos ataques globales que podrían considerarse los mayores de la historia de Internet. El gusano Slammer fue la base de los ataques y usó una vulnerabilidad del servidor MSSQL para propagarse. Slammer fue el primer gusano “fileless” clásico, que aplicaba perfectamente las cualidades de un gusano flash, lo cual había sido pronosticado muchos años antes.
El 25 de Enero del 2003, en sólo unos pocos minutos este gusano infectó cientos de miles de computadoras a nivel mundial, aumentando el tráfico de red a tal punto que varios segmentos nacionales de Internet se desplomaron. Los expertos estiman que el tráfico aumento entre un 40% y un 80% en varias redes. El gusano atacaba los puertos 1433 a 1434 al ingresar en los equipos. Si bien no realizaba una autocopia en ningún disco, sí se instalaba en la memoria RAM. Si analizamos la dinámica de esta epidemia, podemos asegurar que el gusano fue originado en el lejano este.
La segunda epidemia más importante fue causada por el gusano Lovesan, que apareció en agosto de 2003. Este malware demostró lo frágil que era Windows en aquél entonces. Lovesan explotaba una vulnerabilidad en Windows con el fin de replicarse a sí mismo. La diferencia que Lovesan tuvo con Slammer es que el primero utilizaba una falla en el servicio DCOM RPC presente en Windows 2000 / XP. Esto llevó a que casi todos los usuarios de Internet fueran atacados por este gusano.
En cuanto a los virus que penetraban en las nuevas plataformas y aplicaciones, el año 2003 fue sorprendentemente tranquilo. La única noticia fue el descubrimiento de MBP.Kynel, por parte de Kaspersky Lab. Este virus infectó documentos de MapInfo y estaba escrito en MapBasic. El virus MBP.Kynel, sin duda, fue creado por un ruso.
El 2003 fue un año de epidemias incesantes provocadas por gusanos de emails. Ganda y Avron se detectaron por primera vez en enero. El primero fue escrito en Suecia y sigue siendo uno de los gusanos de correo electrónico más extendidos en los países escandinavos, a pesar de que la policía sueca detuvo al autor de esta amenaza a finales de marzo.
Avron, en tanto, fue el primer gusano que se creó en la antigua URSS y era capaz de causar una epidemia mundial significativa. El código fuente de este gusano se publicó en Internet y esto produjo la aparición de una serie de versiones menos severas.
Otro acontecimiento importante en 2003 fue la aparición del primer gusano Sobig en enero. Todos los gusanos de esta familia causaron brotes de virus significativos, pero fue la versión ‘F’ la que rompió todos los récords. Sobig.f se convirtió en el gusano más ampliamente distribuido en el tráfico de red en la historia de Internet. En el pico máximo de la epidemia, Sobig.f -que fue detectado por primera vez en agosto- se podía encontrar cada 20 mensajes de correo electrónico. Los hackers que crearon la familia Sobig tenían como objetivo crear una red de máquinas infectadas para llevar a cabo ataques de denegación de servicio (DoS) y de mensajes spam.
La aparición del gusano de correo electrónico Tanatos.b también fue un acontecimiento notable. La primera versión de Tanatos fue escrita a mediados del 2002, pero la versión “b” apareció sólo un año después. El gusano explotaba la vulnerabilidad IFRAME presente MS Outlook para iniciarse automáticamente desde los mensajes infectados. Tanatos causó una de las epidemias de correo electrónico más importantes de 2003, viniendo en segundo lugar a la causada por Sobig.f, que probablemente tiene el récord de más equipos infectados por un gusano de correo electrónico.
Los gusanos de la familia Lentin siguieron apareciendo en 2003. Todos estos gusanos fueron escritos en la India por un grupo local de hackers, como parte de la “guerra virtual” entre hackers indios y paquistaníes. Las versiones más difundidas de Lentin eran la ‘m’ y la ‘o’, donde el virus se replicaba en forma de un archivo ZIP adjunto a los mensajes infectados.
Los creadores de virus rusos también permanecieron activos; el segundo gusano de la antigua URSS que también causó una epidemia mundial fue Mimail. Este gusano utilizaba la última vulnerabilidad de Internet Explorer para activarse. La falla permitía extraer el código binario de los archivos HTML para luego ejecutarlo. Esta vulnerabilidad fue aprovechada por primera vez en Rusia en mayo de 2003 (Trojan.Win32.StartPage.l) Después de esto, este bug fue utilizado por la familia Mimail y varios otros troyanos. Los autores del gusano Mimail publicaron el código fuente en Internet, lo que llevó a la aparición de nuevas variedades del gusano en noviembre de 2003.
Septiembre fue el mes de I-Worm.Swen, que se disfrazaba de un parche de Microsoft con el objetivo de infectar varios cientos de miles de computadoras en todo el mundo, permaneciendo hasta la fecha como uno de los gusanos electrónicos más propagados a nivel mundial.
El autor de este virus se aprovechó del temor latente de los usuarios que aún permanecían nerviosos luego de las epidemias de Lovesan y Sobig
En 2002, la tendencia de los ataques viró hacia el aumento del número de troyanos backdoor y espías y esto continuó también en 2003. En esta categoría, Backdoor.Agobot y Afcore fueron los más notables. En la actualidad, hay más de 40 variedades de Agobot en existencia ya que el autor de la versión original creó una red de sitios web y canales de IRC en donde cualquiera podía por un precio de $150, convertirse en propietario de una versión “exclusiva” de este Backdoor, que sería creada conforme a los deseos del cliente.
Afcore fue ligeramente menos extendido, sin embargo con el fin de enmascarar su presencia en los sistemas, este virus utilizaba un método inusual: se colocaba en los sistemas de archivos adicionales de NTFS, es decir, en el catálogo y no el sistema de archivos.
Una nueva y potencialmente peligrosa tendencia fue identificada a finales de 2003. Se trató de un nuevo tipo de troyano llamado TrojanProxy. Esta fue la primera y más clara señal de que los creadores de virus y los spammers comenzaban a unir fuerzas. Los spammers empezaban a utilizar los equipos infectados por los troyanos para realizar ataques de spam masivos. También quedó claro que los spammers participaron en una serie de epidemias de malware que se propagaron gracias a la tecnología de spam.
Los gusanos de Internet constituyeron la segunda clase más activa de virus en el año 2003; especialmente los I-Worms que se replicaban al apoderarse de las contraseñas
de los recursos de red. Como regla general, estos gusanos estaban basados en los clientes de IRC y escaneaban las direcciones de los usuarios de esta plataforma. Intentaban penetrar en los equipos de los usuarios utilizando el protocolo NetBIOS y el puerto 445. Uno de los virus más notables de esta clase fue la familia de gusanos Randon.
Durante todo el 2003, los gusanos de Internet siguieron siendo el tipo dominante de software malicioso. Los virus de macro como Macro.Word97.Saver quedaron en segundo lugar. Sin embargo, los troyanos reemplazaron a los virus tradicionales en el otoño, y esta tendencia continuó hasta hoy.