Giga. No. 4, 2008 - Editorial Universitaria
Giga. No. 4, 2008 - Editorial Universitaria
Giga. No. 4, 2008 - Editorial Universitaria
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
20<br />
jugador. Un artículo importante para<br />
una etapa determinada del juego<br />
tiene su precio en el mundo real en el<br />
que interviene la ley de la oferta y la<br />
demanda, así como el interés en la<br />
adquisición ilícita de estos valores<br />
virtuales (figura 2).<br />
El acceso a los juegos se realiza<br />
mediante la autenticación con la<br />
combinación de nombre de usuario y<br />
contraseña. Un "jugador" mal intencionado<br />
puede apropiarse de las credenciales<br />
de otro y reemplazarlo o<br />
robar sus "pertenencias virtuales"<br />
para venderlas después. Aquí precisamente<br />
entran en juego los códigos<br />
malignos, aparejados con otras técnicas<br />
como la ingeniería social y el<br />
"phishing".<br />
Según la empresa Kaspersky Antivirus,<br />
la cantidad de servidores piratas<br />
es tan grande que una búsqueda<br />
en Google de la frase "private game<br />
server", realizada en junio del 2007,<br />
obtuvo casi 11 millones de enlaces y<br />
es una de las causas por la que<br />
muchos de los interesados opten por<br />
esta vía a pesar de los riesgos, en<br />
lugar de gastar dinero en su compra<br />
y suscripción. La propia empresa<br />
detectó que el número de programas<br />
nocivos destinados exclusivamente a<br />
los jugadores en línea durante ese<br />
año aumentó en 145% en comparación<br />
con el 2006 y llegó a la conclusión<br />
de que los delincuentes están<br />
más interesados en las contraseñas<br />
[GiGA 4 / <strong>2008</strong>]<br />
softweriando<br />
de los juegos en línea que en las de<br />
correo electrónico, mensajeros instantáneos<br />
o banca en línea.<br />
Precisamente, la funcionalidad principal<br />
de los miembros de la familia<br />
W32.Onlingames, cuyas características<br />
se verán a continuación, es la del<br />
Cuando eliminamos a los monstruos, éstos en ocasiones tiran mesos. Los mesos son<br />
el dinero del juego con el que se puede comprar armas, pociones, ropa, mascotas…<br />
en las tiendas. Para comprar ciertos objetos exclusivos se necesita NX Cash que sólo<br />
se puede comprar con el dinero de curso legal de la tarjeta de crédito.<br />
La cantidad de complementos que se puede adquirir es increíble. Hay de todo lo<br />
que se pueda imaginar (sombreros de bruja, gafas de bucero, tablas de snow, nariz<br />
de payaso, etc). Muchos de estos objetos sólo están disponibles por un tiempo limitado.<br />
Los complementos se encuentran en constante renovación.<br />
Fig. 2. Una de las características del juego MapleStory es el empleo del dinero virtual y la compra<br />
de artículos con dinero real.<br />
robo de esta información de autenticación<br />
en varios de los juegos en<br />
línea más usados. En nuestro medio,<br />
la instalación en las PCs ocurre fundamentalmente<br />
desde las memorias<br />
flash USB y accesos a páginas web en<br />
Internet preparadas al efecto.<br />
Tal como sucede con la mayoría de<br />
los códigos malignos que se propagan<br />
por medio de las flash, cuando<br />
una "infectada" es colocada en el<br />
conector del puerto USB, por defecto<br />
el Sistema interpreta el fichero autorun.inf<br />
presente en el directorio raíz<br />
del soporte de almacenamiento, y<br />
ejecuta el fichero cuyo camino y<br />
nombre se encuentran a la derecha<br />
del signo "=" de los comandos:<br />
Open, shell\open\Command y<br />
shell\nombre variable\Command,<br />
los cuales se hallan a continuación de<br />
la sección [AutoRun], ejemplo:<br />
[AutoRun]<br />
open=dp.cmd<br />
shell\open\Command=dp.cmd<br />
shell\explore\Command=dp.cmd<br />
Combinado con estos comandos, es<br />
posible encontrar un conjunto de<br />
caracteres aleatorios utilizados a<br />
modo de comentarios (siguiendo a<br />
un ";").<br />
En el caso que nos ocupa, el nombre<br />
de este último fichero varía en las<br />
diferentes variantes, y mantiene una<br />
extensión ejecutable, ej: dp.cmd,<br />
w3dn9f.bat, co.com, copetttt.com,<br />
io.com, 9m2ke.exe, h8i.com, mtlhieej.<br />
cmd, ntdelect.com, etc.<br />
Una vez en ejecución crea en el directorio<br />
raíz de las unidades presentes<br />
en la computadora, un fichero autorun.inf<br />
y otro fichero ejecutable con<br />
las características mencionadas antes<br />
y con los atributos de oculto (Hide),<br />
sistema (System) y de sólo lectura<br />
(Read only) para encubrirlos al usuario,<br />
tal como se observa con el uso<br />
del comando "Attrib" en modo línea<br />
de comandos (figura 3) y que adicionalmente<br />
se puede comprobar con el<br />
comando "dir /ah". Este es un síntoma<br />
que puede ser tomado en cuenta<br />
para sospechar de la presencia<br />
de un código maligno que se propaga<br />
por las memorias flash y discos<br />
externos USB.<br />
Fig.3 Atributos de ficheros aurtorun.inf y dp.cmd, creados por el código maligno, ocultos al usuario<br />
al emplear el Explorador (Explorer) de Windows.