Es probable que en más de una ocasión hayas encontrado comentarios extraños en algunos vídeos de YouTube. El spam puede tomar formas inesperadas, y existen mensajes que en verdad no tienen sentido… para un humano. Tras dos años de estudio, la gente de F-Secure publicó información sobre Janicab, una variante de malware que se comunica con sus servidores de control y comando a través de comentarios falsos en YouTube.
Lo primero que piensan muchos usuarios cuando se habla de malware es que no poseen nada que valga la pena ser robado. Sin embargo, robar información es apenas una de muchas actividades que puede llevar a cabo un software malicioso. Secuestrar una casilla de correo para enviar spam, convertir al ordenador en el zombie de un bot, inyectar publicidades y tomar como rehén a datos personales son acciones que tal vez no tengan mucho impacto en lo individual, pero cuando entran millones de usuarios a la ecuación, el resultado cambia por completo. Otra habilidad que han desarrollado ciertas variantes de malware es utilizar la infraestructura de grandes servicios, como por ejemplo las redes sociales. Facebook y Twitter deben combatir día a día contra el spam malicioso, pero el caso de Janicab, publicado por F-Secure, traslada su interés a YouTube.
En el servicio aparecieron pequeños vídeos de prueba, con comentarios que adoptan un formato similar a «our 49741276945318th psy anniversary». La presencia de estos extraños comentarios también se ha extendido a Google Plus, y sin mayores datos disponibles, no parecen otra cosa más que spam generado por un bot errático. Lo que descubrió la gente de F-Secure es que el número en el comentario esconde la dirección IP cifrada de los servidores de control y comando vinculados a Janicab. F-Secure explica que el ingreso de Janicab a un ordenador con Windows se realiza vía CVE-2012-0158, un desbordamiento de búfer en los controles ListView y TreeView del archivo MSCOMCTL.OCX, el cual se dispara con un archivo .DOC o .RTF hecho «a medida» y abierto en Office 2003, 2007 y 2010. Esta vulnerabilidad fue corregida por Microsoft hace años, y como alternativa, Janicab comenzó a infectar sistemas con un archivo .LNK que lleva un poco de VBScript «extra» en su interior.
La función de Janicab es robar información. Incluso una de sus variantes ha incorporado una copia de SnapIt para obtener capturas de pantalla. Otro dato interesante es que Janicab también tiene cierto interés en OS X, algo lógico si tenemos en cuenta el crecimiento que registró el sistema operativo de Cupertino al otro lado del charco. El hecho de que un malware utilice servicios externos para comunicarse no es nuevo, pero el concepto de «esconder el árbol en el bosque» confirma cierta astucia por parte de sus desarrolladores. Imagino que con esta información disponible, YouTube tomará los recaudos necesarios para interrumpir el funcionamiento de Janicab y otros sistemas similares, sin embargo, todos estamos de acuerdo en que los comentarios de YouTube acoplados a Google Plus son un verdadero desastre, por lo tanto, es posible que el problema sea directamente de diseño.