|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| Extraños comportamientos del Nimda | ||
|---|---|---|
VSantivirus No. 462 - Año 5 - Sábado 13 de octubre 2001 Extraños comportamientos del Nimda Por Redacción VSAntivirus Una de las consecuencias de la acción de este gusano, es causar un gran enlentecimiento de las conexiones a Internet, debido al gran tráfico generado al escanear la red en busca de servidores IIS vulnerables, a los efectos de infectarlos. Sin embargo, el monitoreo que se hace de la actividad de este y otros gusanos por diferentes expertos e instituciones (como Sans Institute), revelan en las últimas horas un extraño comportamiento de lo que parece ser el Nimda. Por ejemplo, durante toda la noche y parte del día, algunos hosts específicos, han literalmente bombardeado determinadas direcciones IP, con paquetes que se parecen al Nimda, pero cuya frecuencia no es común en este gusano. Este hecho ha causado confusión a los investigadores, máxime cuando casi simultáneamente, desde otras fuentes se alertaba de paquetes similares desde direcciones diferentes. Según los informes, al menos en un caso, el comportamiento tiene ya varios días, aunque en la última noche (12 de octubre) parece haber aumentado la cantidad de estos informes. Como ejemplo, la frecuencia de los paquetes, en un sondeo de tan solo 64 direcciones IP, llegó a indicar unas 30 conexiones por minuto. Un examen cruzado de los diferentes registros cronológicos, revelan otros datos curiosos: Por lo menos dos máquinas comenzaron su tráfico a la misma hora en la noche del 11 de octubre, y ambas dejaron de enviarlo alrededor del mediodía (hora del este en los Estados Unidos). Las pruebas revelan que todos las fuentes están corriendo servidores IIS infectados con Nimda (pruebas realizadas por medio de Telnet al puerto 80, con el comando GET /, obteniéndose una página HTML infectada con el código del gusano). Todo indica que los paquetes son producidos por el gusano, pero el gran misterio es porqué estos servidores han estado actuando en forma diferente a otros sistemas infectados con el mismo gusano. Más información. Strange Nimda-Like Traffic http://www.incidents.org/archives/intrusions/msg02041.html VSantivirus No. 438 - 19/set/01 A fondo: NIMDA, el gusano que pone en peligro a Internet http://www.vsantivirus.com/nimda-a.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com |
||
