Controlado desde el
19/10/97 por NedStat
|
Mydoom no infecta el BIOS
|
|
VSantivirus No. 1304 Año 8, domingo 1 de febrero de 2004
Mydoom no infecta el BIOS
http://www.vsantivirus.com/01-02-04a.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Sobre la posible infección del BIOS ocasionada por el gusano Mydoom, se han escrito en foros especializados, extensos hilos discutiendo el tema.
En teoría, podría ser posible una infección de este tipo, sin embargo, hay varias barreras que limitarían sus posibilidades prácticas.
Podría crearse un código con el potencial de obtener una dirección IP y escuchar por un puerto. Pero a ese nivel, se debería interactuar directamente con la tarjeta de red, y existen muchos modelos y fabricantes, con diferencias importantes como para que un pequeño programa de solo 624 bytes las contemple a todas.
El propio Juari Bosnikovich, que mencionó esta posible característica del Mydoom en una lista especializada, información que publicamos ayer en VSAntivirus (ver "Investigador ruso dice que el Mydoom sería más peligroso",
http://www.vsantivirus.com/31-01-04.htm), condujo un experimento para verificar lo que él
mismo afirmaba.
Utilizando un Windows Server 2003 recién instalado en una computadora con una tarjeta de red con chip Realtek 8139, hizo que se ejecutara el virus, y luego cambió la fecha para que marcara unos minutos antes del 12 de febrero de 2004, esperando luego hasta que se activara la rutina que él mencionaba del virus. Finalmente reinició la computadora. Cuando ello ocurrió, se encontró con un cambio, pero no el esperado.
Según Bosnikovich, más que un troyano backdoor en el BIOS, como afirmaba en sus investigaciones previas, lo que instala el gusano es un exploit que se aprovecha de una vulnerabilidad de Windows.
Cuando una máquina infectada con el Mydoom se reinicia por segunda vez después que la fecha del sistema indica 12 de febrero, el virus inyecta en el sistema operativo, un programa malévolo capaz de descargar y ejecutar lo que posiblemente sería una nueva versión del gusano, tal vez el Mydoom.C, según el investigador ruso.
De todos modos, como reafirma Bosnikovich, este dato no es mencionado por ningún fabricante de antivirus.
El código del Mydoom no está creado con ninguna herramienta inventada por terceros, ni se basa en el de otros virus, sino que se trata de una verdadera pieza de arte (desde el punto de vista de la programación, ya que por otra parte, no debemos olvidar que fue creado con claras intenciones dañinas). Además utiliza muchos trucos para ocultar sus rutinas, y sobre todo en su versión B, para engañar la búsqueda heurística de productos muy fuertes en este tema.
Incluso simula estar escrito en un lenguaje de alto nivel (C++), cuando en realidad sería escrito directamente en assembler (un lenguaje de bajo nivel, o sea más cercano a la máquina). Además, partes de su código podrían estar escritas en Forth, un lenguaje de nivel intermedio.
Tal vez esa sea la razón de que esta característica haya confundido a Bosnikovich, y que no figure nada de ello en las descripciones actuales de los fabricantes de antivirus.
También esta dificultad para examinar el código, ha llevado a que no se revelaran antes algunas informaciones sobre el verdadero alcance de los ataques DDoS contra SCO y Microsoft (el primero de los cuáles comenzó hoy 1 de febrero de 2004). Esta información es ofrecida en el artículo "El mecanismo de ataque DoS del Mydoom tendría errores" de Enciclopedia Virus
(http://www.vsantivirus.com/ev-mydoom-dos.htm).
Al momento de redactar este artículo, 1 de febrero de 2004, 09:01 GMT, el sitio de SCO (http://www.sco.com) es inaccesible.
Más información:
Investigador ruso dice que el Mydoom sería más peligroso
http://www.vsantivirus.com/31-01-04.htm
Cuentos y verdades sobre el Mydoom
http://www.vsantivirus.com/faq-mydoom.htm
W32/Mydoom.A. Gusano de gran propagación
http://www.vsantivirus.com/mydoom-a.htm
Mydoom se propagó en menos de cuatro segundos
http://www.vsantivirus.com/28-01-04.htm
Mydoom.B, nuevo protagonista de una batalla sin treguas
http://www.vsantivirus.com/29-01-04.htm
W32/Mydoom.B (Novarg.B). Segunda variante de este gusano
http://www.vsantivirus.com/mydoom-b.htm
El mecanismo de ataque DoS del Mydoom tendría errores
http://www.vsantivirus.com/ev-mydoom-dos.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|