Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Extraños comportamientos del Nimda
 
VSantivirus No. 462 - Año 5 - Sábado 13 de octubre 2001

Extraños comportamientos del Nimda
Por Redacción VSAntivirus

Una de las consecuencias de la acción de este gusano, es causar un gran enlentecimiento de las conexiones a Internet, debido al gran tráfico generado al escanear la red en busca de servidores IIS vulnerables, a los efectos de infectarlos.

Sin embargo, el monitoreo que se hace de la actividad de este y otros gusanos por diferentes expertos e instituciones (como Sans Institute), revelan en las últimas horas un extraño comportamiento de lo que parece ser el Nimda.

Por ejemplo, durante toda la noche y parte del día, algunos hosts específicos, han literalmente bombardeado determinadas direcciones IP, con paquetes que se parecen al Nimda, pero cuya frecuencia no es común en este gusano.

Este hecho ha causado confusión a los investigadores, máxime cuando casi simultáneamente, desde otras fuentes se alertaba de paquetes similares desde direcciones diferentes.

Según los informes, al menos en un caso, el comportamiento tiene ya varios días, aunque en la última noche (12 de octubre) parece haber aumentado la cantidad de estos informes.

Como ejemplo, la frecuencia de los paquetes, en un sondeo de tan solo 64 direcciones IP, llegó a indicar unas 30 conexiones por minuto.

Un examen cruzado de los diferentes registros cronológicos, revelan otros datos curiosos:

Por lo menos dos máquinas comenzaron su tráfico a la misma hora en la noche del 11 de octubre, y ambas dejaron de enviarlo alrededor del mediodía (hora del este en los Estados Unidos).

Las pruebas revelan que todos las fuentes están corriendo servidores IIS infectados con Nimda (pruebas realizadas por medio de Telnet al puerto 80, con el comando GET /, obteniéndose una página HTML infectada con el código del gusano).

Todo indica que los paquetes son producidos por el gusano, pero el gran misterio es porqué estos servidores han estado actuando en forma diferente a otros sistemas infectados con el mismo gusano.

Más información.

Strange Nimda-Like Traffic
http://www.incidents.org/archives/intrusions/msg02041.html

VSantivirus No. 438 - 19/set/01
A fondo: NIMDA, el gusano que pone en peligro a Internet
http://www.vsantivirus.com/nimda-a.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2001 Video Soft BBS