Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

MyDoom se propagó en menos de cuatro segundos
 
VSantivirus No. 1300 Año 8, miércoles 28 de enero de 2004

MyDoom se propagó en menos de cuatro segundos
http://www.vsantivirus.com/28-01-04.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy


El martes 27 de enero va a quedar en la historia de los virus, y es que ese día se desató un verdadero caos en Internet. En el servidor de correo de nuestra empresa, llegamos a recibir más de 500 mensajes infectados por hora, durante la mayor parte de la mañana y la tarde del martes. Y es solo un ejemplo.

El culpable es el gusano MyDoom, detectado también como Novarg y Mimail.R por los diferentes fabricantes de antivirus.

MyDoom se disfraza como un archivo devuelto por algún sistema que no pudo enviar un mensaje, porque "no puede ser representado correctamente en códigos ASCII de 7 bits", y por lo tanto se adjunta como archivo binario. O simplemente se advierte "que la transacción falló" y que parte del mensaje está disponible en el archivo adjunto.

Claro está que estos mensajes se encuentran en inglés, así que seguramente la mayoría de los usuarios de habla hispana que abrieron los adjuntos y se infectaron, tal vez ni siquiera supieran lo que estaban abriendo. Pero la curiosidad sigue siendo el mejor aliado de los virus.

La velocidad de propagación de este gusano fue tal, que algunas empresas como MessageLabs, informaron haber monitoreado nada menos que 1,2 millones de mensajes infectados entre las 13:00 GMT del lunes y las 9:00 del martes, uno de cada 12 mensajes.

A raíz de esto, se supo que existieron interrupciones del servicio de Internet en ciertas redes importantes dentro de los Estados Unidos.

Es que MyDoom está preparado para atacar tanto a los usuarios domésticos, como a las grandes corporaciones. Por ejemplo, una de sus características es enviarse a miles de direcciones creadas al azar a partir de dominios localizados en las máquinas infectadas. Esa es la razón que nuestro servidor, recibiera en pocas horas, miles de mensajes dirigidos a direcciones inexistentes. Pero es algo insignificante ante lo mal que lo pasaron muchos de los grandes proveedores de la red.

Y para aumentar el caos, existe otra característica del gusano, que no es ninguna novedad, pero que en esta oportunidad se vio potenciada por la gran cantidad de infecciones. El MyDoom, como tantos otros, falsifica la dirección del remitente; lo que dicho de otra manera significa que quien envía el mensaje no es realmente quien aparece en el campo "De:" del mismo.

Lamentablemente, la mayoría de los administradores no aprenden de lecciones pasadas, y configuran sus servidores y protecciones antivirus, para devolver al remitente el mensaje infectado, o al menos la notificación de haberlo recibido. Aunque esto se hace con la idea de que quien supuestamente lo envió, esté advertido de que su equipo puede estar infectado, ello es algo totalmente inútil en casos como éste. Quien recibe el mensaje de advertencia, seguramente no tiene el virus, o por lo menos es seguro que él no envió dicho mensaje.

Todo ello, solo sirve para que un usuario común, se sienta aún más confundido, generando como resultado, más tráfico innecesario. Y en el caso de que él mismo haya recibido el gusano desde una dirección conocida, podría pensar que esa persona está infectada. El resultado solo es más caos y más tráfico de mensajes, que solo sirve para aumentar aún más la confusión.

Algunos expertos piensan que incluso los usuarios más cuidadosos, que no hubieran abierto adjuntos no solicitados, se vieron engañados por el disfraz técnico del mensaje (¿quién no recibió el rebote de algún mensaje alguna vez?). Y la curiosidad para saber de que mensaje se trataba, hizo el resto. Nada de complicadas técnicas para infectarnos sin pulsar ningún botón. Solo simple sicología humana.

El hecho de que el adjunto sea la mayoría de las veces un archivo .ZIP, podría ser un intento de eludir los filtros que algunas corporaciones y servidores imponen a los tipos de adjuntos permitidos. Un ZIP hay que abrirlo, y luego abrir su contenido para infectarnos. Pero la curiosidad gana a las más elaboradas técnicas de protección que se puedan implementar.

MyDoom intenta propagarse también por la red de intercambio de archivos del popular KaZaa. Pero la cantidad de infecciones logradas de ese modo han sido mínimas comparadas con las reportadas a través del correo electrónico.

El gusano también agrega un componente que permite a un intruso entrar a la computadora infectada, y controlarla en forma remota, con consecuencias nada agradables. También puede capturar lo que el usuario ingrese por su teclado, lo que significa robar información confidencial como contraseñas y datos de tarjetas de crédito.

Como si fuera poco, también tiene prevista una rutina que hará que desde el próximo domingo 1 de febrero, al 12 del mismo mes, todas las máquinas infectadas conectadas a la red, realicen peticiones simultáneas a un mismo sitio de Internet, con la intención de provocar su colapso.

Esto es lo que se llama un ataque distribuido de denegación de servicio (DDoS). El sitio atacado será el de SCO Group Inc, la compañía que se ha ganado la enemistad de la comunidad Linux, por alegar que en dicho sistema operativo se están utilizando ilegalmente partes del código propietario de Unix. Dicho de otro modo, esta acción del MyDoom suena a simple venganza.

Curiosamente, todo esto ocurre a un año en que el SQL Slammer casi colapsa la red por su rápida y abrumadora propagación (el 25 de enero de 2003). Pero el MyDoom logró opacarlo.

Según los informes recibidos, la infección literalmente "estalló" en la red, en un tiempo récord de dos a cuatro segundos, superando todo lo conocido hasta ahora. El primer mensaje infectado parece haber sido enviado desde Rusia según MessageLabs.

Sin embargo, MyDoom no fue el único gusano que atacó el lunes a los usuarios de Internet de todo el mundo. Una versión polimórfica del Dumaru, que busca robar información financiera de las máquinas infectadas, también tuvo un importante impacto en la red. Sin embargo, la asombrosa propagación ganada por el MyDoom, prácticamente eclipsó la importancia de esta otra amenaza.

MyDoom tuvo el mayor pico de propagación durante el horario de oficinas en los Estados Unidos, a diferencia de virus anteriores, que habían aparecido primero en Asia, permitiendo que por la diferencia horaria, las compañías norteamericanas estuvieran mejor preparadas. No ocurrió así en este caso.

Lo bueno, es que MyDoom tiene "fecha de caducidad", y el 12 de febrero, la mayoría de sus rutinas dejarán de ser operativas.


Más información:

W32/Mydoom.A. Gusano de gran propagación
http://www.vsantivirus.com/mydoom-a.htm

La nueva amenaza: los gusanos de rápida propagación
http://www.vsantivirus.com/05-02-03.htm

W32/SQLSlammer. El culpable del mayor ataque a Internet
http://www.vsantivirus.com/sqlslammer.htm

Las preguntas que usted se hace sobre el W32/SQLSlammer
http://www.vsantivirus.com/sqlslammer-faq.htm

Estados Unidos Bajo Ataque D.D.O.S Masivo
http://www.vsantivirus.com/ataque-puerto1434.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS