Controlado desde el
19/10/97 por NedStat
|
Mydoom.B, nuevo protagonista de una batalla sin treguas
|
|
VSantivirus No. 1301 Año 8, jueves 29 de enero de 2004
Mydoom.B, nuevo protagonista de una batalla sin treguas
http://www.vsantivirus.com/29-01-04.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Mydoom.B es la nueva variante de este gusano, que intenta realizar un ataque distribuido de denegación de servicio (DDoS), a Microsoft.com.
Mydoom (también conocido como Novarg), es ya el gusano más propagado de la historia, y esta nueva variante podría serlo todavía más. En el caso de Mydoom.A, se llegó a contabilizar una cifra de más de 500 mil computadoras infectadas,
tan solo en las primeras 40 horas. A raíz de ello, la empresa SCO (posible víctima del primer ataque DDoS del gusano), ofreció una recompensa de un cuarto de millón de dólares para capturar a los creadores del virus.
Y ahora llega Mydoom.B. Una vez activada, esta versión sobrescribe el archivo HOSTS, que Windows utiliza para resolver direcciones IP de dominios, sin tener que consultarlo a la red. Mydoom.B, redirecciona a la dirección IP 0.0.0.0 diversos sitios, entre los que se destacan algunos fabricantes de antivirus (Sophos, F-Secure, Symantec, Network Associates, Kaspersky, Mcafee, Trend Micro, Computer Associates, My-Etrust, etc.), y al propio Microsoft (support.microsoft.com, downloads.microsoft.com, windowsupdate.microsoft.com, office.microsoft.com, msdn.microsoft.com y go.microsoft.com).
Esto tiene como resultado que dichos sitios sean inaccesibles para cualquier aplicación que intente conectarse a esos nombres de dominio, incluyendo accesos vía Web, FTP y correo electrónico.
Los mensajes enviados por Mydoom.B, también poseen la dirección del remitente falsificada (spoofed), e incluyen dominios como aol.com, msn.com, yahoo.com y hotmail.com.
Cadenas de textos seleccionadas al azar, pueden ser combinadas con estos dominios, para generar nuevas direcciones. Esto resulta en una sobrecarga en los servidores de correo, por la cantidad de direcciones falsas y las auto respuestas asociadas con este tráfico extra.
El asunto es seleccionado al azar, e incluye textos como "Delivery Error", "hello", "Error", "Mail Delivery System", "Mail Transaction Failed", "Returned mail", "Server Report", "Status", y "Unable to deliver the message". Pero además puede contener cualquier otra cadena seleccionada al azar.
El cuerpo del mensaje, también es seleccionado al azar, de textos como "test", "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment", "sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received", "The message contains Unicode characters and has been sent as a binary attachment", "The message contains MIME-encoded graphics and has been sent as a binary attachment" o "Mail transaction failed. Partial message is available".
El archivo adjunto es un nombre al azar como body, doc, text, document, data, file, readme, message, con extensiones como .exe, .bat, .scr, .cmd o .pif, o dobles extensiones.
Cuando el adjunto es ejecutado, como en la primera versión, se abre el bloc de notas mostrando solo basura (caracteres sin sentido). También puede aparecer un mensaje de error.
El gusano crea dos archivos en el directorio System (o System32), EXPLORER.EXE y CTFMON.DLL. El segundo es un componente del tipo backdoor (un troyano de acceso remoto), que escanea un rango de direcciones en busca de tráfico TCP entrante. Este tráfico puede ser utilizado para configurar la computadora infectada como un servidor proxy o para instalar en ella cualquier programa. Ya existen herramientas que permiten aprovecharse de máquinas infectadas por el Mydoom para instalar y ejecutar cualquier código aleatorio.
El ataque de denegación de servicio principal, estaría dirigido a www.microsoft.com. Y según los primeros exámenes, también sería contra www.sco.com, como lo hace la primera versión del Mydoom. Las fechas de inicio de los ataques, serían el 1 y el 3 de febrero respectivamente, y se extenderían hasta el 1 de marzo, momento en que el virus ya no se propagaría, aunque su rutina de acceso remoto seguiría activa.
Gracias a este acceso remoto, las máquinas infectadas con la versión A pueden ser actualizadas a la versión B, sin necesidad de recibir un nuevo mensaje.
Mydoom.B también se propaga por la red KaZaa, aunque estas infecciones son mínimas al momento actual.
La nueva variante utiliza para los adjuntos, un formato MIME diferente a la anterior versión (MIME es un protocolo que especifica la codificación y el formato de los contenidos de los mensajes). Mydoom.B usa adjuntos de texto plano, que incluyen la extensión .ZIP.
Para protegerse de esta infección, es necesario evitar la apertura de todo adjunto no solicitado y mantener actualizados los antivirus instalados. Compruebe antes que esto último es posible, ya que luego de una infección, algunas páginas de antivirus pueden ser inaccesibles. Si esto sucediera, siga las instrucciones que damos en la descripción detallada de este gusano, para recuperar el archivo HOSTS.
Algunas recomendaciones
No ejecute programas de origen desconocido. Esto incluye cualquier programa obtenido mediante las aplicaciones de intercambio de archivos P2P. Solo utilice sitios de confianza.
No siga los enlaces que aparecen en mensajes que no pidió. Pueden estar relacionados con contenido malicioso, que incluso se podrían ejecutar sin la intervención del usuario.
La técnica conocida como "phishing", utiliza URLs falsas que se hacen pasar por sitios verdaderos. El objetivo casi siempre es obtener información crítica como nombres de usuario, contraseñas o datos de cuentas bancarias y/o tarjetas de crédito.
Si utiliza IRC, o programas de mensajería instantánea, no acepte enlaces ni ejecute archivos recibidos de otros usuarios. Es la forma más común de recibir un troyano.
Utilice un cortafuego personal. Es un complemento a todo antivirus, y puede evitar que un gusano como el Mydoom descargue actualizaciones, o que un intruso utilice su backdoor para acceder a su computadora.
Filtre su correo electrónico. Si es una organización o compañía, filtrar determinadas extensiones es vital. Sin embargo, esta solución puede resultar engorrosa en algunos casos, y se podría filtrar correo legítimo. Pero es necesario entrenar a los usuarios del correo corporativo, para que utilicen un único formato de adjunto, por ejemplo .ZIP. Por supuesto, aún a pesar de ello, no ejecute ningún contenido sin haberlo examinado antes con antivirus actualizados.
Y finalmente, mantenga al día sus respaldos. Podría ser la salvación para un mal día.
Relacionados:
W32/Mydoom.B (Novarg.B). Segunda variante de este gusano
http://www.vsantivirus.com/mydoom-b.htm
W32/Mydoom.A. Gusano de gran propagación
http://www.vsantivirus.com/mydoom-a.htm
Mydoom se propagó en menos de cuatro segundos
http://www.vsantivirus.com/28-01-04.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|