Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde el 12 de agosto de 1996
El año de los BugWorms (por Ignacio M. Sbampato)
|
|
VSantivirus No. 511 - Año 6 - Sábado 1 de diciembre de 2001
El año de los BugWorms
Por Ignacio M. Sbampato(*)
webmaster@virusattack.com.ar
Durante todo el año hemos asistido a numerosos reportes de gusanos y virus que aprovechando una vulnerabilidad en un sistema operativo o aplicación, son capaces de reproducirse o realizar otras acciones en forma automática y sin necesidad alguna del usuario, a los que dimos en llamar BugWorms, debido a que son gusanos (worms) que aprovechan errores (bugs).
El más conocido de los gusanos en aprovechar errores de un sistema fue el gusano de Morris. Distribuido el 2 de Noviembre de 1988 por Robert Morris, comenzó a reproducirse entre distintos equipos VAX y Sun, aprovechando ciertas vulnerabilidades en los sistemas operativos que éstos utilizaban. En muy poco tiempo infectó 6000 equipos en todo Estados Unidos, saturando la poca desarrollada Internet de aquella época.
Aunque no causaba daño material alguno, dado que no borraba archivos de los sistemas infectados, se calcularon pérdidas de más de U$S100,000 debido a problemas en el acceso a Internet o utilización de los equipos infectados que se experimentaron en aquel tiempo.
Pero desde que el gusano de Morris fue controlado, hasta hace muy poco tiempo atrás, los gusanos que aprovechan vulnerabilidades o agujeros de seguridad para reproducirse no volvieron convertirse en una epidemia, y estaban limitados a un ambiente muy pequeño.
El regreso de estos gusanos a la masividad se dio dos años atrás con la aparición del VBS/Bubbleboy. Este es un gusano desarrollado en VBScript, por un programador de origen argentino, capaz de reproducirse por correo electrónico sin la necesidad de que el usuario ejecute ningún archivo adjunto, dado que aprovecha una vulnerabilidad en el Internet Explorer que le permite ejecutarse automáticamente. Tras él, apareció el VBS/KakWorm, basado en el mismo concepto, que alcanzó los primeros puestos de los rankings de las compañías antivirus y que aún sigue siendo reportado por usuarios de todo el mundo.
Pero tuvieron que pasar dos años para que los BugWorms produjeran nuevamente los problemas que el gusano de Morris había causado. El año 2001 comenzó con la aparición de varios gusanos para Linux que, aprovechando distintas vulnerabilidades en distintas distribuciones de este sistema operativo, lograron causar muchos problemas.
El primero de la serie fue el Worm/Ramen o Linux/Ramen cuyo descubrimiento fue anunciado en Enero de este año. Se trata de un gusano que aprovechando 3 distintas vulnerabilidades en las versiones 6.2 y 7.0 de RedHat, una de las distribuciones más utilizadas, y que una vez el host era infectado, seguía reproduciéndose buscando otros equipos vulnerables. Además, reemplazaba todos los archivos index.html por una imagen con una leyenda humorística.
Varios sitios de Internet se vieron afectados por éste gusano, y su segunda versión, aparecida un mes después. Ésta variante variaba un poco el funcionamiento del Ramen original, e instalaba una herramienta en los equipos infectados, que permitía la conexión remota al mismo y la ejecución de todo tipo de comandos a través de una interface de comandos del sistema con permisos de administrador (root). Pese a que el Ramen sólo funcionaba bajo RedHat Linux, alcanzó gran propagación, e implantó la idea de los BugWorms masivos nuevamente.
Poco tiempo después, el 22 de Marzo, hizo aparición otro gusano para Linux, que alcanzó aún mayor propagación que el anterior, dado que no se limitaba a una versión de Linux en particular. El li0n, cómo se lo dio en llamar, explotaba un agujero de seguridad en distintas versiones del programa BIND, un servidor de nombres de dominio muy utilizado y del cual existen versiones para todos los sistemas basados en Unix. Su funcionamiento, así como el de los siguientes especímenes descubiertos, era muy similar al Ramen.
Tras la aparición del li0n, el Adore, otro gusano para Linux fue descubierto, y esto dejó en claro que este no sería un año como cualquier otro. Tanto estos dos, como el Ramen, causaron gran cantidad de problemas a los sistemas Linux en todo el mundo, pero gracias al gran sentido de seguridad de los administradores de estos sistemas, fueron controlados al poco tiempo, tras un fuerte impacto inicial.
Hasta ese momento, los productos de Microsoft, se mantenían en un aparte y no existía un gusano capaz de afectar los servidores que utilizaran el Internet Information Server, o alguna otra aplicación de redes de la empresa de Bill Gates.
Entonces apareció el Sadmind/IIS, un gusano preparado para reproducirse a través de sistemas Solaris, un símil de Unix desarrollado por la empresa Sun, aprovechando una vulnerabilidad en una de las aplicaciones de administración de este sistema operativo más utilizada. Este gusano, además de propagarse a través de la red escaneando por equipos vulnerables a dicha vulnerabilidad, explotaba un agujero de seguridad en el Internet Information Server de Microsoft, conocido como "Web Server Folder Transversal" que le permitía reemplazar las páginas principales de los sitios alojados en el servidor vulnerable, por una leyenda en contra del gobierno de Estados Unidos.
Cerca de 9000 hosts fueron infectados en los primeros 3 días de vida de este gusano, según el sitio Attrition.org, e incluso un sitio del gigante de Internet Lycos fue contagiado por el Sadmind/IIS y sus páginas principales reemplazadas. Este fue el primer golpe que Microsoft recibió de los BugWorms.
En Julio comenzaron las epidemias que demuestran que si hubo algo en la escena vírica que se destacó durante este año, fueron los gusanos que aprovechan agujeros de seguridad en sistemas operativos o aplicaciones.
Durante la segunda semana de este mes, comenzó a circular la primer versión del CodeRed, un gusano que, aprovechando una vulnerabilidad en el Index Server de Microsoft, un componente del Internet Information Server, es capaz de reproducirse por Internet, instalándose por si mismo en los equipos vulnerables.
En los primeros días de su existencia, el CodeRed hizo historia y sumó más de 300,000 infecciones en todo el mundo, las cuales siguieron en aumento cuando aparecieron distintas variantes de éste, como el CRv2, el CodeGreen y el CodeBlue, todos gusanos que aprovechaban la misma vulnerabilidad que el original y se comportaban de manera similar.
El CodeRed, que además de reproducirse intentaba lanzar un ataque de denegación de servicios contra el sitio de la Casa Blanca, llegó a infectar varios sitios de Microsoft, como Hotmail o MSN.com, entre muchos de los hosts de grandes compañías que se vieron afectados por él. Incluso la red interna del propio Microsoft se sufrió el accionar de este gusano.
Además de los cientos de miles de equipos infectados por este gusano, las consultoras internacionales llegaron a calcular pérdidas por 2.4 billones de dólares causadas por el CodeRed, lo que llevó a que los expertos criticaran aún con mayor dureza la seguridad que brindan los productos de Microsoft.
Todos estos BugWorms sólo afectan servidores, por lo que los usuarios apenas si se veían molestados por su existencia en forma secundaria. Pero, la aparición del Nimda, un nuevo BugWorm, causó una revolución que hizo tambalear al propio Microsoft.
El W32/Nimda, llamado Concept Virus por su autor, es de origen chino y comenzó a circular por Internet a mediados de Septiembre, siendo aún hoy uno de los gusanos más reportados del momento. Éste es capaz de reproducirse por Internet aprovechando una vulnerabilidad en los servidores de Internet de Microsoft y además, puede propagarse por correo electrónico, aprovechando otra vulnerabilidad en el Internet Explorer, lo que lo convierte en un BugWorm capaz de afectar tanto servidores como a usuarios hogareños.
Hasta el momento se han descubierto 4 variantes del mismo, con pequeñas modificaciones, habiendo sido vistas todas en actividad. Su estruendosa aparición, infectando cientos de miles de servidores y estaciones de trabajo en pocos días, causó gran pánico entre los usuarios de Internet, el cual fue alimentado claramente por los titulares de los medios de comunicación, que adoptaron una visión extremadamente alarmista de la aparición del Nimda. Como muestra, la cadena estadounidense CNN llegó a publicar en su página de Internet una noticia titulada "Recomiendan no navegar por Internet ante amenaza de gusano informático".
Microsoft fue el más afectado por este gusano, dado que su imagen fue completamente pisoteada por el Nimda, e incluso distintos expertos comenzaron a recomendar que se dejara de utilizar los productos de esta empresa para dar paso a otros considerados más seguros y así evitar los problemas que el Nimda y el CodeRed venían causando.
Y ahora, en los últimos días, la aparición del W32/Badtrans.b, otro gusano que aprovecha la misma vulnerabilidad que el Nimda para propagarse por correo electrónico casi automáticamente, demuestra que este tipo de gusanos están aquí para quedarse y son la vedette de los virus en este año 2001.
Causas
Las razones por las que el 2001 vio a luz tantos BugWorms se deben, claramente, a que cada vez son más los agujeros de seguridad que se encuentran en los sistemas operativos y aplicaciones más utilizados, y a que la información de cómo explotar estos problemas se encuentra al alcance de cualquiera. Pero, la principal razón, a mi entender, es la actitud que tienen los administradores y usuarios con respecto a la seguridad de sus equipos.
Todas las vulnerabilidades de las que se aprovechan los gusanos antes mencionados han sido descubiertas mucho tiempo atrás de la aparición de un virus que pueda aprovecharlas, y por ende, los parches que corrigen dichos problemas se encuentran disponibles también con mucha anterioridad.
Dado que muchos usuarios o administradores no aplican estos parches, ya sea por falta de conocimiento o negligencia, esta es la principal causa de que los BugWorms sigan aumentando su propagación día a día.
Esto, sumado a la mayor masividad que alcanza Internet día a día, y a la negligencia de las propias compañías que desarrollan productos vulnerables para luego arreglarlos cuando los problemas sean descubiertos, hacen que hasta que estas actitudes no se adecuen a lo que la seguridad informática necesita, los problemas que estos BugWorms puedan causar serán casi ilimitados.
Recomendaciones
Lo necesario para evitar la propagación de los BugWorms es claro, y consta de apenas unas pocas, pero muy efectivas, medidas preventivas.
Contar con un antivirus.
Actualizarlo periódicamente.
Actualizar periódicamente las aplicaciones instalados en su equipo. Si se trata de un producto Microsoft, los sitios www.windowsupdate.com y www.officeupdate.com contienen todo lo que necesita para ello. En caso de utilizar otros productos, refiérase al sitio de su fabricante.
En caso de administrar un servidor con conexión a Internet deshabilitar todos los servicios que no se utilizan para cerrar vías de acceso a posibles gusanos.
Siguiendo estos pasos, su equipo estará actualizado y prevenido contra la acción de cualquiera de los gusanos antes descriptos, dado que ninguna vulnerabilidad conocida podrá ser aprovechada por ellos, si la misma se encuentra corregida.
Más información
The What, Why, and How of the 1988 Internet Worm
http://www.software.com.pl/newarchive/misc/Worm/darbyt/pages/worm.html
Ramen: Un virus para Linux actualmente "in-the-wild"
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=17
Nueva versión del virus Ramen para Linux descubierta
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=28
El sucesor del Ramen es descubierto reproduciéndose
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=36
Un gusano para Solaris ataca servidores Microsoft
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=51
El gusano Sadmind en una página de Lycos
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=67
Código rojo para los servidores Microsoft
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=76
Code Red sigue en ascenso y ahora tiene quien lo ayude
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=77
La historia secreta de Microsoft y el CodeRed
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=85
Code Green, Code Blue, el arco iris de los gusanos se agranda
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=91
No le echemos toda la culpa a Microsoft
http://virusattack.xnetwork.com.ar/articulos/VerArticulo.php3?idarticulo=36
W32/Nimda pone en alerta a Internet
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=93
Consideraciones acerca de la aparición del Nimda
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=95
W32/Badtrans.b, de amplia propagación
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=119
En VSAntivirus
VSantivirus No. 195 - Año 5 - Viernes 19 de enero de 2001
Linux.Ramen.Worm. Se propaga a gran velocidad en Linux
http://www.vsantivirus.com/ramen.htm
VSantivirus No. 201 - 25/ene/01
El gusano de Linux cambia de forma
http://www.vsantivirus.com/25-01-01.htm
VSantivirus No. 229 - 22/feb/01
Nueva versión del virus Ramen para Linux descubierta
http://www.vsantivirus.com/22-02-02.htm
VSantivirus No. 308 - 12/may/01
Sadmin-IIS. Gusano que compromete a Solaris y a IIS
http://www.vsantivirus.com/sadmin-iis.htm
VSantivirus No. 377 - 20/jul/01
CodeRed. Un gusano en la memoria de los servidores
http://www.vsantivirus.com/codered.htm
VSantivirus No. 380 - 23/jul/01
CodeRed se transforma y se hace más peligroso
http://www.vsantivirus.com/codered2.htm
VSantivirus No. 394 - 6/ago/01
CodeRed. Un cuento de llaves y cerraduras
http://www.vsantivirus.com/06-08-01.htm
VSantivirus No. 427 - 8/set/01
A fondo: IIS-Worm.BlueCode. El sucesor del CodeRed
http://www.vsantivirus.com/bluecode.htm
VSantivirus No. 439 - 20/set/01
Virus como el Nimda ponen a prueba el futuro de Internet
http://www.vsantivirus.com/20-09-01.htm
VSantivirus No. 453 - 4/oct/01
CodeRed se despide de su vida activa
http://www.vsantivirus.com/04-10-01a.htm
VSantivirus No. 466 - 17/oct/01
Resurge la primera versión del CodeRed
http://www.vsantivirus.com/ig-17-10-01.htm
VSantivirus No. 480 - 31/oct/01
Los puntos sobre los Nimdas
http://www.vsantivirus.com/31-10-01.htm
VSantivirus No. 480 - 31/oct/01
W32/Nimda.E. Versión recompilada y sin errores
http://www.vsantivirus.com/nimda-e.htm
VSantivirus No. 427 - 08/set/01
Los colores del gusano. Ayer Code Red, hoy Blue Code
http://www.vsantivirus.com/08-09-01.htm
A fondo: IIS-Worm.BlueCode. El sucesor del CodeRed
http://www.vsantivirus.com/bluecode.htm
VSantivirus No. 391 - 3/ago/01
En 1988 fue el Morris. ¿En el 2001 es el CodeRed?
http://www.vsantivirus.com/morris-codered.htm
VSantivirus No. 505 - 25/nov/01
W32/Badtrans.B. Se ejecuta sin necesidad de abrir adjuntos
http://www.vsantivirus.com/badtrans-b.htm
VSantivirus No. 507 - 27/nov/01
BadTrans.B se propaga rápidamente en todo el mundo
http://www.vsantivirus.com/27-11-01a.htm
(*)Ignacio M. Sbampato es el WebMaster y Responsable de Contenidos de Virus Attack! y es Redactor de Noticias relacionadas con virus informáticos y seguridad de DiarioRed.com
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|