|
VSantivirus No. 1142 Año 7, Sábado 23 de agosto de 2003
Medidas contra la "segunda ola" del Sobig.F
http://www.vsantivirus.com/sobig-segunda-ola.htm
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
[Publicado con autorización de Enciclopedia Virus]
El Sobig.F tiene prevista en su código, la descarga y ejecución de posibles actualizaciones o cualquier otra clase de archivo maligno, entre las 19:00 y las 22:00 (hora UTC/GMT), de los días viernes y domingos. Esta es una forma de minimizar esta acción.
Las computadoras infectadas con el Sobig.F, están programadas por el código del gusano para descargar en determinados días y horarios, y luego ejecutar uno o más archivos cuyas funciones son aún desconocidas.
Sobig.F no utiliza las técnicas de propagación empleadas por otras plagas como el Blaster (Lovsan) y otros, simplemente se propaga por correo electrónico, pero en forma muy agresiva. Es capaz de enviar mensajes infectados en forma masiva, cada 10 segundos.
Emplea algunas técnicas nuevas para evitar ser identificado por algunos antivirus, y además, las computadoras infectadas pueden ser controladas en forma remota por un intruso. Uno de los usos dados a esta técnica, es utilizar al gusano como repetidor de correo basura (spam). De este modo, cada computadora infectada puede enviar spam, eludiendo los filtros por direcciones IP de muchos servidores. Así, el spam se distribuye desde cientos de miles de computadoras infectadas al mismo tiempo, y no desde unas pocas direcciones IP.
Esto genera además, una cantidad enorme de correo, capaz de colapsar a muchos servidores. AOL, uno de los más grandes proveedores norteamericanos, anunciaba el viernes haber detenido más de 23 millones de mensajes infectados desde el martes anterior, fecha de aparición del Sobig.F.
Cómo decíamos, una de sus funcionalidades ocultas, es la capacidad de descargar y ejecutar archivos en momentos específicos.
La lista de servidores se encuentra en el código del gusano, y la acción está prevista para cumplirse entre las 7 de la tarde y las 10 de la noche (hora UTC/GMT), de los días viernes y domingos, hasta el 6 y 7 de setiembre próximos inclusive.
Este horario, para algunas ciudades, es el siguiente:
12:00 a 15:00 - San Francisco
14:00 a 17:00 - México, Lima, Bogotá
15:00 a 18:00 - La Habana, New York, Montreal,
15:00 a 18:00 - Santiago, Caracas, Asunción
16:00 a 19:00 - Buenos Aires, Montevideo, Brasilia
21:00 a 00:00 - Madrid
23:00 a 02:00 - Moscú
Las descargas pueden ser actualizaciones del propio gusano, o cualquier otra aplicación, incluidos troyanos, virus, etc.
La recomendación para usuarios y administradores de sistemas, es filtrar las siguientes direcciones IP:
67.73.21.6
68.38.159.161
67.9.241.67
66.131.207.81
65.177.240.194
65.93.81.59
65.95.193.138
65.92.186.145
63.250.82.87
65.92.80.218
61.38.187.59
24.210.182.156
24.202.91.43
24.206.75.137
24.197.143.132
12.158.102.205
24.33.66.38
218.147.164.29
12.232.104.221
68.50.208.96
También se recomienda filtrar el puerto UDP/8998, utilizado por el Sobig.F para estas acciones.
Relacionados:
W32/Sobig.F. Gusano de gran propagación
http://www.vsantivirus.com/sobig-f.htm
Estadísticas del Centro de Alerta Temprana
http://www.alerta-antivirus.es/virus/estad_espa.html
Sobig.F arrasa con Internet
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=261
(*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=262
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|