|
VSantivirus No. 1146 Año 7, Miércoles 27 de agosto de 2003
Existe un nuevo Sobig.F que usa a Time Warner Telecom
http://www.vsantivirus.com/sobigf-timewarner.htm
Por Angela Ruiz
angela@videosoft.net.uy
Puede estar circulando una nueva variante del Sobig.F, que utilizaría para una de sus fases de ataques, servidores de Time Warner Telecom, informaron investigadores rumanos pertenecientes a la compañía de software antivirus, BitDefender, con sede en Bucarest.
BitDefender reclama haber descubierto una variante del Sobig.F, que se conectaría a servidores pertenecientes a Time Warner Telecom (el 43,9% de esta compañía pertenece a AOL Time Warner).
Cómo ya se ha dicho, el Sobig.F original, poseía una lista codificada de 20 servidores, a los que debería conectarse cada viernes y domingo en determinado horario, hasta la fecha de caducidad del gusano (que según su autor, sería el 10 de setiembre de 2003).
La intención era obtener de ellos, los códigos para descargar y ejecutar alguna clase de archivo, que podría ser una actualización para modificar su conducta, u otro ejecutable, casi seguramente malicioso.
Pero el ataque falló, porque los 20 servidores fueron localizados y cerrados, luego de que varios investigadores lograron desencriptar las correspondientes direcciones almacenadas en el código del gusano.
Ahora, parece existir una variante que agrega otros servidores codificados en su cuerpo, para ser utilizados en el próximo ataque. Estos corresponden, según BitDefender, a siete direcciones pertenecientes a la importante operadora norteamericana.
Estas son las direcciones reveladas:
mx1.mail.twtelecom.net
mx2.mail.twtelecom.net
ns1.orng.twtelecom.net
ns1.snan.twtelecom.net
ns1.iplt.twtelecom.net
ns1.milw.twtelecom.net
ns1.nycl.twtelecom.net
Dos de estas direcciones pertenecen a servidores SMTP de transferencia de correo, que el gusano podría utilizar para enviar más copias de mensajes infectados.
Los otros cinco servidores, serían contactados a través del puerto 8998, para conseguir una dirección de donde descargar y ejecutar otro archivo. Sería la misma tarea asignada a los 20 servidores anteriores, ya cerrados. Aún así, estas 20 direcciones siguen presentes en la nueva variante del Sobig.F.
Las primeras pruebas realizadas, revelan que ninguno de los nuevos servidores responden por el puerto 8998, aunque ello podría cambiarse fácilmente.
La compañía Time Warner Telecom ya fue contactada, pero no emitió ningún comentario hasta el momento de la publicación de esta noticia.
Por otra parte, cabría preguntarse si no existen otras versiones que apelen a servidores diferentes la próxima vez, engañando así a los responsables de detenerlo.
Más información:
Sobig.F to access AOL Time Warner server for information
http://www.bitdefender.com/bd/site/presscenter.php?menu_id=23&n_id=37
Relacionados:
La mayor epidemia de gusanos informáticos de la historia
http://www.vsantivirus.com/ev26-08-03.htm
Reflexiones sobre el Sobig.F, lo que nadie dijo
http://www.vsantivirus.com/sobigf-reflexiones.htm
W32/Sobig.F. Gusano de gran propagación
http://www.vsantivirus.com/sobig-f.htm
Medidas contra la "segunda ola" del Sobig.F
http://www.vsantivirus.com/sobig-segunda-ola.htm
Kaspersky Antivirus 3.0 no detecta al Sobig.F
http://www.vsantivirus.com/kav3-obsoleto.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|