Blaster, también conocido como MSBlast, Lovsan Worm y DCOM
Worm, se ha propagado rápidamente desde su aparición el pasado lunes 11 de
agosto. Sin embargo, el virus puede llegar a ser victima de su propio éxito,
dado que su código contiene errores lo que puede llegar a disminuir su impacto.
Expertos aseguran que una inspección detallada revela la baja calidad del
trabajo. Así lo considera Marc Maiffret, especialista de eEye Digital
Security, quien asegura que el creador del virus no escribió ningún código
nuevo sino que copió unos códigos ya conocidos. Además, insiste el error que
representa que solamente infecte maquinas con Windows XP o 2000, olvidando el
importante parque de equipos funcionando con versiones anteriores del sistema
operativo de Microsoft.
Otro experto pone el acento en la incapacidad para detectar el sistema operativo
de la maquina. Este hecho lleva, según explica la firma de seguridad informática
F-Secure, a que en ocasiones confunda el sistema instalado e infecte a la
maquina como si esta estuviera usando Windows 2000, lo que lleva a que estos
equipos con XP, se reinicien después de un mensaje de error.
Finalmente destacan el método poco limpio que utiliza para infectar y
esparcirse, al solicitar que la maquina vulnerable establezca comunicación
individual con el PC infectado para copiar el código.
Sin embargo estos errores pueden ser obviados en futuras versiones
convirtiéndolo en mucho más peligroso para los usuarios y equipos informáticos.
Conoce más sobre
el gusano |
Nombre del gusano:
Blaster
Objetivo:
Principalmente, intenta dos cosas:
- Atacar desde miles de ordenadores infectados el
servidor de Microsoft (en concreto, windowsupdate.com)
- Dificultar el acceso a Internet, colapsando el
rendimiento de la Red
¿Cómo lo hace?:
1) Funciona como una sonda buscando por Internet equipos
vulnerables, es decir, ordenadores que no hayan
instalado el parche de Microsoft y puedan verse
afectados.
2) Cuando encuentra uno de esos ordenadores, les envía
información deformada hasta que el equipo deja de
controlar sus acciones. Digamos que el ordenador se
satura y se vuelve loco.
3) En ese momento se instala un programa en el disco
duro del ordenador afectado, sin que el usuario pueda
evitarlo.
4) Después, se copia el gusano (MSBlaster.EXE)
5) Justo entonces el equipo está preparado para enviar
el fichero infeccioso a otras máquinas, para iniciar de
nuevo el proceso.
6) Todos los ordenadores infectados envían cada 20
milisegundos un paquete de datos a Microsoft para
conseguir que se caiga el servidor de Microsoft.
Curiosidades:
Es el segundo ataque que aprovecha este error de Windows
(anunciado el 1 de agosto de este mes) El primero fue el
troyano Autorooter, (fecha 4 de agosto) que aprovechaba
este fallo para ejecutar en el ordenador una sesión con
los mismos privilegios que el auténtico usuario de esa
máquina infectada (como si fuese el usuario propietario
del ordenador) y, al mismo tiempo, descargaba el fichero
cuya misión era abrir una puerta trasera en el equipo.
Blaster incluye varias frases llamativas: "I just want
to say LOVE YOU SAN!!" (yo sólo quiero decir te quiero
San) y "billy gates why do you make this possible ? Stop
making money and fix your software (Billy Gates ¿por qué
permites esto? Deja de ganar dinero y arregla tu
software)
¿Por qué es tan importante?
Es preocupante porque ataca los sistemas operativos de
Microsoft más utilizados en la empresa y en el usuario
doméstico.(nt,200,Xp,2003)
¿Cómo está afectando internacionalmente?
Datos mundiales: Datos a las 15.00 del día 12.8.03, el
porcentaje que alcanza Blaster de entre todos los virus
detectados en Panda Software son:
1.- Puerto Rico 7.41%
2.- Singapur 7.14%
3.- Eslovenia 7.14%
4.- Turquía 7.14%
5.- Panamá 7.03%
Otros países:
España: 4.55%
Rusia 4.84%
Canadá 5.13%
EE.UU. 3.97%
Francia 3.2%
¿Qué dicen sobre la vulnerabilidad otros expertos?
El segundo día de la Conferencia DefCon del pasado 5 de
agosto, fueron varios expertos los que señalaron la
importancia de la vulnerabilidad de Microsoft. Según
Marcus Sachs este fallo puede permitir a un usuario
tomar el control de una máquina o un área de equipos de
forma remota y dejarlos fuera de servicio. Chris Wysopal,
miembro de la firma de seguridad AtStake declaró:
"Definitivamente es uno de los peores problemas de
seguridad que han ocurrido en los últimos años, debido a
su gran alcance. Podría convertirse fácilmente en un 'worm'
como Slammer o Code Red".
|
|