Agencias y redacción- La vuelta al trabajo tras las
vacaciones ha provocado que en las últimas horas la difusión del virus 'Blaster'
se haya duplicado, puesto que muchos equipos informáticos habían permanecido
apagados desde que éste apareció el segundo fin de semana de agosto, según
informaron a Europa Press fuentes de la compañía Panda Software.
El gusano funciona como una sonda que circula por Internet hasta encontrar un
ordenador en el que poder introducirse para después lanzar ataques DoS contra un
sitio web de Microsoft. De este modo, lo más probable es que los usuarios que no
hayan descargado hasta la fecha el correspondiente parche de la compañía
estadounidense hayan visto como 'Blaster', en sus diferentes versiones, se
introduce en sus equipos.
De hecho, fuentes del Centro de Alerta Temprana sobre Virus y Seguridad
Informática (CAT), órgano dependiente del Ministerio de Ciencia y Tecnología,
explicaron a Europa Press que su "mayor preocupación" en la actualidad consiste
en ver la evolución de 'Blaster'.
En la misma línea, el director de Márketing de Producto de Panda Software, José
Manuel Crespo, apuntó a Europa Press que el número de equipos infectados en las
empresas está aumentando, lo que justifica que se hayan "duplicado las
incidencias".
No obstante, en la actualidad el 84 por ciento de los infectados por 'Blaster'
siguen siendo usuarios personales, frente al 16 por ciento de empresariales,
cifra, esta última, que va en aumento. La compañía detecta el gusano en casi el
tres por ciento de los equipos analizados.
Crespo apuntó las dificultades a las que se están enfrentando estos días los
administradores de sistemas para limpiar los equipos infectados, porque "es una
tarea ardua, aunque sencilla". Además, sus servidores están "cerca del noventa
por ciento de su capacidad" debido al permanente escaneo de puertos que realiza
'Blaster'.
'SOBIG.F'
En cualquier caso, esta amenaza debe sumarse a la del virus 'Sobig.F', que está
batiendo en España todas las estadísticas de difusión del CAT, debido a que
combina la tradicional propagación a través del archivo adjunto de un 'e-mail'
con técnicas de difusión de correos electrónicos comerciales no solicitados ('spam').
Así, desde que apareció a mediados de agosto el virus ha infectado casi 1,8
millones de correos electrónicos en nuestro país, acaparando en las últimas 24
horas el 92 por ciento de las infecciones informáticas en España, con más de
200.000 'e-mails' afectados, lo que se traduce, además, en que uno de cada seis
mensajes que circulan por la Red española están infectadas por algún virus.
Fuentes del CAT reconocieron que el virus está "destrozando" sus estadísticas,
puesto que las máquinas infectadas están "permanentemente mandando correos
electrónicos, cada pocos segundos, por lo que se obtienen volúmenes gigantescos
de infecciones", a pesar de que los afectados puedan no ser tantos.
Según las mismas fuentes, la diferencia es que otros gusanos del pasado se
reenviaban a todas las direcciones que encontraban en los equipos infectados una
vez al día, mientras que éste lo hace repetidamente. Así, el virus puede saturar
cuentas de correo electrónico y servidores con facilidad, además de causar
estragos en las conexiones permanentes a través de ADSL.
Caracteristicas
'Sobig.F' afecta a todos los sistemas operativos de la familia 'Windows' (95,
98, ME y XP), así como al NT y 2000, también de Microsoft. Tiene características
de gusano y se propaga tanto a través del 'e-mail' --para lo que incorpora su
propio motor de envío SMTP-- como por carpetas compartidas en red.
El mensaje en el que llega está escrito en inglés y tiene un asunto variable,
entre los que el CAT cita como posibles los siguientes: "Your details", "Thank
you!", "Re: Thank you!", "Re: Details", "Re: Re: My details", "Re: Approved",
"Re: Your application", "Re: Wicked screensaver" y "Re: That movie".
Otras características técnicas son su capacidad para abrir los puertos UDP que
van del 995 al 999 (incluidos) y permanecer a la espera de recibir órdenes --lo
que le confiere también la condición de troyano-- y de conectarse cada hora a
una serie de direcciones de Internet para descargar actualizaciones de sí mismo.
El archivo del virus, llamado 'Winppr32.exe' y de un tamaño que oscila entre 70
y 74 KB, se copia en la carpeta de 'Windows' e introduce unas claves en el
registro del sistema para ejecutarse cada vez que se arranca el ordenador. No
obstante, su código fuente prevé su autodesactivación el próximo 10 de
septiembre.