Mucho se ha hablado de este gusano, y más allá de sus
características que lo convierten en el más propagado de la historia, existe
mucha información que en algunos casos se ha vuelto confusa y que también ha
sido utilizada convenientemente por unos y otros para favorecer sus propios
intereses o librar sus particulares luchas en un entorno que favorece que
cualquier noticia o información se extienda rapidamente por todo el mundo en
pocos segundos. Para elaborar este reportaje hemos contado con información
procedente de VSAntivirus, Enciclopedia de vius y fabricantes de productos de
seguridad.
Sin que este artículo pretenda demostrar la verdad absoluta sobre todas las
dudas planteadas, si desea resumir la información actualmente comprobada.
¿El Mydoom infecta el BIOS?
No, no lo hace. El propio investigador que había anunciado esta posibilidad, el
investigador ruso Juari Bosnikovich, lo desmintió luego de una prueba
realizada por él mismo. Este concluyo finalmente que un troyano backdoor en el
BIOS lo que instala el gusano es un exploit que se aprovecha de una
vulnerabilidad de Windows.
El gusano tiene capacidad de "keylogger"
No hay evidencias que el Mydoom posea la capacidad de capturar la salida del
teclado (keylog), o de que instale algún componente relacionado con ello al
ejecutarse por primera vez. Sin embargo, puede descargar y ejecutar archivos de
Internet (la versión A cualquier archivo, la B solo dos predefinidos por el
autor).
Con la versión A, quien sepa hacerlo, puede usar ésta característica para
descargar y ejecutar casi cualquier archivo en cualquier máquina infectada. Con
la versión B solo pueden descargarse y ejecutarse dos archivos seleccionados por
el autor. Probablemente uno de ellos sea una nueva versión del propio gusano.
Se puede acceder a sistemas infectados desde Internet
Como mencionamos antes, con la versión A se puede hacer esto.
La propia versión B busca máquinas infectadas con la A, para copiarse y
ejecutarse en ellas. Es decir, Mydoom abre puertas a intrusos y deja nuestro
equipo expuesto a la entrada tanto de hackers como de codigos maliciosos que
sepan explotar esta posibilidad.
Los creadores del Mydoom son spammers
Podrían serlo. No hay pruebas ni existen razones claras para afirmarlo,
aunque una de sus características, usar las máquinas infectadas como servidores
proxy, podría ser empleada por los spammer para lanzar sus mensajes (habría que
complementarlo con otro software, pero Mydoom.A, como vimos, acepta se instalen
otros programas en el equipo infectado).
Esta posibilidad no deja de tener su lógica. Una vez infectado el ordenador,
MyDoom realiza una búsqueda completa en el sistema, con el fin de encontrar
direcciones de correo electrónico a las cuales autoenviarse. Asimismo, intenta
combinar los nombres de los dominios encontrados con nombres aleatorios para
deducir direcciones válidas. Algunos sostienen que el programador o
programadores de Mydoom se esconden en algunas de las direcciones a las que se
reenvian mensajes y desde las que reúne direcciones de correo electrónico que
puedan ser usadas para la distribución de spam. Esta teoria fue apoyada por
Joe Pilchmayer, director de la compañía austriaca de seguridad informática
Ikarus en una entrevista a Futurezone.
“El procedimiento implica que el autor de MyDoom sólo necesita filtrar las
respuestas automáticas generadas por las direcciones no válidas, para así
depurar una lista con cientos de miles de direcciones correctas”, señala el
experto.
Los ataques DoS al sitio de SCO y al de Microsoft no se
llevarán a cabo
Los ataques si ocurren o ocurrirán, a pesar de algunos
fallos, el principal de ellos derivado del reloj interno de los propios
ordenadores infectados. Curiosamente, el ataque se inició mucho antes de lo
previsto, demostrando que miles de equipos de todo el mundo tienen
desactualizado el sistema o utilizan franjas horarias distintas a las de su
propia zona.
Eugene Kaspersky, investigador en jefe de Kaspersky Labs., explico
que tras analizar detalladamente el código del gusano ha encontrado algunos
errores en las rutinas dedicadas al ataque de denegación de servicios antes
mencionados.
El mismo sólo se ejecutaría cuando el ejecutable instalado en el equipo
infectado sea iniciado (cuando el ordenador es iniciado o en una nueva
infección) y bajo ciertas condiciones horarias basadas en la fecha del sistema.
En principio, el gusano controla la fecha del sistema para iniciar su rutina DoS,
y si está es superior al primer día del mes de Febrero y la hora está entre
ciertos diapasones de tiempo, el Mydoom.A comienza a enviar paquetes de
información al sitio de la compañía SCO para producir una saturación en su
servicio web.
El gusano fue creado para combatir la piratería
Esto lo escuchamos más de una vez, pero es una tontería
afirmar que algún gigante informático u organización como la RIAA (Asociación de
la Industria Grabadora de Estados Unidos), estén implicadas directamente en la
creación o propagación de este gusano. El desprestigio sería mayor que cualquier
otra intención al respecto.
El Mydoom fue creado por programadores de SCO
Esta noticia es seguramente falsa, sin embargo, fue publicada
por varios sitios de Internet en un momento en que la información disponible lo
aseguraba. Se trata de un "bulo" lanzado por una publicación rusa, luego que un
informe de Kaspersky Labs relacionaba el gusano con programadores de ese país.
Sin embargo algunos sectores defensores del Software libre lo defienden
abiertamente al considerar que ha permitido a la empresa presentarse como
victima en su batalla legal por hacer prevalecer sus supuestos derechos de
propiedad intelectual. Realmente si el virus hubiese sido creado por SCO esta
hubiese "podido vencer" en una "endiablada lucha" el ataque que sufrió
demostrando la solidez y robustez de su software por encima de Linux y otros
sistemas operativos, cosa que no sucedió, debiendo migrar hacía una nueva
dirección.
En la mayor comunidad de software libre en lengua española, barrapunto.com, se
ha debatido largamente este tema manifestando un gran número de lectores a favor
de esta posibilidad
El Mydom es obra de la comunidad Linux
Indemostrable. Se desconoce la autoría real del código
malicioso. Es posible que sea fruto de un grupo de programadores contrarios a la
firma que ha entablado todo tipo de procesos legales contra IBM y Linus Torvalds
y encajaría perfectamente con los ataques que ya recibió SCO este verano que
sacaron de la red a su sitio Web.
Sin embargo este hecho crearía una mala imagen sobre esta comunidad y un
software que por fin ha salido de los laboratorios para implantarse con éxito en
corporaciones y administraciones gubernamentales por lo que en caso de ser
cierto sus efectos serían a la larga más negativos que positivos. Sin embargo,
cabe recordar que una gran parte de "hackers" de todo tipo, fanáticos de Linux,
se han dedicado a asaltar sitios web sin importarles en ningún momento el "efecto
negativo" que comentábamos y que sitios emblemáticos como GNU, MysQL y PHPNuke
han estado entre sus victimas
El peligro ya ha pasado
No es cierto. Mydoom.A sigue vivo y coleando y llenando
buzones de correo electrónico con sus mensajes infectados. El programador
preveyó que acabase con su actividad el próximo día 12, sin embargo algunos
estudios de su código, parecerían indicar que esta acción podría prolongarse aún
después de esa fecha.
Por su parte la "fecha de caducidad" Mydoom.B esta prevista para el 1 de marzo
del 2004..
El virus más peligroso de la historia
Cierto. Aunque los fabricantes de antivirus activaron rápidamente "herramientas"
para eliminarlo de los equipos, este no fue detectado por los productos
existentes ni a través del análisis heurístico que disponen.
El código del Mydoom no está creado con ninguna herramienta inventada por
terceros, ni se basa en el de otros virus, sino que se trata de una verdadera
pieza de arte (desde el punto de vista de la programación, ya que por otra
parte, no debemos olvidar que fue creado con claras intenciones dañinas). Además
utiliza muchos trucos para ocultar sus rutinas, y sobre todo en su versión B,
para engañar la búsqueda heurística de productos muy fuertes en este tema.
Incluso simula estar escrito en un lenguaje de alto nivel (C++), cuando en
realidad sería escrito directamente en assembler (un lenguaje de bajo nivel, o
sea más cercano a la máquina). Además, partes de su código podrían estar
escritas en Forth, un lenguaje de nivel intermedio.
¿Habrá más?
Si, es posible. Algunos expertos sostienen que Mydoom no acabará con las
versiones A y B. Cuando una máquina infectada con el Mydoom se reinicia por
segunda vez después que la fecha del sistema indica 12 de febrero, el virus
inyecta en el sistema operativo, un programa malévolo capaz de descargar y
ejecutar lo que posiblemente sería una nueva versión del gusano, tal vez el
Mydoom.C, según el investigador ruso Juari Bosnikovich.
|