Empresas de todo tamaño y sectores se han visto afectados en las últimas
horas de ataques provenientes de dos nuevos
gusanos, Zotob.D, e IRCBot.KB, que aprovechan la vulnerabilidad de ejecución
remota de código en Plug and Play (PnP), que puede permitir a un atacante
controlar totalmente el sistema afectado.
Entre las empresas que han sido victimas de estos ataques destacan medios
estadounidenses como la CNN, ABC, y The New York Times.
En el caso de la CNN la infección fue percibida por los millares de
espectadores que seguían la programación. Durante la emisión de un reportaje sobre Oriente Medio
por parte de la CNN
Internacional, una imagen de Windows apareció en la pantalla del TV sobreponiéndose
a las imágenes que se ofreciendo a los telespectadores.
Horas más tarde, la misma cadena de TV por cable emitió un reportaje sobre
este codigo malicioso. En este se podian ver distintas imágenes de su
redacción de Nueva York con ordenadores infectados que se reiniciaban constantemente. La cadena, dijo en un reportaje que su ordenadores
comenzaron a fallar tanto en Nueva York como en Atlanta a partir de las 23.00
GMT, mientras que las dificultades de ABC fueron advertidas poco después de las
17.30 GMT.
Una portavoz de New York Times explicó que la sala de prensa y otras áreas de
la organización habían sido afectadas por el virus, pero que el problema ya
había sido resuelto mientras que el periódico económico "Financial Times"
publico en su sitio online una información en el que reconocía haber sido
victima del virus.
Otras empresas afectadas por la propagación de este código han sido o el
aeropuerto Internacional de San Francisco y la multinacional , Caterpillar,
entre otras.
En España este gusano podría perjudicar considerablemente a aquellas empresas
que no hayan procedido a actualizar aún sus sistemas operativos -Windows 2000-
con el parche de seguridad distribuido por Microsoft hace unos días.
"Lo más llamativo de este ataque es que algunos de los medios de
comunicación más importantes del mundo hayan sido afectados" comenta Annie
Gay, Directora General de Sophos Francia y Europa del Sur. "Los virus
informáticos no hacen miramientos: van a atacar a todo aquel que tenga
ordenadores mal protegidos, ya sea un particular o una multinacional",
añadió la directiva.
Según Luis Corrons, Director de PandaLabs, -Laboratorio Antivirus de Panda
Software- “el período vacacional es idóneo para que tengan éxito este tipo de
ataques. Las empresas españolas no están en agosto más desprotegidas, pero es
cierto que se baja la guardia y se tarda en llevar a cabo actualizaciones, como
la que impediría la propagación de las variantes de Zotob e IRCBot. Al volver a
la oficina, nos podemos encontrar con una desagradable sorpresa, para evitarla,
se recomienda aplicar de manera inmediata el parche de Microsoft”.
Dificultades de identificación del código
La firma de seguridad informática Sophos señaló que no todavía claro cuál es
el gusano que ha causado la infección, ya que son varios los virus que se están
aprovechando de esta vulnerabilidad, incluyendo Tpbot-A y Dogbot-A, así como
los gusanos Zotob, Rbot y Tilebot-F.
¿Como actúa?
Para aprovecharse de la citada vulnerabilidad, ambos generan direcciones IP
aleatorias a las que tratan de conectarse a través del puerto 445, en busca de
sistemas vulnerables. En caso de encontrar alguno, enviará instrucciones para
descargar una copia suya por TFTP (una versión simplificada del tradicional
protocolo FTP). Se instalan en el equipo, modificando una clave del registro
para asegurarse su ejecución en cada reinicio del sistema, e inicializan un
componente backdoor que está accesible a través de IRC, y quedan a la espera de
órdenes en un determinado canal, que pueden permitir a un atacante remoto
controlar el equipo. Sólo se propaga a máquinas con los sistemas operativos
Windows 2000, XP, y Server 2003.
Zotob.D, además, busca en el equipo algunos de los programas más conocidos de
adware, y a continuación procede a borrar los ficheros y los directorios de los
mismos. El efecto más visible que provocan estos gusanos en los equipos
infectados es el constante reinicio de los mismos, lo que inutiliza los equipos,
por lo que sus efectos pueden ser muy dañinos, especialmente en entornos
corporativos. |