De hecho, 1 de cada 4 e-mails -equivalente a más de 8
millones de correos electrónicos- que se encontraban en circulación estaban
infectados por este gusano.
Asimismo, las pérdidas económicas provocadas por Mydoom.A son incalculables. El
jueves 29, CNN ya estimaba que -por el descenso de productividad y los gastos
derivados de los servicios de soporte técnico-, podían ascender a 250 millones
de dólares. Este dato puede ser consultado en: <http://money.cnn.com/2004/01/28/technology/mydoom_costs/index.htm>.
Por su parte, la consultora mi2g cifra en 3 billones de dólares las perdidas
ocasionadas por la acción de este gusano.
Sin embargo, debe tenerse en cuenta que puede seguir causando daños hasta el
próximo 12 de febrero, ya que Mydoom.A ha sido diseñado para propagarse hasta
ese día. De hecho, las cifras de distribución e infección se mantienen estables,
e incluso se observan repuntes periódicos.
Para entender mejor como se llegado esta situación, Panda Software publica una
cronología de los acontecimientos desde que Mydoom.A hizo su aparición.
Martes 27 de enero.
Los laboratorios antivirus detectan la presencia de un nuevo gusano. Al mismo
tiempo, los servicios de Soporte Técnico comienzan a registrar incidencias -casi
de manera continuada- en varios países del mundo. Ante ello, y mientras se
procede al análisis del virus y a la elaboración de la correspondiente vacuna,
se declara el estado de alerta roja por epidemia de virus.
El procedimiento que se sigue para detectar un virus es muy fácil de explicar,
pero no tanto de llevar a cabo. La primera tarea es, evidentemente, disponer del
código malicioso. Para ello se tienen varias fuentes. Una de ellas es la
información que se tiene de los usuarios del antivirus, que mandan al
laboratorio ficheros sospechosos de contener virus, bien porque el usuario lo
cree así o bien porque los motores heurísticos del antivirus lo detectan como
fichero peligroso.
Por un lado, expertos programadores llevan a cabo ingeniería inversa con el
código del virus. Descubren cuál es el código interno del mismo y las funciones
que lleva a cabo. En paralelo, y en una red de ordenadores aislada del exterior
se infectan varios equipos. Con una serie de marcadores dentro de estos
ordenadores de pruebas, se sigue su comportamiento y capacidad de infección.
Una vez que los dos equipos tienen toda la información, se empieza la tarea de
generar una "vacuna", que por un lado consiste en hallar un identificador para
el virus, su "firma", y por otro generar el mecanismo que desinfecte el virus.
Una vez se tienen estos datos, se incluyen en la "actualización" del antivirus,
y se pone a disposición de los usuarios en la página web.
Rápidamente, Panda Software pone a disposición de sus clientes las
correspondientes actualizaciones de sus productos para la detección y
eliminación de Mydoom.A.
Sin embargo, un gran numero de equipos aún carecen de la adecuada protección
antivirus y, muchos otros, aún teniéndola, no la actualizan. Esto provoca que
Mydoom.A pueda propagarse sin ningún tipo de obstáculo. De hecho, está diseñado
para enviarse eficazmente a través de correo electrónico.
Por ello, y para tratar de impedir esa propagación explosiva inicial, Panda
Software pone gratuitamente a disposición de los usuarios la aplicación PQRemove
que detecta y elimina a Mydoom.A de los equipos afectados y, además, restaura
las configuraciones que el ordenador tuviera antes de ser atacado por el gusano.
Dicha herramienta puede ser descargada desde <http://www.pandasoftware.es/descargas/utilidades/>.
Sin embargo, la propagación del gusano siga incrementándose a ritmo vertiginoso,
y muchos equipos siguen siendo infectados por Mydoom.A. Poco a poco se confirma
que estamos ante la peor epidemia vírica que ha conocido Internet.
Las compañías antivirus continúan advirtiendo a los usuarios, sobre todo a las
corporaciones, ya que son las victimas predilectas de Mydoom.A. Incluso se dan
casos de empresas cuyos antivirus están bloqueando cada minuto 3.000 e-mails
infectados por el gusano que intentan entrar en la red.
Las cifras no dejan lugar a dudas: más de un millón y medio de e-mails
infectados por Mydoom.A se encuentran en circulación y 150.000 equipos ya ha
sido víctimas del gusano.
Miércoles 28 de enero.
Mydoom.A continúa propagándose a gran ritmo, pese a que las compañías antivirus
continúan alertando a los usuarios, sobre todo a los corporativos. Los últimos
datos indican que 1 de cada 12 correos electrónicos que se encuentran en
circulación son portadores del código malicioso. Esta cifra supera ampliamente a
la que alcanzó Sobig.F (1 de cada 17) el pasado verano, y que hasta ayer estaba
considerado como el virus que más rápidamente se había propagado en la historia
de la informática.
Según los datos recogidos por la solución antivirus online de Panda Software,
Panda ActiveScan, el número de infecciones provocadas por Mydoom.A es seis veces
superior a las causadas por Bugbear.B, segundo virus más frecuentemente
detectado.
Asimismo, se estima que 300.000 ordenadores, entre los que se encuentran los de
miles de empresas de todo el mundo, ya han resultado infectados por Mydoom.A.
Además, en las últimas horas de ese día, hizo su aparición Mydoom.B, una
variante más peligrosa que la anterior debido a que había sido programada para
impedir que muchos antivirus fueran capaces de actualizarse. Sin embargo, no
llego a producir un número de incidencias demasiado significativo.
Jueves 29 de enero.
Mydoom.A mantiene su elevado ritmo de propagación. Uno de cada cinco correos
electrónicos que se encuentran en circulación son portadores de su código. Así,
cuatro millones de e-mails infectados por este gusano están difundiéndose. "Mydoom.A
no alcanza mayores cotas por las medidas de seguridad que han adoptado las
empresas tras ser infectadas", explica Luis Corrons, director de PandaLabs. "Sin
embargo" destaca "tampoco cesa, ya que ahora está atacando a las compañías que
sobrevivieron a la primera oleada de mensajes infectados y carecen de
protección".
Según los datos recogidos por la solución antivirus online de Panda Software,
Panda ActiveScan, el número de infecciones provocadas por Mydoom.A sigue siendo
seis veces superior a las causadas por Dowloader.L, que es el segundo virus más
frecuentemente detectado. Los entornos corporativos de todo el mundo son los
principales afectados por Mydoom.A, por lo que la cifra de ordenadores
infectados supera ya los 400.000.
Viernes 30 de enero.
El número de infecciones provocadas por el gusano Mydoom.A parece haberse
estabilizado, aunque sigue siendo casi seis veces superior a las causadas por
Downloader.L, segundo virus más frecuentemente detectado por Panda ActiveScan.
Se estima que cerca de 500.000 equipos en todo el mundo -principalmente de
empresas- están siendo afectados por la actividad de este código malicioso. Esto
demuestra la gran actividad del gusano, ya que, al tiempo que muchas
corporaciones desinfectan sus sistemas, otras muchas resultan afectadas.
Sin embargo, el gusano continúa propagándose de forma que se encuentran en
circulación 8 millones de correos conteniendo el código del gusano, es decir, 1
de cada 4 e-mails en todo el mundo se encuentran infectados por Mydoom.A.
Es de esperar que, a lo largo del sábado, la epidemia comience a remitir, dado
que muchas empresas interrumpen su actividad. Sin embargo, el 1 de febrero el
gusano intentará provocar un ataque de denegación de servicio distribuido (DDoS)
contra la compañía SCO, con el objetivo de impedir a los usuarios el acceso a su
página web.
En cualquier caso, el hecho de que el gusano deje de propagarse no debe ser
motivo de relajación a la hora de proteger los equipos. Como se recordará,
Mydoom.A crea una puerta trasera en los sistemas que permite el acceso no
autorizado de usuarios maliciosos. Así, en la últimas horas se ha detectado una
gran actividad en Internet relacionada con la búsqueda de equipos que hayan sido
infectados y que, por tanto, en estos momentos sean vulnerables.
En esta situación, Panda Software aconseja la instalación y puesta a punto de
firewalls. De esta manera, se impedirán tanto los ataques DDoS como los intentos
de intrusión en los sistemas, neutralizándose totalmente los efectos del gusano.
Sábado 31 de enero
Debido a la paralización de la actividad de muchas empresas la epidemia comienza
a remitir, si bien, el número de infecciones provocadas por Mydoom.A sigue
siendo muy elevado.
Domingo 1 de febrero:
Mydoom.A comienza a realizar el ataque de denegación de servicio distribuido (DDoS)
programado contra la página web de la compañía SCO. A la espera de una
declaración oficial, el único dato del que disponemos es que la mencionada
página es inaccesible para los usuarios.
Lunes 2 de febrero
Pese a que durante el fin de semana la epidemia ha remitido ligeramente, el
número de incidencias se mantiene. Además, con el inicio de la jornada laboral
se ha experimentado un nuevo rebrote que ha hecho que la incidencia de Mydoom.A
comience a aumentar en países como Japón.
A nivel mundial, el número de infecciones provocadas por Mydoom.A sigue siendo
casi cinco veces superior a las provocadas por Downloader.L, segundo virus más
frecuentemente detectado por Panda ActiveScan. Sin embargo, a medida que la
actividad laboral se reanuda en diversas partes del mundo, puede observarse un
repunte del número de infecciones.
Al igual que ayer, la página web de la compañía SCO continúa fuera de servicio.
DATOS SOBRE LA PROPAGACIÓN DE MYDOOM.A
En el caso del virus Mydoom, el sistema de medición de la propagación puede
obtenerse de una manera muy sencilla sin recurrir a detecciones externas. Este
virus efectúa una búsqueda de direcciones de correo electrónico en el sistema
afectado, pero para poder enviar los correos electrónicos necesita averiguar el
nombre del servidor de correo electrónico utilizado por cada dirección. Para
ello, intenta con las distintas combinaciones de direcciones de servidores SMTP,
con la esperanza de que alguna de ellas funcione.
Pero el problema que origina este comportamiento es un incremento desmesurado de
intentos de resolución de nombres en los servidores DNS. Simplemente mirando los
gráficos que ofrecen distintos servidores raíz, podemos hacernos una idea muy
exacta de la incidencia del virus.
En el gráfico adjunto pueden verse los datos de la actividad de los servidores
DNS gestionados por RIPE (Reseaux IP Europeéns) en la última semana,
concretamente las resoluciones de nombres rechazadas.
<<Image5.jpg>>
Se observa con toda claridad que el número de consultas rechazadas es muchísimo
mayor que las normales. Esta actividad se debe a que el virus está intentando
resolver nombres de servidores no existentes.
Sin embargo, el número de consultas realizadas, aunque experimenta un
crecimiento, no es el mismo que el de los rechazos:
<<Image6.jpg>>
Mientras que en la semana anterior a la aparición del virus en ningún momento se
superó la cifra de 5,5 millones de peticiones, desde que el virus empezó a
propagarse se llega a 7 millones, es decir, se ha incrementado en un factor
menor de 2. Sin embargo, las peticiones rechazadas se multiplican por mucho más
de 100.
CARACTERÍSTICAS
TÉCNICAS DE MYDOOM.A: |
Mydoom.A es un gusano que se propagará
hasta el 12 de febrero de 2004 a través de correo electrónico en un
mensaje con características variables, y a través del programa de
ficheros compartidos (P2P) KaZaA.
<<Image7.jpg>>
El mensaje en el que Mydoom.A llega al equipo tiene las siguientes
características:
a) Remitente: nunca es verdadero, ya que el gusano falsifica la dirección
que aparece como remitente del mensaje de correo que provoca la
infección, dando lugar a confusiones.
b) Asunto: uno de los siguientes:
test; hi; hello; MailDelivery System; Mail Transaction Failed; Server
Report;
Status; Error
c) Cuerpo del mensaje: uno de los siguientes:
Mail Transaction Failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary
attachment.
The message cannot be represented in 7-bit ASCII encoding and has been
sent as a binary attachment.
d) Fichero adjunto: tanto el nombre y la extensión del fichero son
variables.
Nombres posibles:
DOCUMENT ; README ; DOC ; TEXT ; FILE; DATA; TEST; MESSAGE; BODY.
Extensiones posibles:
PIF; SCR; EXE; CMD; BAT; ZIP.
Algunas veces, el fichero adjunto tiene doble extensión. En ese caso, la
primera siempre será HTM, TXT o DOC.
Mydoom.A también realiza ataques de denegación de servicio distribuido (DDoS)
contra la dirección http://www.sco.com si la fecha del sistema se
encuentra entre el 1 y el 12 de Febrero de 2004. Para ello, lanza
peticiones GET/ HTTP/ 1.1 cada 1024 milisegundos.
A partir del 12 de febrero de 2004, el gusano finaliza sus efectos,
terminando su ejecución cada vez que sea activado.
Mydoom.A descarga en el equipo un archivo llamado SHIMGAPI.DLL, que crea
un backdoor que abre el primer puerto TCP disponible desde el 3127 al
3198. Este backdoor permite descargar y ejecutar un fichero ejecutable, y
actúa como un servidor proxy que permite que un hacker gane acceso remoto
a los recursos de red.
La infección por Mydoom.A es fácil de reconocer puesto que, cuando es
ejecutado, abre el Bloc de notas de Windows (NOTEPAD.EXE) y muestra un
texto sin sentido.
Además, crea en el equipo dos archivos. Uno de ellos, con el nombre
TASKMON.EXE contiene, en realidad, una copia del gusano. El otro es
denominado MESSAGE y contiene el texto que muestra el Bloc de notas la
primera vez que se activa el gusano.
Mydoom.A crea varias entradas en el registro de Windows con el fin de
asegurar su ejecución cada vez que se reinicie el equipo
Mydoom.A se propaga a través del correo electrónico y del programa de
intercambio de ficheros punto a punto (P2P) KaZaA. |
1.- Propagación a
través del correo electrónico. |
Mydoom.A realiza el siguiente proceso:
Llega al ordenador afectado en un fichero adjunto a un mensaje de correo
electrónico.
Cuando el fichero es ejecutado, el ordenador queda afectado.
Hecho esto, Mydoom.A busca direcciones de correo en ficheros que tengan
las siguientes extensiones: HTM, SHT, PHP, ASP, DBX, TBB, ADB, PL, WAB y
TXT.
Mydoom.A se envía a sí mismo a todas las direcciones que encuentre y a
todos los contactos de la libreta de direcciones de Windows, utilizando
su propio motor SMTP. Para ello, intenta abrir una sesión SMTP y
conectarse a los posibles servidores de correo, que se componen añadiendo
los siguientes prefijos al dominio de correo del destinatario: gate.,
mail., mail1., mx., mx1., mxs., ns., relay., smtp. |
2.- Propagación a
través de KaZaA. |
Mydoom.A realiza el siguiente proceso:
- Crea copias de sí mismo en el directorio compartido de KaZaA. Estas
copias tienen nombre variable, que consisten en un nombre de fichero y
extensión aleatorios. Las distintas posibilidades son: WINAMP5,
ICQ2004-FINAL, ACTIVATION_CRACK, STRIP-GIRL-2.0BDCOM_PATCHES, ROOTKITXP,
OFFICE_CRACK, NUKE2004. Pueden llevar las extensiones: PIF, SCR, BAT, EXE.
Panda Software aconseja, si no se ha hecho ya, actualizar inmediatamente
las soluciones antivirus. Panda Software ha puesto a disposición de sus
clientes las correspondientes actualizaciones de sus productos para la
detección y eliminación de Mydoom.A.worm |
|