Noticias relacionadas Especial con toda la información referente a este virus

MyDoom (W32/MyDoom.A@mm y W32/MyDoom.B@mm) es un gusano que se propaga mediante envíos masivos de correo electrónico. El e-mail infectado que inicialmente se envía desde direcciones ”spoofed” o erróneas, lleva incorporado su propio motor SMTP, diseñado para transformar las máquinas infectadas en unidades de envío de spam que, a continuación, reenvían el mismo virus a otros destinatarios. La combinación de estos dos sistemas provoca un notable incremento del tráfico que sobrepasa las prestaciones de muchos sistemas de análisis antivirus utilizados a día de hoy en algunos entornos empresariales. Estos sistemas, que han sido desbordados, son, en su mayoría, tecnologías procedentes de la adaptación de soluciones de escaneo monopuesto y no disponen de prestaciones para la gestión inteligente de un gran volumen de correo electrónico desde el servidor de correo de la compañía.

Además, para enfrentarse a un virus tipo gusano con capacidad de reenviarse a la lista de correo de cada usuario infectado y así multiplicar exponencialmente su precensia en la red, como el MyDoom, es necesario tener en cuenta que el mensaje que transporta el archivo adjunto tiene como comentido servir de cebo o engaño y no detenta ningún interés para el receptor, por lo que es absurda su conservación y envío al buzon del destinatario tras la detección y eliminación del adjunto maligno. La total purga de este mensaje debería ser la lógica forma de obrar ya que su desaparición no deja al receptor sin una información de su interés y supone un notable descenso del tráfico de mensajes.

En un entorno empresarial en el que el tráfico de entrada y salida del correo procedente o dirigido a los buzones de los empleados es gestionado desde un servidor centralizado se debe buscar la mayor automatización de la gestión y la total desvinculación de los empleados de la configuración de estos sistemas. Para conseguirlo, es necesario contar con sistemas de mayores prestaciones a los instalados en los PC's y con un rendimiento adecuado a los requerimientos de gestión de amplios volumenes de tráfico de correo.

La detección del gusano es, sin duda, el mínimo que se le debe requerir a estos sistemas implantados en el servidor de correo de una empresa, pero, en casos, como el mydoom, también es necesarío que la solución cuente con la capacidad para la gestión centralizada de tres aspectos de vital importancia para garantizar la continuidad del servicio de correo en una empresa:

1.- Evitar la caída del servidor de correo ante el incremento de mensajes a analizar.
2.- Impedir que el mensaje ya desinfectado y libre del archivo adjunto que contiene el virus continue camino hacia su destinatario y llegue así a los buzones provocando el desconcierto de los usuarios que se creen infectados.
3.- En casos como el MyDoom, desactivar la opción de respuesta o información automática al remitente del mensaje que no es necesariamente su autentico emisor para nocontribuir al incremento del tráfico.

En la gestión del correo desde servidores es vital que el sistema de análisis actúe en memoria sin necesidad de reescribir la información en el disco del servidor, impidiendo así que el consumo de recursos del servidor pueda en momentos de un tráfico intenso provocar su caída con un alto coste para la empresa que pierde su servicio de correo y queda expuesta a la acción de hackers que aprovenchan el puerto libre para penetrar en ese entorno. La escritura de los mensajes en disco para el análisis puede llegar a ser mortal para el servidor de correo, cuando la velocidad de propagación del gusano es más rápida que la velocidad de limpieza del Antivirus. Tu propio Antivirus se convierte en tu peor virus.

También, como segunda medida de prevención, y atendiendo al hecho de que el mensaje que acompaña el virus no tienen ningún valor, la mejor manera de actuar ante la detección de un virus como MyDoom es la eliminación total del mensaje antes de que pueda dañar el sistema de la organización atacada. La purga total de virus que se transmiten por correo electrónico presenta varias ventajas. En primer lugar, se reduce a cero el riesgo de que se ejecute el código malicioso, porque la acción de purgar el virus no lleva aparejada ninguna interacción humana y el código, independiente del lenguaje empleado, no se ejecuta. En segundo lugar, la red corporativa interna mantiene íntegra su seguridad y el tráfico que circula por ella no incrementa, ya que no sólo se elimina el documento adjunto atacante, sino todo el mensaje de e-mail que lo portaba.

La no eliminación total del gusano en memoria, archivo adjunto y mensaje, permite que el mensaje acceda a la base de datos del servidor con dos importantes consecuencias sobre el tráfico de correo electrónico: primero el consumo de recursos y segundo que el mensaje ya desinfectado es distribuido a los buzones de correo de los usuarios lo que incrementa la alarma y en consecuencia los costes para la organización en concepto de llamadas a los equipos de soporte al usuario, pérdida de productividad e incremento del tráfico en la red.

Otro aspecto, que ha contribuido al éxito de mydoom sumando a su efecto maligno directo otros de colaterales proviene de la imposibilidad de de desactivar a demanada del administrador en algunos antivirus la respuesta o notificación automática que esta solución envía al emisor de un mensaje infectado. Si tenemos en cuenta que mydoom y otros virus similares se envían inicialmente desde direcciones”spoofed” o erróneas, el envío automático de notificaciones que realizan ciertos antivirus ha provocado que usuarios no infectados hayan recibido una notificación de que lo están. Este hecho, además de generar una falsa alarma, ha derivado en un incremento de mensajes que ha acentuado los graves problemas de volumen que han tenido algunas empresas para gestionar debidamente el tráfico de mensajes entrante en sus servidores de correo.

MyDoom nos ha enseñado de nuevo que los creadores de virus siempre mueven ficha antes que los fabricantes de vacunas, pero también que muchas empresas y corporaciones que no disponen de soluciones acordes con los requerimientos de una red corporativa han sufrido gravemente además de los efectos directos del virus otros de colaterales facilmente evitables.