MyDoom (W32/MyDoom.A@mm y W32/MyDoom.B@mm) es un gusano que
se propaga mediante envíos masivos de correo electrónico. El e-mail infectado
que inicialmente se envía desde direcciones ”spoofed” o erróneas, lleva
incorporado su propio motor SMTP, diseñado para transformar las máquinas
infectadas en unidades de envío de spam que, a continuación, reenvían el mismo
virus a otros destinatarios. La combinación de estos dos sistemas provoca un
notable incremento del tráfico que sobrepasa las prestaciones de muchos sistemas
de análisis antivirus utilizados a día de hoy en algunos entornos empresariales.
Estos sistemas, que han sido desbordados, son, en su mayoría, tecnologías
procedentes de la adaptación de soluciones de escaneo monopuesto y no disponen
de prestaciones para la gestión inteligente de un gran volumen de correo
electrónico desde el servidor de correo de la compañía.
Además, para enfrentarse a un virus tipo gusano con capacidad de reenviarse a la
lista de correo de cada usuario infectado y así multiplicar exponencialmente su
precensia en la red, como el MyDoom, es necesario tener en cuenta que el mensaje
que transporta el archivo adjunto tiene como comentido servir de cebo o engaño y
no detenta ningún interés para el receptor, por lo que es absurda su
conservación y envío al buzon del destinatario tras la detección y eliminación
del adjunto maligno. La total purga de este mensaje debería ser la lógica forma
de obrar ya que su desaparición no deja al receptor sin una información de su
interés y supone un notable descenso del tráfico de mensajes.
En un entorno empresarial en el que el tráfico de entrada y salida del correo
procedente o dirigido a los buzones de los empleados es gestionado desde un
servidor centralizado se debe buscar la mayor automatización de la gestión y la
total desvinculación de los empleados de la configuración de estos sistemas.
Para conseguirlo, es necesario contar con sistemas de mayores prestaciones a los
instalados en los PC's y con un rendimiento adecuado a los requerimientos de
gestión de amplios volumenes de tráfico de correo.
La detección del gusano es, sin duda, el mínimo que se le debe requerir a estos
sistemas implantados en el servidor de correo de una empresa, pero, en casos,
como el mydoom, también es necesarío que la solución cuente con la capacidad
para la gestión centralizada de tres aspectos de vital importancia para
garantizar la continuidad del servicio de correo en una empresa:
1.- Evitar la caída del servidor de correo ante el incremento de mensajes a
analizar.
2.- Impedir que el mensaje ya desinfectado y libre del archivo adjunto que
contiene el virus continue camino hacia su destinatario y llegue así a los
buzones provocando el desconcierto de los usuarios que se creen infectados.
3.- En casos como el MyDoom, desactivar la opción de respuesta o información
automática al remitente del mensaje que no es necesariamente su autentico emisor
para nocontribuir al incremento del tráfico.
En la gestión del correo desde servidores es vital que el sistema de análisis
actúe en memoria sin necesidad de reescribir la información en el disco del
servidor, impidiendo así que el consumo de recursos del servidor pueda en
momentos de un tráfico intenso provocar su caída con un alto coste para la
empresa que pierde su servicio de correo y queda expuesta a la acción de hackers
que aprovenchan el puerto libre para penetrar en ese entorno. La escritura de
los mensajes en disco para el análisis puede llegar a ser mortal para el
servidor de correo, cuando la velocidad de propagación del gusano es más rápida
que la velocidad de limpieza del Antivirus. Tu propio Antivirus se convierte en
tu peor virus.
También, como segunda medida de prevención, y atendiendo al hecho de que el
mensaje que acompaña el virus no tienen ningún valor, la mejor manera de actuar
ante la detección de un virus como MyDoom es la eliminación total del mensaje
antes de que pueda dañar el sistema de la organización atacada. La purga total
de virus que se transmiten por correo electrónico presenta varias ventajas. En
primer lugar, se reduce a cero el riesgo de que se ejecute el código malicioso,
porque la acción de purgar el virus no lleva aparejada ninguna interacción
humana y el código, independiente del lenguaje empleado, no se ejecuta. En
segundo lugar, la red corporativa interna mantiene íntegra su seguridad y el
tráfico que circula por ella no incrementa, ya que no sólo se elimina el
documento adjunto atacante, sino todo el mensaje de e-mail que lo portaba.
La no eliminación total del gusano en memoria, archivo adjunto y mensaje,
permite que el mensaje acceda a la base de datos del servidor con dos
importantes consecuencias sobre el tráfico de correo electrónico: primero el
consumo de recursos y segundo que el mensaje ya desinfectado es distribuido a
los buzones de correo de los usuarios lo que incrementa la alarma y en
consecuencia los costes para la organización en concepto de llamadas a los
equipos de soporte al usuario, pérdida de productividad e incremento del tráfico
en la red.
Otro aspecto, que ha contribuido al éxito de mydoom sumando a su efecto maligno
directo otros de colaterales proviene de la imposibilidad de de desactivar a
demanada del administrador en algunos antivirus la respuesta o notificación
automática que esta solución envía al emisor de un mensaje infectado. Si tenemos
en cuenta que mydoom y otros virus similares se envían inicialmente desde
direcciones”spoofed” o erróneas, el envío automático de notificaciones que
realizan ciertos antivirus ha provocado que usuarios no infectados hayan
recibido una notificación de que lo están. Este hecho, además de generar una
falsa alarma, ha derivado en un incremento de mensajes que ha acentuado los
graves problemas de volumen que han tenido algunas empresas para gestionar
debidamente el tráfico de mensajes entrante en sus servidores de correo.
MyDoom nos ha enseñado de nuevo que los creadores de virus siempre mueven ficha
antes que los fabricantes de vacunas, pero también que muchas empresas y
corporaciones que no disponen de soluciones acordes con los requerimientos de
una red corporativa han sufrido gravemente además de los efectos directos del
virus otros de colaterales facilmente evitables.
|