Gusano Mydoom, la epidemia continúa

La lucha continúa en la desinfección del Mydoom original, desde Hispasec
analizamos los problemas y proponemos nuevos enfoques.

Cuando aun no habían transcurrido 48 horas desde la explosión del gusano

Mydoom, epidemia que a día de hoy perdura, apareció una segunda versión

que, hasta el momento, apenas se hace notar.

La reacción de las

diferentes soluciones antivirus, en ofrecer la actualización pertinente

a sus usuarios para detectar la nueva variante del gusano, fue la

siguiente:

[TrendMicro] 28/01/2004 18:09:56 :: WORM_MYDOOM.B

[Kaspersky] 28/01/2004 19:13:33 :: I-Worm.Mydoom.b

[Panda] 28/01/2004

19:47:46 :: W32/Mydoom.B.worm

[NOD32] 28/01/2004 20:38:44 ::

Win32/Mydoom.B

[McAfee] 28/01/2004 20:57:17 :: W32/Mydoom.b@MM

[Sophos] 28/01/2004 20:57:40 :: W32/MyDoom-B

[InoculateIT] 28/01/2004

23:05:09 :: Win32/Mydoom.B.

[Norton] 29/01/2004 00:45:41 ::

W32.Mydoom.B@mm

Datos obtenidos por el sistema de monitorización

24hx7d del laboratorio de Hispasec.

Con respecto al gusano

original, rebautizado como Mydoom.A para diferenciarlo de esta nueva

versión, destaca que incluye a www.microsoft.com como objetivo del

ataque distribuido por denegación de servicio, que en el caso del

servidor de Microsoft comenzaría el próximo 3 de febrero.

Como funcionalidad adicional, Mydoom.B también modifica el archivo hosts de

Windows, con la intención de impedir que el sistema infectado pueda

acceder a determinados dominios de Internet, la mayoría relacionados con

la actualizaciones de antivirus, actualizaciones de Microsoft, y sitios

web de seguridad informática. Con esta acción, el autor del gusano

intenta que los usuarios infectados no puedan acceder vía Internet a las

herramientas para desinfectar sus equipos y mejorar la seguridad de los

mismos.

Luchando contra la epidemia

La mayoría de las casas antivirus están proporcionando herramientas

gratuitas para detectar y desinfectar a Mydoom, si bien el número de

mensajes infectados que circulan sigue siendo muy elevado.

Para

muchos Mydoom ya no representa un problema vírico para sus sistemas, ya

que cuentan con la protección adecuada, sino de puro spam masivo que sus

buzones o servidores de correo siguen sufriendo con la llegada de

mensajes infectados.

En este punto se supone que la mayoría de

empresas y usuarios con soluciones antivirus se encuentran protegidas,

pese a que algunos pudieron caer en las primera fase de propagación del

gusano por no contar con la actualización pertinente.

El

problema ahora se encuentra en localizar y desinfectar aquellos sistemas

de usuarios que no tienen una cultura de seguridad, que no cuentan con

herramientas para protegerse, y ni siquiera tienen información al

respecto. Resultará complicado acabar por completo con Mydoom mientras

que existan usuarios que no saben que sus sistemas se encuentran

infectados y propagando el gusano. Aunque Mydoom.A viene con fecha de

caducidad, y cesará su actividad en febrero, está por ver posibles

nuevas variantes.

Un nuevo enfoque contra los gusanos con puerta trasera

Un enfoque diferente al de los antivirus tradicionales, que permite

detectar y actuar sobre los sistemas infectados, consiste en aprovechar

la puerta trasera del gusano.

Mientras que un antivirus

tradicional requiere que el usuario del sistema infectado sea consciente

de la infección y realice una serie de operaciones a demanda, como

instalar un antivirus o acceder a un servicio de este tipo a través de

Internet, este nuevo enfoque permite que un tercero detecte los sistemas

infectados y, dependiendo de las características de la puerta trasera

del virus, hasta proceder a su desinfección remota.

La

detección remota de esos sistemas se presenta relativamente fácil, una

vez que se conoce que puertos específicos abre un espécimen para

permitir la entrada. En el caso de Mydoom se pueden obtener datos con un

simple escáner que dado un rango realice un barrido TCP entre los

puertos 3127 y 3198, detectando las IPs de los sistemas que tienen

activos esos puertos.

Para una detección más fiable, y minimizar

los falsos positivos, sobre todo si se trata de puertos más comunes,

habría que interactuar con el servicio para confirmar que se trata de la

puerta trasera del espécimen. Si la puerta trasera permite ejecutar

comandos sobre el sistema, o descargar y ejecutar aplicaciones, la

solución podría automáticamente desinfectar la máquina de forma remota.

Las experiencias de Hispasec con este tipo de soluciones son bastante

positivas en redes corporativas, donde existe un buen conocimiento de

los sistemas y control total.

En el aire quedan las implicaciones

éticas y legales de una hipotética desinfección a gran escala, dedicando

sistemas a realizar este tipo de operaciones de detección y desinfección

remota a través de Internet de forma indiscriminada contra sistemas

ajenos. También hay que valorar las dificultades técnicas adicionales

que podríamos encontrar, incluyendo máquinas que no podría detectar por

encontrarse detrás de otros sistemas, por ejemplo un simple router ADSL,

o problemas que pudiera ocasionar la propia vacuna.