La reacción de las diferentes soluciones antivirus, en ofrecer la actualización pertinente a sus usuarios para detectar la nueva variante del gusano, fue la siguiente:
- [TrendMicro] 28/01/2004 18:09:56 :: WORM_MYDOOM.B
[Kaspersky] 28/01/2004 19:13:33 :: I-Worm.Mydoom.b
[Panda] 28/01/2004 19:47:46 :: W32/Mydoom.B.worm
[NOD32] 28/01/2004 20:38:44 :: Win32/Mydoom.B
[McAfee] 28/01/2004 20:57:17 :: W32/Mydoom.b@MM
[Sophos] 28/01/2004 20:57:40 :: W32/MyDoom-B
[InoculateIT] 28/01/2004 23:05:09 :: Win32/Mydoom.B.
[Norton] 29/01/2004 00:45:41 :: W32.Mydoom.B@mm
Datos obtenidos por el sistema de monitorización 24hx7d del laboratorio de Hispasec.
Con respecto al gusano original, rebautizado como Mydoom.A para diferenciarlo de esta nueva versión, destaca que incluye a www.microsoft.com como objetivo del ataque distribuido por denegación de servicio, que en el caso del servidor de Microsoft comenzaría el próximo 3 de febrero.
Como funcionalidad adicional, Mydoom.B también modifica el archivo hosts de Windows, con la intención de impedir que el sistema infectado pueda acceder a determinados dominios de Internet, la mayoría relacionados con la actualizaciones de antivirus, actualizaciones de Microsoft, y sitios web de seguridad informática. Con esta acción, el autor del gusano intenta que los usuarios infectados no puedan acceder vía Internet a las herramientas para desinfectar sus equipos y mejorar la seguridad de los mismos.
Luchando contra la epidemia
La mayoría de las casas antivirus están proporcionando herramientas gratuitas para detectar y desinfectar a Mydoom, si bien el número de mensajes infectados que circulan sigue siendo muy elevado.
Para muchos Mydoom ya no representa un problema vírico para sus sistemas, ya que cuentan con la protección adecuada, sino de puro spam masivo que sus buzones o servidores de correo siguen sufriendo con la llegada de mensajes infectados.
En este punto se supone que la mayoría de empresas y usuarios con soluciones antivirus se encuentran protegidas, pese a que algunos pudieron caer en las primera fase de propagación del gusano por no contar con la actualización pertinente.
El problema ahora se encuentra en localizar y desinfectar aquellos sistemas de usuarios que no tienen una cultura de seguridad, que no cuentan con herramientas para protegerse, y ni siquiera tienen información al respecto. Resultará complicado acabar por completo con Mydoom mientras que existan usuarios que no saben que sus sistemas se encuentran infectados y propagando el gusano. Aunque Mydoom.A viene con fecha de caducidad, y cesará su actividad en febrero, está por ver posibles nuevas variantes.
Un nuevo enfoque contra los gusanos con puerta trasera
Un enfoque diferente al de los antivirus tradicionales, que permite detectar y actuar sobre los sistemas infectados, consiste en aprovechar la puerta trasera del gusano.
Mientras que un antivirus tradicional requiere que el usuario del sistema infectado sea consciente de la infección y realice una serie de operaciones a demanda, como instalar un antivirus o acceder a un servicio de este tipo a través de Internet, este nuevo enfoque permite que un tercero detecte los sistemas infectados y, dependiendo de las características de la puerta trasera del virus, hasta proceder a su desinfección remota.
La detección remota de esos sistemas se presenta relativamente fácil, una vez que se conoce que puertos específicos abre un espécimen para permitir la entrada. En el caso de Mydoom se pueden obtener datos con un simple escáner que dado un rango realice un barrido TCP entre los puertos 3127 y 3198, detectando las IPs de los sistemas que tienen activos esos puertos.
Para una detección más fiable, y minimizar los falsos positivos, sobre todo si se trata de puertos más comunes, habría que interactuar con el servicio para confirmar que se trata de la puerta trasera del espécimen. Si la puerta trasera permite ejecutar comandos sobre el sistema, o descargar y ejecutar aplicaciones, la solución podría automáticamente desinfectar la máquina de forma remota.
Las experiencias de Hispasec con este tipo de soluciones son bastante positivas en redes corporativas, donde existe un buen conocimiento de los sistemas y control total.
En el aire quedan las implicaciones éticas y legales de una hipotética desinfección a gran escala, dedicando sistemas a realizar este tipo de operaciones de detección y desinfección remota a través de Internet de forma indiscriminada contra sistemas ajenos. También hay que valorar las dificultades técnicas adicionales que podríamos encontrar, incluyendo máquinas que no podría detectar por encontrarse detrás de otros sistemas, por ejemplo un simple router ADSL, o problemas que pudiera ocasionar la propia vacuna.
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec
