|
|
|
|
Noticias |
El futuro de MSBlaster (o LoveSan), un virus mal programado.
[25-08-03]
MSBlaster pasará a los anales de la historia de Internet, como una de las epidemias más rápidas y devastadoras, infectando en un solo día cientos de miles de ordenadores de todo el mundo. Llama la atención que, por el hecho de aprovechar una vulnerabilidad muy sencilla de explotar, era de esperar la aparición de este tipo de gusano, pero una vez más la desinformación entre los usuarios no facilitó la prevención. Pero lo alarmante es que, examinando el comportamiento del gusano, lo peor puede estar por llegar.
Y es que, según los expertos, la primera versión del virus está realmente mal programada. Es extremadamente ineficiente, a pesar de su velocidad de expansión. El autor no se preocupó de programar un virus en sí, sino que copió y pegó el código del conocido exploit que aprovechaba la vulnerabilidad y le proporcionó un mecanismo artesano para propagarse, añadiendo una rutina que genera 20 direcciones IP al azar tomando como base la dirección del propio ordenador infectado. Esto demuestra una lentitud extrema con respecto al Code Red, que era capaz de escanear 100 o 200 direcciones a la vez.
Tampoco se preocupa de averiguar qué tipo de sistema operativo está intentando infectar (Windows XP ó 2000). Teniendo en cuenta que el exploit necesita conocer el sistema operativo para aplicar una dirección de retorno de pila adecuada y funcionar correctamente, esto supone un gran problema de expansión para el virus, que elige aleatoriamente la variante del exploit y reduce al 50 por ciento su capacidad de infección. Esta es la causa de que los sistemas XP se reinicien cada pocos minutos. En estos ordenadores, el virus ha intentado aplicar el exploit pensado para Windows 2000.
También llama la atención el hecho de que el gusano necesite conectarse a otra máquina a través del puerto 4444 para descargar el programa con la carga destructiva en sí. El exploit abre ese puerto en primera instancia y permite desde ahí la ejecución de código arbitrario. El hecho de que la infección se realice en dos tiempos (primero el desbordamiento que permite la ejecución de código y luego el comando TFTP para descargar el gusano en sí) también refleja la inexperiencia o poca habilidad del creador del gusano. La mayoría de los virus destructivos son capaces de realizar todo en un sólo movimiento mucho más rápido y destructivo. El uso de un puerto poco habitual (4444) también facilita su detección y control por parte de los administradores que utilicen cortafuegos.
El gusano se aprovecha de una vulnerabilidad descubierta el 16 de Julio en el RPC (Remote Procedure Call) de prácticamente todos los sistemas Windows. Este es un protocolo que proporciona a Windows un mecanismo de comunicación entre procesos para que un programa que se está ejecutando en un equipo pueda ejecutar también código en un sistema remoto. La facilidad para explotar este problema y conseguir ejecutar código arbitrario en la víctima ya estaba reportando suculentos beneficios a los hackers maliciosos que buscaban potenciales víctimas en el IRC desde finales de julio, cuando se hizo público el exploit. Aprovecharse del problema a mano conociendo la IP de la víctima resulta trivial.
Por todo esto, cabe esperar la rápida aparición de variantes que mejoren el rendimiento del virus. Distintas casas antivirus ya han detectado variantes B y C del gusano, que usan nombres de archivos tales como teekids.exe y penis32.exe respectivamente en vez del msblaster.exe original. Los cambios no son significativos (principalmente nombre y sistema de compresión) con respecto a la primera versión, creada sin duda por un programador poco experimentado o con demasiada prisa.
Teniendo en cuenta el impacto que ha tenido el virus aun con sus debilidades y deficiencias, un virus que aprovechase esa misma vulnerabilidad pero programado de forma eficiente (tal y como Slammer mostraba, toda una oda a la eficiencia y velocidad vírica ) hubiese sido una verdadera catástrofe. Podríamos considerar esta primera versión como un aviso, que ayudará a muchos a parchear sistemas e instalar por primera vez un firewall, algo que hasta ahora consideraban innecesario como herramienta contra los virus. Existe la creencia que un virus sólo puede infectar un sistema si el usuario ejecuta un archivo infectado.
Aunque cabe esperar igualmente que miles de usuarios no actualicen sus sistemas, convirtiéndose en incautos cómplices que ayudarán a la propagación de otras versiones mucho más destructivas. ¿Está lo peor por llegar?
Más información y referencias:
Next-Gen Windows Worms Will Be Smarter http://www.pcworld.com/news/article/0,aid,111992,00.asp
Asia Grapples with Variants of Blaster Worm http://www.boston.com/business/technology/articles/2003/08/14/asia_grapples_with_variants_of_blaster_worm
Self-Propagating Worm Spreads http://www.pcworld.com/news/article/0,aid,111965,00.asp
Lovsan, Blaster o MSBlast. Una pesadilla anunciada http://www.vsantivirus.com/ev12-08-03.htm
Sergio de los Santos http://www.forzis.com
Noticias actuales...
Archivo de noticias...
|
|
|
|
Gratis Servicio de noticias
|
|
Tus Sugerencias son bienvenidas
Pincha Aquí |
¡¡Lista de correo!!
Introduzca su correo:
|
|