Mydoom.A: cronología de una epidemia de gran impacto social.

El gusano Mydoom.A ha sido el código malicioso que más rápidamente se ha propagado en la historia de la informática, y ha provocado la mayor epidemia vírica conocida hasta la fecha. Así, se estima que ha infectado más de 500.000 ordenadores en todo el mundo, de los que miles de ellos corresponden a parques informáticos corporativos.

Mydoom.A: cronología de una epidemia de gran impacto social.De hecho, 1 de cada 4 e-mails – equivalente a más de 8 millones de correos electrónicos – que se encontraban en circulación estaban infectados por este gusano.

Asimismo, las pérdidas económicas provocadas por Mydoom.A son incalculables. El jueves 29, CNN ya estimaba que – por el descenso de productividad y los gastos derivados de los servicios de soporte técnico -, podían ascender a 250 millones de dólares. Este dato puede ser consultado en: .

Por su parte, la consultora mi2g cifra en 3 billones de dólares las perdidas ocasionadas por la acción de este gusano.

Sin embargo, debe tenerse en cuenta que puede seguir causando daños hasta el próximo 12 de febrero, ya que Mydoom.A ha sido diseñado para propagarse hasta ese día. De hecho, las cifras de distribución e infección se mantienen estables, e incluso se observan repuntes periódicos.

Para entender mejor como se llegado esta situación, Panda Software publica una cronología de los acontecimientos desde que Mydoom.A hizo su aparición.

Martes 27 de enero.

Los laboratorios antivirus detectan la presencia de un nuevo gusano. Al mismo tiempo, los servicios de Soporte Técnico comienzan a registrar incidencias -casi de manera continuada- en varios países del mundo. Ante ello, y mientras se procede al análisis del virus y a la elaboración de la correspondiente vacuna, se declara el estado de alerta roja por epidemia de virus.

El procedimiento que se sigue para detectar un virus es muy fácil de explicar, pero no tanto de llevar a cabo. La primera tarea es, evidentemente, disponer del código malicioso. Para ello se tienen varias fuentes. Una de ellas es la información que se tiene de los usuarios del antivirus, que mandan al laboratorio ficheros sospechosos de contener virus, bien porque el usuario lo cree así o bien porque los motores heurísticos del antivirus lo detectan como fichero peligroso.

Por un lado, expertos programadores llevan a cabo ingeniería inversa con el código del virus. Descubren cuál es el código interno del mismo y las funciones que lleva a cabo. En paralelo, y en una red de ordenadores aislada del exterior se infectan varios equipos. Con una serie de marcadores dentro de estos ordenadores de pruebas, se sigue su comportamiento y capacidad de infección.

Una vez que los dos equipos tienen toda la información, se empieza la tarea de generar una “vacuna”, que por un lado consiste en hallar un identificador para el virus, su “firma”, y por otro generar el mecanismo que desinfecte el virus. Una vez se tienen estos datos, se incluyen en la “actualización” del antivirus, y se pone a disposición de los usuarios en la página web.

Rápidamente, Panda Software pone a disposición de sus clientes las correspondientes actualizaciones de sus productos para la detección y eliminación de Mydoom.A.

Sin embargo, un gran numero de equipos aún carecen de la adecuada protección antivirus y, muchos otros, aún teniéndola, no la actualizan. Esto provoca que Mydoom.A pueda propagarse sin ningún tipo de obstáculo. De hecho, está diseñado para enviarse eficazmente a través de correo electrónico.

Por ello, y para tratar de impedir esa propagación explosiva inicial, Panda Software pone gratuitamente a disposición de los usuarios la aplicación PQRemove que detecta y elimina a Mydoom.A de los equipos afectados y, además, restaura las configuraciones que el ordenador tuviera antes de ser atacado por el gusano.
Dicha herramienta puede ser descargada desde:
www.pandaantivirus.com.ar/alertavirus

Sin embargo, la propagación del gusano siga incrementándose a ritmo vertiginoso, y muchos equipos siguen siendo infectados por Mydoom.A. Poco a poco se confirma que estamos ante la peor epidemia vírica que ha conocido Internet.

Las compañías antivirus continúan advirtiendo a los usuarios, sobre todo a las corporaciones, ya que son las victimas predilectas de Mydoom.A. Incluso se dan casos de empresas cuyos antivirus están bloqueando cada minuto 3.000 e-mails infectados por el gusano que intentan entrar en la red.

Las cifras no dejan lugar a dudas: más de un millón y medio de e-mails infectados por Mydoom.A se encuentran en circulación y 150.000 equipos ya ha sido víctimas del gusano.

Miércoles 28 de enero.

Mydoom.A continúa propagándose a gran ritmo, pese a que las compañías antivirus continúan alertando a los usuarios, sobre todo a los corporativos. Los últimos datos indican que 1 de cada 12 correos electrónicos que se encuentran en circulación son portadores del código malicioso. Esta cifra supera ampliamente a la que alcanzó Sobig.F (1 de cada 17) el pasado verano, y que hasta ayer estaba considerado como el virus que más rápidamente se había propagado en la historia de la informática.

Según los datos recogidos por la solución antivirus online de Panda Software, Panda ActiveScan, el número de infecciones provocadas por Mydoom.A es seis veces superior a las causadas por Bugbear.B, segundo virus más frecuentemente detectado.

Asimismo, se estima que 300.000 ordenadores, entre los que se encuentran los de miles de empresas de todo el mundo, ya han resultado infectados por Mydoom.A.

Además, en las últimas horas de ese día, hizo su aparición Mydoom.B, una variante más peligrosa que la anterior debido a que había sido programada para impedir que muchos antivirus fueran capaces de actualizarse. Sin embargo, no llego a producir un número de incidencias demasiado significativo.

Jueves 29 de enero.

Mydoom.A mantiene su elevado ritmo de propagación. Uno de cada cinco correos electrónicos que se encuentran en circulación son portadores de su código. Así, cuatro millones de e-mails infectados por este gusano están difundiéndose. “Mydoom.A no alcanza mayores cotas por las medidas de seguridad que han adoptado las empresas tras ser infectadas”, explica Luis Corrons, director de PandaLabs. “Sin embargo” destaca “tampoco cesa, ya que ahora está atacando a las compañías que sobrevivieron a la primera oleada de mensajes infectados y carecen de protección”.

Según los datos recogidos por la solución antivirus online de Panda Software, Panda ActiveScan, el número de infecciones provocadas por Mydoom.A sigue siendo seis veces superior a las causadas por Dowloader.L, que es el segundo virus más frecuentemente detectado. Los entornos corporativos de todo el mundo son los principales afectados por Mydoom.A, por lo que la cifra de ordenadores infectados supera ya los 400.000.

Viernes 30 de enero.

El número de infecciones provocadas por el gusano Mydoom.A parece haberse estabilizado, aunque sigue siendo casi seis veces superior a las causadas por Downloader.L, segundo virus más frecuentemente detectado por Panda ActiveScan. Se estima que cerca de 500.000 equipos en todo el mundo – principalmente de empresas – están siendo afectados por la actividad de este código malicioso. Esto demuestra la gran actividad del gusano, ya que, al tiempo que muchas corporaciones desinfectan sus sistemas, otras muchas resultan afectadas.

Sin embargo, el gusano continúa propagándose de forma que se encuentran en circulación 8 millones de correos conteniendo el código del gusano, es decir, 1 de cada 4 e-mails en todo el mundo se encuentran infectados por Mydoom.A.

Es de esperar que, a lo largo del sábado, la epidemia comience a remitir, dado que muchas empresas interrumpen su actividad. Sin embargo, el 1 de febrero el gusano intentará provocar un ataque de denegación de servicio distribuido (DDoS) contra la compañía SCO, con el objetivo de impedir a los usuarios el acceso a su página web.

En cualquier caso, el hecho de que el gusano deje de propagarse no debe ser motivo de relajación a la hora de proteger los equipos. Como se recordará, Mydoom.A crea una puerta trasera en los sistemas que permite el acceso no autorizado de usuarios maliciosos. Así, en la últimas horas se ha detectado una gran actividad en Internet relacionada con la búsqueda de equipos que hayan sido infectados y que, por tanto, en estos momentos sean vulnerables.

En esta situación, Panda Software aconseja la instalación y puesta a punto de firewalls. De esta manera, se impedirán tanto los ataques DDoS como los intentos de intrusión en los sistemas, neutralizándose totalmente los efectos del gusano.

Sábado 31 de enero

Debido a la paralización de la actividad de muchas empresas la epidemia comienza a remitir, si bien, el número de infecciones provocadas por Mydoom.A sigue siendo muy elevado.

Domingo 1 de febrero:

Mydoom.A comienza a realizar el ataque de denegación de servicio distribuido (DDoS) programado contra la página web de la compañía SCO. A la espera de una declaración oficial, el único dato del que disponemos es que la mencionada página es inaccesible para los usuarios.

Lunes 2 de febrero

Pese a que durante el fin de semana la epidemia ha remitido ligeramente, el número de incidencias se mantiene. Además, con el inicio de la jornada laboral se ha experimentado un nuevo rebrote que ha hecho que la incidencia de Mydoom.A comience a aumentar en países como Japón.

A nivel mundial, el número de infecciones provocadas por Mydoom.A sigue siendo casi cinco veces superior a las provocadas por Downloader.L, segundo virus más frecuentemente detectado por Panda ActiveScan. Sin embargo, a medida que la actividad laboral se reanuda en diversas partes del mundo, puede observarse un repunte del número de infecciones.

Al igual que ayer, la página web de la compañía SCO continúa fuera de servicio.

DATOS SOBRE LA PROPAGACIÓN DE MYDOOM.A

En el caso del virus Mydoom, el sistema de medición de la propagación puede obtenerse de una manera muy sencilla sin recurrir a detecciones externas. Este virus efectúa una búsqueda de direcciones de correo electrónico en el sistema afectado, pero para poder enviar los correos electrónicos necesita averiguar el nombre del servidor de correo electrónico utilizado por cada dirección. Para ello, intenta con las distintas combinaciones de direcciones de servidores SMTP, con la esperanza de que alguna de ellas funcione.

Pero el problema que origina este comportamiento es un incremento desmesurado de intentos de resolución de nombres en los servidores DNS. Simplemente mirando los gráficos que ofrecen distintos servidores raíz, podemos hacernos una idea muy exacta de la incidencia de el virus.

En el gráfico de la actividad de los servidores DNS gestionados por RIPE (Reseaux IP Europeéns) en la última semana, sobre las resoluciones de nombres rechazadas, se observa con toda claridad que el número de consultas rechazadas es muchísimo mayor que las normales. Esta actividad se debe a que el virus está intentando resolver nombres de servidores no existentes.

Sin embargo, el número de consultas realizadas, aunque experimenta un crecimiento, no es el mismo que el de los rechazos. Mientras que en la semana anterior a la aparición del virus en ningún momento se superó la cifra de 5,5 millones de peticiones, desde que el virus empezó a propagarse se llega a 7 millones, es decir, se ha incrementado en un factor menor de 2. Sin embargo, las peticiones rechazadas se multiplican por mucho más de 100.

CARACTERÍSTICAS TÉCNICAS DE MYDOOM.A:

Mydoom.A es un gusano que se propagará hasta el 12 de febrero de 2004 a través de correo electrónico en un mensaje con características variables, y a través del programa de ficheros compartidos (P2P) KaZaA.

El mensaje en el que Mydoom.A llega al equipo tiene las siguientes características:

a) Remitente: nunca es verdadero, ya que el gusano falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección, dando lugar a confusiones.

b) Asunto: uno de los siguientes:

test; hi; hello; MailDelivery System; Mail Transaction Failed; Server Report;
Status; Error

c) Cuerpo del mensaje: uno de los siguientes:

Mail Transaction Failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

d) Fichero adjunto: tanto el nombre y la extensión del fichero son variables.

Nombres posibles:

DOCUMENT ; README ; DOC ; TEXT ; FILE; DATA; TEST; MESSAGE; BODY.

Extensiones posibles:

PIF; SCR; EXE; CMD; BAT; ZIP.

Algunas veces, el fichero adjunto tiene doble extensión. En ese caso, la primera siempre será HTM, TXT o DOC.

Mydoom.A también realiza ataques de denegación de servicio distribuido (DDoS) contra la dirección http://www.sco.com si la fecha del sistema se encuentra entre el 1 y el 12 de Febrero de 2004. Para ello, lanza peticiones GET/ HTTP/ 1.1 cada 1024 milisegundos.

A partir del 12 de febrero de 2004, el gusano finaliza sus efectos, terminando su ejecución cada vez que sea activado.

Mydoom.A descarga en el equipo un archivo llamado SHIMGAPI.DLL, que crea un backdoor que abre el primer puerto TCP disponible desde el 3127 al 3198. Este backdoor permite descargar y ejecutar un fichero ejecutable, y actúa como un servidor proxy que permite que un hacker gane acceso remoto a los recursos de red.

La infección por Mydoom.A es fácil de reconocer puesto que, cuando es ejecutado, abre el Bloc de notas de Windows (NOTEPAD.EXE) y muestra un texto sin sentido.

Además, crea en el equipo dos archivos. Uno de ellos, con el nombre TASKMON.EXE contiene, en realidad, una copia del gusano. El otro es denominado MESSAGE y contiene el texto que muestra el Bloc de notas la primera vez que se activa el gusano.

Mydoom.A crea varias entradas en el registro de Windows con el fin de asegurar su ejecución cada vez que se reinicie el equipo

Mydoom.A se propaga a través del correo electrónico y del programa de intercambio de ficheros punto a punto (P2P) KaZaA.

1.- Propagación a través del correo electrónico.

Mydoom.A realiza el siguiente proceso:

Llega al ordenador afectado en un fichero adjunto a un mensaje de correo electrónico.
Cuando el fichero es ejecutado, el ordenador queda afectado.

Hecho esto, Mydoom.A busca direcciones de correo en ficheros que tengan las siguientes extensiones: HTM, SHT, PHP, ASP, DBX, TBB, ADB, PL, WAB y TXT.

Mydoom.A se envía a sí mismo a todas las direcciones que encuentre y a todos los contactos de la libreta de direcciones de Windows, utilizando su propio motor SMTP. Para ello, intenta abrir una sesión SMTP y conectarse a los posibles servidores de correo, que se componen añadiendo los siguientes prefijos al dominio de correo del destinatario: gate., mail., mail1., mx., mx1., mxs., ns., relay., smtp.

2.- Propagación a través de KaZaA.

Mydoom.A realiza el siguiente proceso:

– Crea copias de sí mismo en el directorio compartido de KaZaA. Estas copias tienen nombre variable, que consisten en un nombre de fichero y extensión aleatorios. Las distintas posibilidades son: WINAMP5, ICQ2004-FINAL, ACTIVATION_CRACK, STRIP-GIRL-2.0BDCOM_PATCHES, ROOTKITXP, OFFICE_CRACK, NUKE2004. Pueden llevar las extensiones: PIF, SCR, BAT, EXE.

Panda Software aconseja, si no se ha hecho ya, actualizar inmediatamente las soluciones antivirus. Panda Software ha puesto a disposición de sus clientes las correspondientes actualizaciones de sus productos para la detección y eliminación de Mydoom.A.worm. Pese a que los productos de Panda Software se actualizan de forma diaria y automática, si por necesidades específicas algún usuario tiene configurado su antivirus para realizar las actualizaciones de forma manual.

Asimismo, en caso de que un ordenador haya resultado infectado por Mydoom.A.worm, puede utilizarse la herramienta PQRemove que Panda Software ha puesto gratuitamente a disposición de todos los usuarios. Esta aplicación detecta y elimina Mydoom.A.worm de los equipos afectados y, además, restaura las configuraciones que el ordenador tuviera antes de ser atacado por el gusano.

Dicha herramienta puede ser descargada desde:
www.pandaantivirus.com.ar/alertavirus

Por otra parte, y para cerciorarse de que la protección con la que cuentan los ordenadores es la adecuada, Panda Software pone a disposición de todos los usuarios la herramienta online y gratuita Antivirus Checker. En concreto, indica si tiene antivirus instalado y cuál, y si éste se encuentra actualizado y, por lo tanto, si mantiene al equipo totalmente a salvo de los posibles ataques víricos que puedan producirse.
Antivirus Checker se encuentra disponible en:
www.pandaantivirus.com.ar/checker

Los usuarios que lo deseen pueden analizar online sus ordenadores con la solución antivirus gratuita Panda ActiveScan, que se encuentra disponible en la página web de la compañía, en:
www.ActiveScan.com.ar

Puede consultarse información detallada sobre Mydoom.A.worm en la Enciclopedia de Virus de Panda Software: www.pandaantivirus.com.ar/enciclopedia

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Fuente:
Panda Antivirus
www.pandaantivirus.com.ar
Distribuidor Mayorista Panda Software Argentina
Información Suministrada por Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática