Mostrando mensaje 192     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1143 Año 7, Domingo 24 de agosto de 2003 Fecha: Domingo, 24 de Agosto, 2003  03:20:01 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1143 Año 7, Domingo 24 de agosto de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ Reflexiones sobre el Sobig.F, lo que nadie dijo _____________________________________________________________ http://www.vsantivirus.com/sobigf-reflexiones.htm Reflexiones sobre el Sobig.F, lo que nadie dijo Por Jose Luis Lopez videosoft@videosoft.net.uy Aunque el Sobig.F apareció hace menos de una semana (el martes 19 de agosto de 2003), es a la fecha, el gusano de mayor propagación en el mundo, lo que no es poco decir, porque en lo que va de agosto, se ha dicho lo mismo de otros, como el Blaster o el Mimail, que también han alcanzado cuotas cada vez más extensas en las estadísticas. Pero además, Sobig.F, utiliza solo el correo electrónico para difundirse, a diferencia de otros como el Blaster (o Lovsan), que también llegó a los primeros puestos, pero infectando computadoras vulnerables o sin la protección de un cortafuegos, por el simple hecho de estar conectadas a Internet. Sobig.F ha dejado fuera de servicio a muchos servidores de correo, por la gran cantidad de mensajes creados. Imagínese "solo" 500,000 usuarios infectados (la cifra real puede ser mucho mayor), y que cada uno de ellos envíe cada 10 segundos decenas y a veces cientos de mensajes. * Las direcciones falsas. Sobig.F, como muchos otros, entre los que podemos destacar al Bugbear, Fizzer, Mimail o Klez, disfrazan la dirección del remitente. Es decir, cuando usted recibe un mensaje infectado de alguien (conocido o no), esa persona tal vez ni siquiera esté infectada, simplemente el gusano a tomado su dirección de alguna de tantas máquinas infectadas. Solo es necesario que cualquiera de nosotros haya enviado un mensaje electrónico alguna vez, o que nuestra dirección esté en alguna página o documento visto en algún momento por un usuario cualquiera, para que, si ese usuario se infecta, el gusano seleccione al azar nuestra dirección como falso remitente para enviar sus mensajes infectadas. * El efecto amplificador de los "autoresponders". Algunos servidores o aplicaciones que examinan todos los mensajes electrónicos que pasan por ellos en busca de virus, suelen responder automáticamente al remitente cuando detectan un virus. Como el "Remitente" es falso, la respuesta automática la recibe por lo general un usuario inocente, lo que ocasiona múltiples molestias. La primera consecuencia es generar confusión y preocupación en aquél que recibe la notificación de haber enviado un mensaje infectado, sin que ello sea cierto. Motivo más que suficiente para generar pánico en muchas personas sin experiencia, o aún con ella. Y en ocasiones, una comedia de acusaciones falsas, e incluso desprestigio. Lo cierto, es que de todos modos, responder con el aviso de mensaje infectado, es un acto inútil. Y lo más importante, se genera un tráfico innecesario de mensajes que se suma al del propio gusano, causando más problemas que soluciones. Una buena práctica que todos los administradores encargados de estos sistemas automáticos deberían aplicar como norma, es deshabilitar la autorespuesta para todo mensaje infectado. En éste, como en muchos otros casos, es peor el remedio que la enfermedad. Actualmente las cifras publicadas por varias fuentes, superan los más de 100 millones de mensajes interceptados solo por algunas de estas empresas. Si a esta cifra le sumamos las autorespuestas, el tráfico es algo verdaderamente enorme. * La historia del spam. Una de las razones que los expertos manejan para justificar la rápida propagación del Sobig.F, es el empleo de técnicas de spam. Sin embargo, me atrevo a afirmar que el mayor culpable es la desinformación, y sobre todo la falta de responsabilidad de los usuarios. El Blaster, gusano también famoso en estos días como ya mencionamos, es otro ejemplo muy claro. No hay razón para que se propagara tanto, si cada usuario hubiera hecho algo tan sencillo como mantener activo un cortafuegos, que por cierto, en el caso de Windows XP por ejemplo, se activa automáticamente cuando se crea una instalación normal de acceso a Internet. Pero el Sobig.F, en cambio, apela a algo que de tan repetido, ya aburre. No deberíamos abrir JAMAS adjuntos que no solicitamos. Otra cosa que cuesta entender, es su gran propagación entre usuarios de habla hispana, cuando los mensajes del Sobig.F están todos en inglés. Y como anécdota, lo "gracioso" de esto (por decir algo suave), es que de cada 10 usuarios que me han consultado, solo uno entendía el texto que el gusano muestra en ese idioma (claro que igual abrió el adjunto). Los demás, sin siquiera saber de que se trataba, también lo hicieron. No creo necesario agregar otro comentario a esto... * La verdad sobre la "segunda oleada". Según se ha publicado en todos los medios (y aquí mismo), todas las máquinas infectadas ya habrían entrado en lo que algunos empezaron a llamar "segunda fase". Desde el pasado viernes, y todos los viernes y domingos hasta la fecha de desactivación del gusano, que sería el próximo 10 de setiembre (medianoche del 9), todas las computadoras infectadas, sincronizadas por el mismo gusano con un reloj atómico, entrarían exactamente a la misma hora en todo el mundo (las 19:00 UTC/GMT), a 20 servidores repartidos por varios países, para descargar otro código seguramente maligno. Las 20 direcciones IP están encriptadas en el cuerpo del gusano, y los servidores físicamente se encuentran ubicados en Estados Unidos, Canadá y Corea del Sur. Un código secreto de 8 bytes, serviría para identificarse en ellos, y recibir como respuesta la dirección URL desde donde los equipos infectados podrían descargar un archivo cualquiera. El gusano también tiene la capacidad para ejecutar luego este archivo o archivos descargados. Las características de este programa son desconocidas. Podría ser desde una actualización del propio Sobig.F, hasta un destructivo troyano, o cualquier nueva clase de gusano o virus. Aunque algunos investigadores como los de F-Secure y otros, pudieron desencriptar parte del código e intentaron descargar el archivo antes de la fecha de activación, las direcciones devueltas por los servidores en todos los casos, no llevaban a ninguna parte. Es de suponer que el autor o autores del gusano, previeron que algo de ello podría llegar a ocurrir, y seguramente los datos verdaderos recién serían establecidos en los servidores en el momento específico del ataque. Uno de las primeras acciones llevadas a cabo, luego de conocerse la lista de estos 20 servidores, fue la de intentar darlos de baja, con la ayuda del FBI, y otros organismos relacionados en cada país. Sin embargo, la selección de los servidores no fue capciosa. Los autores buscaron diferentes proveedores para que la tarea de cerrarlos fuera dificultosa, como de hecho lo fue. La cronología de esta acción, es reportada por F-Secure de esta forma: 16:00 UTC del viernes 22 de agosto. Dieciocho de los veinte servidores han sido cerrados, y resultan inaccesibles. 17:00 UTC. Uno de los dieciocho que habían sido cerrados, vuelve a estar disponible. Aparentemente el mismo no fue desconectado por el proveedor, y su responsable simplemente lo reinició. Al mismo tiempo, el CERT, el FBI y la propia Microsoft, trabajan para desactivar los tres aún activos a esa hora. 18:00 UTC. Finalmente todos los servidores son inaccesibles. Uno de ello responde como existente a un comando PING, pero sin embargo no lo hace al puerto UDP/8998, el que sería usado por el gusano para el ataque. 18:20 UTC. Uno de los servidores vuelve a estar activo. Preocupa el hecho de uno solo podría ser suficiente para que el gusano tenga éxito en su ataque. 19:00 UTC (comienzo del ataque). El único servidor activo, localizado en los Estados Unidos, sigue estándolo. Sin embargo, casi de inmediato, es literalmente inundado por la cantidad de solicitudes de las máquinas infectadas intentando conectarse a él, y sucumbe víctima de un ataque de denegación de servicio. 19:15 UTC. Finalmente, ninguno de los 20 servidores responde. Y ninguno lo hará hasta que el ataque finaliza, a las 22:00 UTC. De este modo, podría afirmarse que el primer ataque de la "segunda ola" del Sobig.F ha fracasado. Sin embargo, a pesar de todo lo dicho antes, no es oportuno afirmar en forma categórica que ninguna de las máquinas infectadas pudo llegar a descargar algún código. Existe la posibilidad de que alguna pudiera haberse conectado antes que el único servidor activo sucumbiera. Y además, aún quedan más viernes y domingos antes de la fecha de desactivación del Sobig.F. * Programador de virus, mafia o terrorismo. Los expertos coinciden que las técnicas utilizadas por este gusano, no son las de un escritor de virus adolescente. Por otra parte, hay quienes aseguran que con el tema del spam (incluso en las versiones anteriores del Sobig), los autores han obtenido significativas ganancias. Para Mikko Hypponen, de F-Secure, detrás de este gusano, incluso pueden estar actuando personajes del crimen organizado. Claro está que si empezamos a especular en ese sentido, hasta podría llegar a decirse que existe alguna relación con cierta clase de terrorismo. En todo caso, lo cierto por el momento, es que un simple gusano podría ocasionar muchos más problemas que otras clases de ataques. Por ejemplo, ya es noticia que una central nuclear en Estados Unidos estuvo al borde del colapso por culpa de un gusano (el SQL/Slammer en enero de 2003), aunque no haya sido la intención del autor en ese momento. * La otra verdad del ataque. Si hay algo en que casi todos los expertos coinciden, es que el famoso ataque, segunda fase o "segunda ola" del Sobig.F, simplemente ya no es un peligro. Lo único que quedó, fue un notorio aumento en la actividad por el puerto UDP/8998, de cientos de miles computadoras infectadas buscando las actualizaciones. Esta actividad se repetirá cada viernes y domingo, hasta el próximo 7 de setiembre inclusive. Sin embargo, que nada haya pasado, podría haber sido desde el principio la verdadera intención de los autores del gusano. Razonemos esto. Para alguien que se toma tanto trabajo en crear estas versiones (la "F" es la sexta del gusano), probando en cada una nuevas técnicas o procedimientos, también sería fácil intuir que tanta expectativa por esta actividad anunciada, pondría a muchos organismos en alerta máxima. Y la captura de algún nuevo código descargado por esta "segunda fase" del Sobig.F, estrecharía el cerco sobre él o los culpables. Sin embargo, un escenario montado de esta forma, también serviría para estudiar como eludir en el futuro las técnicas usadas para bloquearlo. * Planes futuros. A pesar de toda la información conocida del Sobig.F, hay expertos como los de Daniloff's Labs (Dr. Web), que aseguran que se ha malentendido la verdadera naturaleza de los 20 servidores que han sido (por ahora), dados de baja, y cuyas direcciones IP se encontraban encriptados en el código del gusano. Según estos expertos, no se tratan de servidores que serían usados para la descarga de código, sino que solo servirían para la sincronización de la fecha y hora. Es evidente que existe una verdadera contradicción en este punto respecto a lo que anuncian los demás laboratorios antivirus. Sin embargo, coincidimos con los fabricantes del Dr. Web, en que el autor del Sobig podría haber buscado un tortuoso camino para llevar a cabo acciones cuyo verdadero significado aún desconocemos. Y por otra parte, es un hecho que no ha dejado demasiados pistas para que se pueda detectar el verdadero origen del gusano. Además, es casi seguro que la versión "F" no sea la última. Y que todas las anteriores (y tal vez algunas de las futuras) solo sirvan para conformar un plan más elaborado, basado en la extensa experiencia recabada en base a los comportamientos combinados de usuarios, fabricantes de antivirus, y organismos gubernamentales. Cosas como el tiempo necesario para dar de baja una cierta cantidad de servidores, podrían tener un significado bastante preocupante para quien planeara algo mucho más sofisticado en un futuro tal vez inmediato. * Algunos datos sobre el gusano. En concreto, Sobig.F ha infectado desde el pasado 19 de agosto, o lo hará hasta el final de su ciclo (10 de setiembre de 2003), casi más computadoras que todas las versiones anteriores del propio gusano. Sobig.F utiliza los siguientes puertos para sus diferentes acciones: Salida: UDP/8998 UDP/123 Entrada: UDP/995 UDP/996 UDP/997 UDP/998 UDP/999 El gusano utiliza el protocolo NTP (Network Time Protocol) para sincronizar las horas y minutos de cada máquina infectada. Todo tráfico inesperado a las siguientes direcciones IP por el puerto UDP/123, debería ser considerado por lo menos, sospechoso: 128.233.3.101 129.132.2.21 131.188.3.220 131.188.3.222 132.181.12.13 133.100.11.8 137.92.140.80 138.96.64.10 142.3.100.2 150.254.183.15 193.204.114.232 193.5.216.14 193.67.79.202 193.79.237.14 200.19.119.69 200.68.60.246 212.242.86.186 62.119.40.98 chronos.cru.fr Esta es la lista de los 20 servidores a los que el gusano intentaría conectarse en determinadas fechas y horarios. Todos han sido dados de baja por el momento: 67.73.21.6 68.38.159.161 67.9.241.67 66.131.207.81 65.177.240.194 65.93.81.59 65.95.193.138 65.92.186.145 63.250.82.87 65.92.80.218 61.38.187.59 24.210.182.156 24.202.91.43 24.206.75.137 24.197.143.132 12.158.102.205 24.33.66.38 218.147.164.29 12.232.104.221 68.50.208.96 Las fechas de estos ataques, comprende a los viernes 22/8, 29/8 y 5/9, y a los domingos 24/8, 31/8 y 7/9 de 2003, en los siguientes horarios (19:00 a 22:00 UTC/GMT): 12:00 a 15:00 - San Francisco 14:00 a 17:00 - México, Lima, Bogotá 15:00 a 18:00 - La Habana, Nueva York, Montreal, 15:00 a 18:00 - Santiago, Caracas, Asunción 16:00 a 19:00 - Buenos Aires, Montevideo, Brasilia 21:00 a 00:00 - Madrid 23:00 a 02:00 - Moscú Los mensajes que usa para propagarse por correo electrónico, tienen estas características: De: (cualquier remitente falso) Para: (la dirección del destinatario) Asunto: (uno de los siguientes): Re: Approved Re: Details Re: Re: My details Re: Thank you! Re: That movie Re: Wicked screensaver Re: Your application Thank you! Your details Texto: (uno de los siguientes): Please see the attached file for details. See the attached file for details Datos adjuntos: (uno de los siguientes): movie0045.pif wicked_scr.scr application.pif document_9446.pif details.pif your_details.pif thank_you.pif document_all.pif your_document.pif * Algunas reflexiones. La probabilidad de que esta versión del gusano descargue una actualización, o cualquier otra clase de archivo durante su ciclo de vida (la llamada "segunda ola"), es muy poca, toda vez que se mantengan cerrados los 20 servidores mencionados. El hacer público esa lista de direcciones, hace prácticamente imposible que el gusano tenga éxito en esta etapa, ya que muchos proveedores las han bloqueado. Si aún así una cierta cantidad de máquinas infectadas alcanzara alguno de estos servidores durante su periodo de ataque, el gran número de solicitudes simultáneas (sincronizadas además para una hora específica por un reloj atómico), simplemente haría caer al servidor, víctima de un verdadero ataque, pero de denegación de servicio (DoS). Además, la mayoría de esos servidores tienen acceso a Internet a través de conexiones vía cable o ADSL, por lo que no llegarían a soportar tal cantidad de tráfico. * Relacionados: W32/Sobig.F. Gusano de gran propagación http://www.vsantivirus.com/sobig-f.htm W32/Sobig.E. Nueva versión vigente hasta el 14/7/03 http://www.vsantivirus.com/sobig-e.htm W32/Sobig.D. Texto: "See the attached file for details." http://www.vsantivirus.com/sobig-d.htm W32/Sobig.C. Texto: "Please see the attached file." http://www.vsantivirus.com/sobig-c.htm W32/Sobig.B (Palyh.A, Mankx). De: "support@microsoft.com" http://www.vsantivirus.com/sobig-b.htm W32/Sobig.A. Mensajes enviados por "big@boss.com" http://www.vsantivirus.com/sobig-a.htm Medidas contra la "segunda ola" del Sobig.F http://www.vsantivirus.com/sobig-segunda-ola.htm Kaspersky Antivirus 3.0 no detecta al Sobig.F http://www.vsantivirus.com/kav3-obsoleto.htm Cuando un virus puso en peligro a la humanidad http://www.vsantivirus.com/lz-nuclear.htm La información y la seguridad http://www.vsantivirus.com/fdc-info-seguridad.htm Seguridad Informática: Peligros Ocultos http://www.vsantivirus.com/zma-peligros.htm Blaster, o como sacar provecho de las cosas malas http://www.vsantivirus.com/lz-lecciones.htm Después de todo, es un simple gusano... http://www.vsantivirus.com/apagon14-08-03.htm Una pieza más del dominó, o un simple espectador http://www.vsantivirus.com/lz-domino.htm La nueva amenaza: los gusanos de rápida propagación http://www.vsantivirus.com/05-02-03.htm W32/SQLSlammer. El culpable del mayor ataque a Internet http://www.vsantivirus.com/sqlslammer.htm Estados Unidos Bajo Ataque D.D.O.S Masivo http://www.vsantivirus.com/ataque-puerto1434.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1143 Año 7, Domingo 24 de agosto de 2003