Historias, mitos y verdades sobre el "Mydoom"
Aunque sigue sin conocerse la autoría del código que ha sembrado la red de millones de emails de ida y vuelta, las leyendas urbanas sobre sus orígenes y objetivos empiezan a expandirse rápidamente.
Mucho se ha hablado de este gusano, y más allá de sus características que lo convierten en el más propagado de la historia, existe mucha información que en algunos casos se ha vuelto confusa y que también ha sido utilizada convenientemente por unos y otros para favorecer sus propios intereses o librar sus particulares luchas en un entorno que favorece que cualquier noticia o información se extienda rapidamente por todo el mundo en pocos segundos. Para elaborar este reportaje hemos contado con información procedente de VSAntivirus, Enciclopedia de vius y fabricantes de productos de seguridad.
Sin que este artículo pretenda demostrar la verdad absoluta sobre todas las dudas planteadas, si desea resumir la información actualmente comprobada.
¿El Mydoom infecta el BIOS?
No, no lo hace. El propio investigador que había anunciado esta posibilidad, el investigador ruso Juari Bosnikovich, lo desmintió luego de una prueba realizada por él mismo. Este concluyo finalmente que un troyano backdoor en el BIOS lo que instala el gusano es un exploit que se aprovecha de una vulnerabilidad de Windows.
El gusano tiene capacidad de "keylogger"
No hay evidencias que el Mydoom posea la capacidad de capturar la salida del teclado (keylog), o de que instale algún componente relacionado con ello al ejecutarse por primera vez. Sin embargo, puede descargar y ejecutar archivos de Internet (la versión A cualquier archivo, la B solo dos predefinidos por el autor).
Con la versión A, quien sepa hacerlo, puede usar ésta característica para descargar y ejecutar casi cualquier archivo en cualquier máquina infectada. Con la versión B solo pueden descargarse y ejecutarse dos archivos seleccionados por el autor. Probablemente uno de ellos sea una nueva versión del propio gusano.
Se puede acceder a sistemas infectados desde Internet
Como mencionamos antes, con la versión A se puede hacer esto. La propia versión B busca máquinas infectadas con la A, para copiarse y ejecutarse en ellas. Es decir, Mydoom abre puertas a intrusos y deja nuestro equipo expuesto a la entrada tanto de hackers como de codigos maliciosos que sepan explotar esta posibilidad.
Los creadores del Mydoom son spammers
Podrían serlo. No hay pruebas ni existen razones claras para afirmarlo, aunque una de sus características, usar las máquinas infectadas como servidores proxy, podría ser empleada por los spammer para lanzar sus mensajes (habría que complementarlo con otro software, pero Mydoom.A, como vimos, acepta se instalen otros programas en el equipo infectado).
Esta posibilidad no deja de tener su lógica. Una vez infectado el ordenador, MyDoom realiza una búsqueda completa en el sistema, con el fin de encontrar direcciones de correo electrónico a las cuales autoenviarse. Asimismo, intenta combinar los nombres de los dominios encontrados con nombres aleatorios para deducir direcciones válidas. Algunos sostienen que el programador o programadores de Mydoom se esconden en algunas de las direcciones a las que se reenvian mensajes y desde las que reúne direcciones de correo electrónico que puedan ser usadas para la distribución de spam. Esta teoria fue apoyada por Joe Pilchmayer, director de la compañía austriaca de seguridad informática Ikarus en una entrevista a Futurezone.
“El procedimiento implica que el autor de MyDoom sólo necesita filtrar las respuestas automáticas generadas por las direcciones no válidas, para así depurar una lista con cientos de miles de direcciones correctas”, señala el experto.
Los ataques DoS al sitio de SCO y al de Microsoft no se llevarán a cabo
Los ataques si ocurren o ocurrirán, a pesar de algunos fallos, el principal de ellos derivado del reloj interno de los propios ordenadores infectados. Curiosamente, el ataque se inició mucho antes de lo previsto, demostrando que miles de equipos de todo el mundo tienen desactualizado el sistema o utilizan franjas horarias distintas a las de su propia zona.
Eugene Kaspersky, investigador en jefe de Kaspersky Labs., explico que tras analizar detalladamente el código del gusano ha encontrado algunos errores en las rutinas dedicadas al ataque de denegación de servicios antes mencionados.
El mismo sólo se ejecutaría cuando el ejecutable instalado en el equipo infectado sea iniciado (cuando el ordenador es iniciado o en una nueva infección) y bajo ciertas condiciones horarias basadas en la fecha del sistema.
En principio, el gusano controla la fecha del sistema para iniciar su rutina DoS, y si está es superior al primer día del mes de Febrero y la hora está entre ciertos diapasones de tiempo, el Mydoom.A comienza a enviar paquetes de información al sitio de la compañía SCO para producir una saturación en su servicio web.
El gusano fue creado para combatir la piratería
Esto lo escuchamos más de una vez, pero es una tontería afirmar que algún gigante informático u organización como la RIAA (Asociación de la Industria Grabadora de Estados Unidos), estén implicadas directamente en la creación o propagación de este gusano. El desprestigio sería mayor que cualquier otra intención al respecto.
El Mydoom fue creado por programadores de SCO
Esta noticia es seguramente falsa, sin embargo, fue publicada por varios sitios de Internet en un momento en que la información disponible lo aseguraba. Se trata de un "bulo" lanzado por una publicación rusa, luego que un informe de Kaspersky Labs relacionaba el gusano con programadores de ese país.
Sin embargo algunos sectores defensores del Software libre lo defienden abiertamente al considerar que ha permitido a la empresa presentarse como victima en su batalla legal por hacer prevalecer sus supuestos derechos de propiedad intelectual. Realmente si el virus hubiese sido creado por SCO esta hubiese "podido vencer" en una "endiablada lucha" el ataque que sufrió demostrando la solidez y robustez de su software por encima de Linux y otros sistemas operativos, cosa que no sucedió, debiendo migrar hacía una nueva dirección.
En la mayor comunidad de software libre en lengua española, barrapunto.com, se ha debatido largamente este tema manifestando un gran número de lectores a favor de esta posibilidad
El Mydom es obra de la comunidad Linux
Indemostrable. Se desconoce la autoría real del código malicioso. Es posible que sea fruto de un grupo de programadores contrarios a la firma que ha entablado todo tipo de procesos legales contra IBM y Linus Torvalds y encajaría perfectamente con los ataques que ya recibió SCO este verano que sacaron de la red a su sitio Web.
Sin embargo este hecho crearía una mala imagen sobre esta comunidad y un software que por fin ha salido de los laboratorios para implantarse con éxito en corporaciones y administraciones gubernamentales por lo que en caso de ser cierto sus efectos serían a la larga más negativos que positivos. Sin embargo, cabe recordar que una gran parte de "hackers" de todo tipo, fanáticos de Linux, se han dedicado a asaltar sitios web sin importarles en ningún momento el "efecto negativo" que comentábamos y que sitios emblemáticos como GNU, MysQL y PHPNuke han estado entre sus victimas
El peligro ya ha pasado
No es cierto. Mydoom.A sigue vivo y coleando y llenando buzones de correo electrónico con sus mensajes infectados. El programador preveyó que acabase con su actividad el próximo día 12, sin embargo algunos estudios de su código, parecerían indicar que esta acción podría prolongarse aún después de esa fecha.
Por su parte la "fecha de caducidad" Mydoom.B esta prevista para el 1 de marzo del 2004..
El virus más peligroso de la historia
Cierto. Aunque los fabricantes de antivirus activaron rápidamente "herramientas" para eliminarlo de los equipos, este no fue detectado por los productos existentes ni a través del análisis heurístico que disponen.
El código del Mydoom no está creado con ninguna herramienta inventada por terceros, ni se basa en el de otros virus, sino que se trata de una verdadera pieza de arte (desde el punto de vista de la programación, ya que por otra parte, no debemos olvidar que fue creado con claras intenciones dañinas). Además utiliza muchos trucos para ocultar sus rutinas, y sobre todo en su versión B, para engañar la búsqueda heurística de productos muy fuertes en este tema.
Incluso simula estar escrito en un lenguaje de alto nivel (C++), cuando en realidad sería escrito directamente en assembler (un lenguaje de bajo nivel, o sea más cercano a la máquina). Además, partes de su código podrían estar escritas en Forth, un lenguaje de nivel intermedio.
¿Habrá más?
Si, es posible. Algunos expertos sostienen que Mydoom no acabará con las versiones A y B. Cuando una máquina infectada con el Mydoom se reinicia por segunda vez después que la fecha del sistema indica 12 de febrero, el virus inyecta en el sistema operativo, un programa malévolo capaz de descargar y ejecutar lo que posiblemente sería una nueva versión del gusano, tal vez el Mydoom.C, según el investigador ruso Juari Bosnikovich.
NoticiasDot.com
No hay comentarios.:
Publicar un comentario