Gusano Doomjuice aprovecha la puerta trasera de Mydoom

Sus principales objetivos son atacar la web de Microsoft y distribuir el

código fuente del gusano Mydoom.A, en lo que parece una estrategia para

dificultar la localización del autor original o facilitar la aparición

de nuevas variantes.

Como describimos en su día, Mydoom

(versiones A y B) incorporaba un componente que hacía funciones de

backdoor o puerta trasera, abriendo el puerto TCP 3127. Doomjuice basa

su sistema de propagación e infección en esta puerta trasera, ya que

realiza barridos de direcciones IPs buscando este puerto abierto. Cuando

localiza uno, establece una conexión y envía una copia del ejecutable de

Doomjuice, que el backdoor de Mydoom se encarga de recibir y ejecutar en

el sistema.

De entrada, al propagarse exclusivamente mediante

este puerto, Doomjuice sólo puede infectar de forma directa y automática

a los sistemas que se encuentren afectados por Mydoom, lo que limita

mucho su capacidad de propagación. Además, Doomjuice se puede encontrar

con problemas adicionales, ya que muchos de los equipos infectados con

Mydoom, y potencialmente víctimas de su ataque, no podrán ser accesibles

ya que se encontrarán protegidos con barreras perimetrales. Por ejemplo,

un usuario de ADSL puede estar infectado por Mydoom pero su router

impediría que Doomjuice pueda acceder desde Internet al puerto abierto

en su PC. Por todo lo anterior, no se prevé una propagación explosiva de

este gusano, como ocurrió en el caso de Mydoom.

Como

curiosidad, y ahondando en una de las soluciones que propusimos en una

entrega anterior, Doomjuice es una prueba más de como sería posible

desinfectar de forma automática los equipos de forma remota aprovechando

la puerta trasera. Si en vez de descargar e instalar un nuevo gusano, en

su lugar, instalara una vacuna que desinfectara Mydoom. En realidad no

se trata de un concepto nuevo, en la prehistoria de los virus

informáticos se pueden encontrar casos similares, si bien como

comentamos este tipo de soluciones de desinfección global e

indiscriminada chocan con cuestiones éticas y legales.

Breve descripción

Doomjuice se instala como intrenat.exe en el directorio de sistema de

Windows, e incluye las siguientes entradas en el registro para

asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunGremlin

= %system%intrenat.exe

HKKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunGremlin

= %system%intrenat.exe

Como curiosidad copia en

varias carpetas del sistema infectado (en el raíz, Windows, System,

temporal, etc.) el archivo comprimido sync-src-1.00.tbz, que contiene el

código fuente del Mydoom original. Algunos interpretan esta acción como

parte de una estrategia para dificultar la localización del autor

original, que en principio era el único poseedor del código fuente del

gusano como creador del mismo. Por otro lado, esta difusión del código

fuente también abre la puerta a que otros programadores realicen

modificaciones del mismo y aparezcan nuevas variantes.

Por

último, como en el caso de Mydoom, el gusano Doomjuice también incorpora

una rutina de ataque DoS, en este caso exclusivamente contra el dominio

www.microsoft.com. La diferencia es que en el caso de Doomjuice no hay

fecha de caducidad, y las peticiones a la web de Microsoft serán

perennes mientras que existan equipos infectados. Si bien, hasta el

momento, y también a diferencia de www.sco.com,la web de Microsoft no se

ha visto afectada.

Reacción de las soluciones antivirus

La reacción de las diferentes soluciones antivirus en proporcionar la

actualización a sus clientes fue la siguiente:

[Kaspersky]

09.02.2004 18:58:11 :: Worm.Win32.Doomjuice

[Panda] 09.02.2004

19:33:49 :: W32/Doomjuice.A.wor

[Sophos] 09.02.2004 20:53:38 ::

W32/Doomjuice-A

[NOD32] 09.02.2004 21:26:22 :: Win32/Doomjuice.A

[TrendMicro] 09.02.2004 22:47:11 :: WORM_DOOMJUICE.A

Estos resultados

son extraídos del sistema de monitorización 24hx7d de Hispasec. Los

antivirus interesados en integrarse en este sistema y aparecer en el

listado deben ponerse en contacto con el laboratorio de Hispasec.

Como datos significativos llama la atención la no detección de McAfee,

Norton e InoculateIT, si bien estas casas antivirus han proporcionado

descripciones y facilitan archivos de firmas específicos para detectar a

Doomjuice.

La razón de que no aparezcan se debe a que estas

soluciones no han proporcionado aun la actualización oficial que sus

productos descargan de forma automática. Por ejemplo, en el caso de

McAfee será el DAT 4323, que anuncia publicará el 11/02/2004. A efectos

prácticos significa que los usuarios de estos productos aun no se

encuentran protegidos, ya que la inmensa mayoría utiliza la función de

actualización automática o a demanda que incorpora el producto.

Hispasec considera que, aunque es posible la descarga manual del archivo de

firmas específico (que también tendría que ser instalado manualmente en

la mayoría de los casos), es más real indicar en los resultados la fecha

y hora en que las soluciones son capaces de actualizarse de forma

automática, puesto que en la mayoría de los casos los usuarios no están

atentos a descargar e instalar archivos de forma manual (ni consideramos

que sea su función).

En el caso de Symantec/Norton, según

publica existe actualización para Doomjuice desde última hora del día 9,

tanto a través del Intelliger Update como mediante su servicio

automático Live Update. Si bien en nuestro sistema de monitorización ha

sido incapaz de reconocer la muestra del gusano con dichas

actualizaciones, y pruebas realizadas con otras versiones/motores de sus

antivirus, en diferentes sistemas, tampoco han logrado detectarlo. En

este caso parece que existe algún error en la firma incorporada por

Symantec para detectar el virus.