Categories: SeguridadVirus

Gusano Doomjuice aprovecha la puerta trasera de Mydoom

Sus principales objetivos son atacar la web de Microsoft y distribuir el

código fuente del gusano Mydoom.A, en lo que parece una estrategia para

dificultar la localización del autor original o facilitar la aparición

de nuevas variantes.

Como describimos en su día, Mydoom

(versiones A y B) incorporaba un componente que hacía funciones de

backdoor o puerta trasera, abriendo el puerto TCP 3127. Doomjuice basa

su sistema de propagación e infección en esta puerta trasera, ya que

realiza barridos de direcciones IPs buscando este puerto abierto. Cuando

localiza uno, establece una conexión y envía una copia del ejecutable de

Doomjuice, que el backdoor de Mydoom se encarga de recibir y ejecutar en

el sistema.

De entrada, al propagarse exclusivamente mediante

este puerto, Doomjuice sólo puede infectar de forma directa y automática

a los sistemas que se encuentren afectados por Mydoom, lo que limita

mucho su capacidad de propagación. Además, Doomjuice se puede encontrar

con problemas adicionales, ya que muchos de los equipos infectados con

Mydoom, y potencialmente víctimas de su ataque, no podrán ser accesibles

ya que se encontrarán protegidos con barreras perimetrales. Por ejemplo,

un usuario de ADSL puede estar infectado por Mydoom pero su router

impediría que Doomjuice pueda acceder desde Internet al puerto abierto

en su PC. Por todo lo anterior, no se prevé una propagación explosiva de

este gusano, como ocurrió en el caso de Mydoom.

Como

curiosidad, y ahondando en una de las soluciones que propusimos en una

entrega anterior, Doomjuice es una prueba más de como sería posible

desinfectar de forma automática los equipos de forma remota aprovechando

la puerta trasera. Si en vez de descargar e instalar un nuevo gusano, en

su lugar, instalara una vacuna que desinfectara Mydoom. En realidad no

se trata de un concepto nuevo, en la prehistoria de los virus

informáticos se pueden encontrar casos similares, si bien como

comentamos este tipo de soluciones de desinfección global e

indiscriminada chocan con cuestiones éticas y legales.

Breve descripción

Doomjuice se instala como intrenat.exe en el directorio de sistema de

Windows, e incluye las siguientes entradas en el registro para

asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunGremlin

= %system%intrenat.exe

HKKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunGremlin

= %system%intrenat.exe

Como curiosidad copia en

varias carpetas del sistema infectado (en el raíz, Windows, System,

temporal, etc.) el archivo comprimido sync-src-1.00.tbz, que contiene el

código fuente del Mydoom original. Algunos interpretan esta acción como

parte de una estrategia para dificultar la localización del autor

original, que en principio era el único poseedor del código fuente del

gusano como creador del mismo. Por otro lado, esta difusión del código

fuente también abre la puerta a que otros programadores realicen

modificaciones del mismo y aparezcan nuevas variantes.

Por

último, como en el caso de Mydoom, el gusano Doomjuice también incorpora

una rutina de ataque DoS, en este caso exclusivamente contra el dominio

www.microsoft.com. La diferencia es que en el caso de Doomjuice no hay

fecha de caducidad, y las peticiones a la web de Microsoft serán

perennes mientras que existan equipos infectados. Si bien, hasta el

momento, y también a diferencia de www.sco.com,la web de Microsoft no se

ha visto afectada.

Reacción de las soluciones antivirus

La reacción de las diferentes soluciones antivirus en proporcionar la

actualización a sus clientes fue la siguiente:

[Kaspersky]

09.02.2004 18:58:11 :: Worm.Win32.Doomjuice

[Panda] 09.02.2004

19:33:49 :: W32/Doomjuice.A.wor

[Sophos] 09.02.2004 20:53:38 ::

W32/Doomjuice-A

[NOD32] 09.02.2004 21:26:22 :: Win32/Doomjuice.A

[TrendMicro] 09.02.2004 22:47:11 :: WORM_DOOMJUICE.A

Estos resultados

son extraídos del sistema de monitorización 24hx7d de Hispasec. Los

antivirus interesados en integrarse en este sistema y aparecer en el

listado deben ponerse en contacto con el laboratorio de Hispasec.

Como datos significativos llama la atención la no detección de McAfee,

Norton e InoculateIT, si bien estas casas antivirus han proporcionado

descripciones y facilitan archivos de firmas específicos para detectar a

Doomjuice.

La razón de que no aparezcan se debe a que estas

soluciones no han proporcionado aun la actualización oficial que sus

productos descargan de forma automática. Por ejemplo, en el caso de

McAfee será el DAT 4323, que anuncia publicará el 11/02/2004. A efectos

prácticos significa que los usuarios de estos productos aun no se

encuentran protegidos, ya que la inmensa mayoría utiliza la función de

actualización automática o a demanda que incorpora el producto.

Hispasec considera que, aunque es posible la descarga manual del archivo de

firmas específico (que también tendría que ser instalado manualmente en

la mayoría de los casos), es más real indicar en los resultados la fecha

y hora en que las soluciones son capaces de actualizarse de forma

automática, puesto que en la mayoría de los casos los usuarios no están

atentos a descargar e instalar archivos de forma manual (ni consideramos

que sea su función).

En el caso de Symantec/Norton, según

publica existe actualización para Doomjuice desde última hora del día 9,

tanto a través del Intelliger Update como mediante su servicio

automático Live Update. Si bien en nuestro sistema de monitorización ha

sido incapaz de reconocer la muestra del gusano con dichas

actualizaciones, y pruebas realizadas con otras versiones/motores de sus

antivirus, en diferentes sistemas, tampoco han logrado detectarlo. En

este caso parece que existe algún error en la firma incorporada por

Symantec para detectar el virus.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Nutanix Enterprise AI permitirá ejecutar aplicaciones de inteligencia artificial on-premise y en la nube pública

Se puede implementar en plataformas de Kubernetes, el edge, centros de datos y servicios como…

17 horas ago

Red Hat comprará Neural Magic

La empresa adquirida está especializada en software para impulsar las cargas de trabajo de inferencia…

18 horas ago

Las serias implicaciones de la inteligencia artificial en la disponibilidad energética

Gartner cree que 4 de cada 10 centros de datos de IA se enfrentarán a…

18 horas ago

Datadog lanza Kubernetes Active Remediation

Esta herramienta ayuda a automatizar la detección de problemas y a reparar entornos de Kubernetes.

19 horas ago

Así es TOUGHBOOK 33mk4, la nueva tableta desmontable de Panasonic Connect

Entre sus características se encuentran una pantalla de 12 pulgadas en formato 3:2 y un…

20 horas ago

NetApp introduce nuevos sistemas AFF A-Series y AFF C-Series

La compañía lanza, por un lado, los modelos AFF A20, A30 y A50 y, por…

20 horas ago