Gusanos con talón de Aquiles

Redacción Silicon,

A finales de diciembre nos sorprendió un nuevo gusano que se propagaba a
través del MSN Messenger.

Aunque los ecos del gusano han perdurado por varios días, Jitux, como

fue bautizado, en realidad vio capada su propagación a las pocas horas

de haber nacido debido a debilidades en su diseño.

En primer

lugar veamos los tiempos de reacción de diferentes casas antivirus en

proporcionar la actualización a sus usuarios para detectar a Jitux,

según datos monitorizados por Hispasec:

Panda, el 30/12/2003

a las 13:29, como W32/Jitux.A.worm

NOD32, el 30/12/2003 a

las 18:31, como Win32/Jitux.A

Antigen, el 30/12/2003 a

las 19:30, como I-Worm.Jitux.A

Kaspersky, el 30/12/2003 a

las 19:32, como MSN-Worm.Jitux

TrendMicro, el 30/12/2003

a las 22:09, como WORM_JITUX.A

Norton, el 30/12/2003 a

las 22:59, como Download.Trojan

Sophos, el 31/12/2003 a

las 11:33, como W32/Jitux-A

McAfee, el 31/12/2003 a las

19:11, como W32/Jitux.worm

InoculateIT, el 06/01/2004 a

las 00:41, como Win32/Jitux.A.Worm

En la mayoría de

los casos, cuando los antivirus ofrecieron a los usuarios la

actualización, Jitux ya había conseguido infectar a muchos usuarios y

su ciclo de propagación se vio interrumpido de forma brusca.

La debilidad de Jitux residía en su sistema de propagación,

consistente en buscar entre todos los contactos de Messenger del sistema

infectado, y enviarles mensajes con la URL del gusano

(http://www.home.no/jberg/jituxramon.exe). El usuario que recibía el

mensaje debía de pinchar en el enlace, descargar y ejecutar el EXE para

infectarse.

Pese al método rudimentario de propagación, Jitux

consiguió en muy poco tiempo un número de infecciones significativas. A

las pocas horas de iniciarse la propagación de Jitux el ejecutable

jituxramon.exe fue retirado de la página web, por lo que los usuarios

que recibían el mensaje no podían descargarlo e infectarse.

El talón de Aquiles de Jitux fue depender de un sólo punto, en este caso un

servidor web, para distribuir el ejecutable. Esta es una diferencia

importante con la mayoría de gusanos de Internet, cuya potencia reside

precisamente en la capacidad de propagación distribuida, al convertir

cada PC infectado en un nuevo servidor de transmisión del gusano.