| Artículos | 01 MAR 2004

Mydoom: el gusano del día del juicio final

Tags: Histórico
Jorge E. Rodríguez.
¡No! La situación no es tan grave como parece indicar el titular, pero a más de un responsable de seguridad empresarial seguro que le habrá hecho temblar. El gusano Mydoom ha golpeado, y sigue fustigando, a un gran número de empresas haciendo honor a su nombre: “Mi perdición” (“Doom” significa “Perdición” y “doomsday” es el “día del juicio final”) .

La historia reciente de la seguridad informática es un cúmulo casi infinito de superaciones y barbaridades cada vez mayores. No es de extrañar que uno de los mayores objetivos de los hackers informáticos sea ostentar el récord de equipos infectados en los primeros minutos de vida por los virus que hayan desarrollado.
Y el autor del gusano Mydoom lo ha conseguido. Mydoom ostenta el dudoso honor de ser el gusano que más equipos informáticos ha infectado en la menor cantidad de tiempo. En sus dos primeros días de existencia se hablaba de 500.000 equipos infectados en todo el mundo y se afirmaba que uno de cada doce mensajes de correo electrónico enviados en aquel momento había sido generado automáticamente por Mydoom. La situación empeoró con rapidez y en su tercer día de vida ya eran millones los equipos que estaban infectados y uno de cada cuatro mensajes había sido generado automáticamente por el gusano.
Según datos del Centro de Alerta Temprana sobre Virus y Seguridad Informática (CAT, www.alerta-antivirus.es) y de la empresa antivirus Panda Software, uno de cada cinco mensajes de correo electrónico que transitaban por España a finales del mes de enero eran portadores de Mydoom, con más de 400.000 ordenadores afectados (véase Figura 1).
En definitiva, según algunas estimaciones, el gusano informático Mydoom había sido capaz de generar cerca de 100 millones de mensajes de correo electrónico infectados en sus primeras 36 horas de andadura en todo el mundo. Tal ha sido su impacto que el FBI abrió inmediatamente una investigación.

Tipos del gusano Mydoom
Hasta el momento de redactar este artículo, dos han sido los tipos detectados del gusano Mydoom, a los que se les ha denominado Mydoom.A y Mydoom.B. Estas dos variantes del mismo gusano comparten numerosas características comunes, aunque también ostentan algunas diferencias, entre las que podemos destacar:
- Mydoom.A se asegura de que no coincida la ejecución de dos copias suyas generando un mutex llamado SwebSipcSmtxSO. El mutex es una técnica utilizada por algunos gusanos cuyo fin es impedir que existan dos o más copias del mismo gusano actuando simultáneamente sobre el mismo equipo y evita que más de un proceso utiliceel mismo recurso al mismo tiempo.
- Mydoom.B sobrescribe el archivo hosts de Windows con el fin de falsificar algunas direcciones de Internet, por ejemplo, la de algunas compañías antivirus, impidiendo así que ciertos antivirus puedan descargar las actualizaciones correspondientes (cuando el equipo intente conectarse a una de estas direcciones el navegador mostrará el típico mensaje de error indicando que la página no se ha localizado).
- Mydoom.B ha sido diseñado para generar ataques de denegación de servicio contra los servidores de la empresa Microsoft.
En lo que resta de artículo analizaremos detenidamente las principales características de ambos gusanos.

Objetivos de Mydoom.A
Mydoom.A, también conocido como Novarg o Shimgapi, se dio a conocer el lunes 26 de enero, a últimas horas de la noche (hora española), cuando las oficinas de Norteamérica bullían de actividad. Como consecuencia, la mayoría de los equipos y correos infectados durante las primeras horas de su existencia se encontraban en Canadá y en los EE.UU. Gracias a este hecho, la mayoría de los técnicos de seguridad informática europeos tuvieron tiempo de poner a punto sus dispositivos antivirales y consiguieron contener en parte la avalancha de lo que se avecinaba.
Aunque las cifras manejadas llegaron a alarmar en un primer momento a la comunidad informática de todo el mundo, uno de los primeros objetivos detectados del gusano Mydoom era el colapso de los sistemas informáticos del sitio web de la compañía SCO (www.sco.com), empresa con sede en Utah (EE.UU.) que desarrolla una versión del sistema operativo Linux. Tal vez, el origen de este ataque se encuentre en algunos usuarios de la comunidad Linux enfadados por el hecho de que SCO (Santa Cruz Operation) desea comercializar una versión de Linux no gratuita.
La dirección web de la compañía SCO estaba en las entradas del código fuente de Mydoom. El gusano había sido programado para bombardear el sitio web de SCO con peticiones cada 1.024 milisegundos, entre el 1 y el 12 de febrero (en lo que se denomina un ataque de Denegación de Servicio Distribuido o DDoS). Este elevadísimo volumen de peticiones habría conseguido bloquear los servidores web de la compañía provocándole grandes pérdidas financieras. Sin embargo, antes de que esta situación se produjera, SCO optó por apagar sus servidores web para evitar males mayores (a día 10 de febrero, la página web principal de SCO seguía siendo inaccesible para sus usuarios).
Como consecuencia, SCO ha ofrecido una recompensa de 250.000 dólares (unos 200.000 euros) a la persona que consiga aportar alguna pista que conduzca a la detención de los creadores de Mydoom. Poco dinero si se compara esta cifra con los dos mil millones de dólares de pérdidas a nivel mundial que se estima que este gusano ha producido en sus primeros días de vida (cifra proporcionada por Computer Economics, una empresa de análisis de Internet) debido al descenso de productividad y a los gastos derivados de los servicios de soporte técnico.
Otro de los objetivos más importantes de Mydoom.A es generar spam, el famoso correo basura, es decir, mensajes de correo electrónico no solicitados y enmascarados utilizando una hábil estrategia de ingeniería social que analizaremos más adelante.
Otro servicio de Internet que se ha visto gravemente afectado por la actuación del gusano Mydoom.A ha sido el popular servicio de distribución de archivos conocido como Kazaa (www.kazaa.com/us/index.htm). Este servicio permite que los usuarios de Internet puedan compartir entre sí, y de forma gratuita, juegos, películas y canciones. Sin embargo, este tipo de actividad también abre la puerta a un enorme cúmulo de amenazas de seguridad, incluyendo virus, gusanos, caballos de Troya, robo de datos, espionaje y un largo etcétera.

Objetivos de Mydoom.B
Además de los tres objetivos mencionados anteriormente, el objetivo más codicioso de los creadores de Mydoom.B ha sido derrotar a Microsoft mediante ataques de Denegación Distribuida de servicios (DDoS) a su dirección web (www.microsoft.com). Como consecuencia, la compañía Microsoft ha ofrecido una recompensa de 250.000 dólares a aquella persona que le proporcione información que lleve a la captura del autor o autores de este gusano.
Sin embargo, esta actitud de Microsoft no resulta una novedad. En noviembre de 2003, Microsoft anunció también dos recompensas de 250.000 dólares a cambio de información que ayudara a la detención de los responsables de los gusanos Blaster y Sobig.
Los ataques del gusano Mydoom.B sobre Microsoft estaban programados para comenzar a las 13:09 horas del 3 de febrero de 2004 (tomando como refere

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información