Aqui expondre noticias sobre este virus!!


IMIX[Dragon.Auto-Existente.Rojo]

Gusano MyDoom se propaga rápidamente y ataca cibersitio de SCO


Por Reed Stevenson

SEATTLE (Reuters) - MyDoom, el más reciente gusano en infectar computadoras en la Internet, fue diseñado para atacar el cibersitio de SCO Group Inc., el pequeño fabricante de software que está demandando a IBM sobre el uso del código de software utilizado por el sistema operativo Linux, dijeron expertos el martes.

Desde que apareció en las últimas horas de la tarde del lunes, el gusano se ha propagado rápidamente, principalmente en Norteamérica, representando uno en cada nueve mensajes mundialmente, dijeron los expertos. El volumen de mensajes saturó redes y parecía estar concentrado en ambientes corporativos.

El nuevo gusano, también conocido como Novarg o Shimgapi, es activado cuando inocentes receptores de un mensaje electrónico abren un archivo adjunto que libera un virus.

Una computadora personal infectada podría entonces permitir a los atacantes obtener acceso no autorizado y usar la computadora para ayudar en un ataque de Internet a paralizar el cibersitio de SCO, dijo Oliver Friedrichs, gerente de la compañía de seguridad Symantec Corp.

"Ciertamente, existe un código aquí para lanzar un ataque de negación de servicio contra SCO el 1 de febrero," dijo Friedrichs a los reporteros en una llamada en conferencia.

SCO, que ha desatado ira de muchos defensores de Linux por sus alegatos de que el software Linux incluye código protegido por la ley de derechos de autor del sistema operativo Unix, ha experimentado numerosos ataques de negación de servicio, que son usados para inundar un cibersitio con solicitudes de información para que se sobrecargue y paralice.

SCO alega que los clientes de International Business Machines Corp. y otros están usando ilegalmente una versión del sistema operativo Linux, un sistema operativo gratis que los programadores de software pueden modificar.

Los ataques de computadoras infectadas están previstos a comenzar el 1 de febrero y durarán hasta el 12 de ese mes, indicóSymantec.

En riesgo están las computadoras que contienen las versiones más recientes de los programas Windows de Microsoft Corp. Windows y cualquier programa de e-mail.

El gusano no se aprovecha de ninguna grieta en Windows, pero en vez de eso está diseñado para tentar a receptores de un e-mail a abrir un archivo adjunto y echar a andar programas contenidos en el archivo adherido.

El gusano llega en un archivo adjunto con una extensión .exe, .scr, .zip o .pif y puede tener en su línea correspondiente al asunto o referencia las palabras "test" o "status."

Los usuarios que reciben el gusano y simplemente lo ignoran o borran podrán evitar cualquier daño.

MyDoom se envía por sí mismo a direcciones en la computadora de la víctima e inunda a los servidores de correo electrónico y degrada el desempeño de la red de las compañías, dijeron los expertos.


IMIX[Dragon.Auto-Existente.Rojo]

Virus "MyDoom", presente en uno de cada doce correos electrónicos

Por Natalia Martín Cantero

San Francisco (EEUU), 27 ene (EFE).- Un nuevo virus informático conocido como "MyDoom" o "Novarg", que llega camuflado en forma de mensaje de error del sistema, se está extendiendo como la pólvora por todo el mundo, más rápido incluso que el temible SoBig.F.

Los administradores de redes de las compañías estadounidenses trabajan hoy a toda prisa para tratar de frenar el avance de este virus, conocido como "Mydoom," "Novarg" o "WORM-MIMAIL.R".

No es tarea fácil: el virus estaba presente hoy en uno de cada doce correos electrónicos que circulan por la red, según la firma MessageLabs.

Esto significa que sobrepasa al SoBig.F, que en su apogeo llegó a encontrarse en uno de cada 17 correos electrónicos, por lo que hasta ahora se le consideraba el virus más activo que ha circulado por la red.

El MyDoom, que contiene un programa informático que, una vez instalado, podría permitir el acceso a los ordenadores infectados, afecta a los computadores con el sistema operativo Windows, de Microsoft, y es capaz de enviar 100 mensajes infectados en 30 segundos, señalaron los expertos informáticos.

Según la firma Trend Micro, el virus comenzó a atacar primero a grandes compañías en EEUU para extenderse después, rápidamente, a otros países.

Symantec señaló que el programa contiene instrucciones para hacerse con contraseñas de los usuarios y enviárselas después a los piratas, aunque otras compañías, como Network Associates, no han encontrado pruebas de ello.

Parte del problema, señalaron expertos informáticos, es que el código del gusano está protegido, lo que dificulta su análisis.

Los expertos tienen, además, mucho trabajo, ya que han de prestar atención a otros dos virus: el Mimail.Q -que comenzó a extenderse ayer- y el Dumaru.

El más temible de todos, el MyDoom, llega a los buzones de correo electrónico con encabezamientos del tipo de "Mail Delivery System", "Test" o "Mail Transaction Failed".

En cuanto al cuerpo del mensaje, contiene un fichero -con extensiones .exe, .scr, .cmd, o .pif- y una frase del tipo de "Este mensaje contiene caracteres de tipo Unicode y se ha enviado como un archivo binario", en inglés.

El vicepresidente de seguridad de Network Associates, Vincent Gullotto, advirtió de que el virus representa un "gran peligro", y señaló que la compañía recibió ayer cerca de 20.000 mensajes que incorporan el virus en una hora.

El virus podría estar codificado para lanzar un ataque contra los servidores de la empresa de software SCO Group, propietaria de una de las versiones del sistema operativo Unix y enfrentada desde hace meses a los usuarios de Linux.

Las disputas entre SCO Group y los usuarios de software de código abierto llevan tiempo, pero según dijo Chris Belthoff, analista de Sophos, "el autor de MyDoom podría haber llevado la batalla a un nuevo frente".

El ataque "de denegación de servicio", que utilizaría a los ordenadores infectados, convirtiéndoles en una especie de zombies, podría comenzar el próximo domingo y continuar hasta el 12 de febrero, cuando el virus está programado para interrumpir su transmisión, según F-Secure y Symantec.

Los expertos indican que MyDoom podría iniciar una nueva temporada de virus inspirados en el exitoso SoBig.F.

Este ataque parece estar aprovechándose del cansancio entre los internautas hartos de que les adviertan de nuevos problemas casi cada día, y de los puntos flacos de las compañías.

Un estudio entre 300 empresas británicas difundido hoy por la consultora NetiQ señala que cerca del 70 por ciento de los empleados pone a su compañía en riesgo a sabiendas.

Según NetiQ, la mayoría de los empleados consulta el correo electrónico personal en el trabajo y utiliza la dirección de la oficina para hacer compras "online" o participar en sitios de charla en la red. EFE

IMIX[Dragon.Auto-Existente.Rojo]

El ataque de Mydoom no remite y se teme lo peor para este fin de semana

Mydoom.A mantiene su elevado ritmo de propagación. Uno de cada cinco correos electrónicos que se encuentran en circulación son portadores de su código. Actualmente, cuatro millones de e-mails infectados por este gusano están difundiéndose. "Mydoom.A no alcanza mayores cotas por las medidas de seguridad que han adoptado las empresas tras ser infectadas", explica Luis Corrons, director de PandaLabs. "Sin embargo" destaca "tampoco cesa, ya que ahora está atacando a las compañías que sobrevivieron a la primera oleada de mensajes infectados y carecen de protección".

Según los datos recogidos por la solución antivirus online de Panda Software, Panda ActiveScan, el número de infecciones provocadas por Mydoom.A.worm es seis veces superior a las causadas por Dowloader.L, que es el segundo virus más frecuentemente detectado. Los entornos corporativos de todo el mundo son los principales afectados por Mydoom.A, por lo que la cifra de ordenadores infectados supera los 400.000. En cuanto a las pérdidas económicas que está generando -debidas al descenso de productividad y gastos derivados de los servicios de soporte técnico-, CNN* estima que pueden ascender a 250 millones de dólares.

Mydoom.A.worm es un código malicioso diseñado para afectar principalmente a las redes corporativas de cualquier tamaño, a las puede llegar a colapsar. Además, instala una puerta trasera o backdoor en los equipos afectados que permite los ataques de hackers para robar, corromper o destruir información.

Mydoom.B, por su parte, que fue detectado ayer, es aún más peligroso que su predecesor, ya que está diseñado para impedir que muchos programas antivirus puedan actualizarse correctamente. "De momento", declara Luis Corrons, "la difusión de Mydoom.B no es muy elevada, quizás por la gran incidencia de su predecesor".


Otro fabricante de herramientas de seguridad informática, MX Logic coincide en los efectos nocivos de este virus, aunque lamentablemente sus previsiones no son nada halagüeñas. "Lo peor aún esta por ver y posiblemente llegará a partir del domingo, cuando comience el ataque contra SCO Group", dijo un directivo de la firma


IMIX[Dragon.Auto-Existente.Rojo]

Gusano Mydoom, la epidemia continúa


Cuando aun no habían transcurrido 48 horas desde la explosión del
gusano Mydoom, epidemia que a día de hoy perdura, apareció una
segunda versión que, hasta el momento, apenas se hace notar. La
lucha continúa en la desinfección del Mydoom original, desde
Hispasec analizamos los problemas y proponemos nuevos enfoques.

La reacción de las diferentes soluciones antivirus, en ofrecer la
actualización pertinente a sus usuarios para detectar la nueva
variante del gusano, fue la siguiente:

[TrendMicro] 28/01/2004 18:09:56 :: WORM_MYDOOM.B
[Kaspersky] 28/01/2004 19:13:33 :: I-Worm.Mydoom.b
[Panda] 28/01/2004 19:47:46 :: W32/Mydoom.B.worm
[NOD32] 28/01/2004 20:38:44 :: Win32/Mydoom.B
[McAfee] 28/01/2004 20:57:17 :: W32/Mydoom.b@MM
[Sophos] 28/01/2004 20:57:40 :: W32/MyDoom-B
[InoculateIT] 28/01/2004 23:05:09 :: Win32/Mydoom.B.
[Norton] 29/01/2004 00:45:41 :: W32.Mydoom.B@mm

Datos obtenidos por el sistema de monitorización 24hx7d del
laboratorio de Hispasec.

Con respecto al gusano original, rebautizado como Mydoom.A para
diferenciarlo de esta nueva versión, destaca que incluye a
www.microsoft.com como objetivo del ataque distribuido por
denegación de servicio, que en el caso del servidor de Microsoft
comenzaría el próximo 3 de febrero.

Como funcionalidad adicional, Mydoom.B también modifica el
archivo hosts de Windows, con la intención de impedir que el
sistema infectado pueda acceder a determinados dominios de
Internet, la mayoría relacionados con la actualizaciones de
antivirus, actualizaciones de Microsoft, y sitios web de
seguridad informática. Con esta acción, el autor del gusano
intenta que los usuarios infectados no puedan acceder vía
Internet a las herramientas para desinfectar sus equipos y
mejorar la seguridad de los mismos.


Luchando contra la epidemia

La mayoría de las casas antivirus están proporcionando herramientas
gratuitas para detectar y desinfectar a Mydoom, si bien el número
de mensajes infectados que circulan sigue siendo muy elevado.

Para muchos Mydoom ya no representa un problema vírico para sus
sistemas, ya que cuentan con la protección adecuada, sino de puro
spam masivo que sus buzones o servidores de correo siguen sufriendo
con la llegada de mensajes infectados.

En este punto se supone que la mayoría de empresas y usuarios con
soluciones antivirus se encuentran protegidas, pese a que algunos
pudieron caer en las primera fase de propagación del gusano por
no contar con la actualización pertinente.

El problema ahora se encuentra en localizar y desinfectar aquellos
sistemas de usuarios que no tienen una cultura de seguridad, que
no cuentan con herramientas para protegerse, y ni siquiera tienen
información al respecto. Resultará complicado acabar por completo
con Mydoom mientras que existan usuarios que no saben que sus
sistemas se encuentran infectados y propagando el gusano. Aunque
Mydoom.A viene con fecha de caducidad, y cesará su actividad en
febrero, está por ver posibles nuevas variantes.


Un nuevo enfoque contra los gusanos con puerta trasera

Un enfoque diferente al de los antivirus tradicionales, que permite
detectar y actuar sobre los sistemas infectados, consiste en
aprovechar la puerta trasera del gusano.

Mientras que un antivirus tradicional requiere que el usuario del
sistema infectado sea consciente de la infección y realice una serie
de operaciones a demanda, como instalar un antivirus o acceder a un
servicio de este tipo a través de Internet, este nuevo enfoque
permite que un tercero detecte los sistemas infectados y,
dependiendo de las características de la puerta trasera del virus,
hasta proceder a su desinfección remota.

La detección remota de esos sistemas se presenta relativamente
fácil, una vez que se conoce que puertos específicos abre un
espécimen para permitir la entrada. En el caso de Mydoom se pueden
obtener datos con un simple escáner que dado un rango realice un
barrido TCP entre los puertos 3127 y 3198, detectando las IPs de
los sistemas que tienen activos esos puertos.

Para una detección más fiable, y minimizar los falsos positivos, sobre
todo si se trata de puertos más comunes, habría que interactuar con el
servicio para confirmar que se trata de la puerta trasera del
espécimen. Si la puerta trasera permite ejecutar comandos sobre el
sistema, o descargar y ejecutar aplicaciones, la solución podría
automáticamente desinfectar la máquina de forma remota.

Las experiencias de Hispasec con este tipo de soluciones son bastante
positivas en redes corporativas, donde existe un buen conocimiento de
los sistemas y control total.

En el aire quedan las implicaciones éticas y legales de una hipotética
desinfección a gran escala, dedicando sistemas a realizar este tipo de
operaciones de detección y desinfección remota a través de Internet de
forma indiscriminada contra sistemas ajenos. También hay que valorar
las dificultades técnicas adicionales que podríamos encontrar,
incluyendo máquinas que no podría detectar por encontrarse detrás de
otros sistemas, por ejemplo un simple router ADSL, o problemas que
pudiera ocasionar la propia vacuna.

IMIX[Dragon.Auto-Existente.Rojo]

MyDoom sigue ocasionando problemas y continua con su propagación
El virus MyDoom ha logrado bloquear la página de SCO Group, www.sco.com, mediante un bombardeo másivo de datos.

La empresa afectada ha comunicado que tienen una serie de planes de contingecia para evitar previsibles nuevos ataques.

Por lo visto, la próxima víctima será Microsoft, que está previsto se vea atacada a partir del martes con la versión MyDoom.B.

Y es que son más de un millón de ordenadores los afectados ya por este virus, considerado el gusano de más rápida propagación hasta el momento.


IMIX[Dragon.Auto-Existente.Rojo]