|
El
futuro de MSBlaster (o LoveSan), un virus mal programado.
MSBlaster pasará a los anales de la historia
de Internet, como una de las epidemias más rápidas
y devastadoras, infectando en un solo día cientos de miles
de ordenadores de todo el mundo. Llama la atención que, por
el hecho de aprovechar una vulnerabilidad muy sencilla de explotar,
era de esperar la aparición de este tipo de gusano, pero
una vez más la desinformación entre los usuarios no
facilitó la prevención. Pero lo alarmante es que,
examinando el comportamiento del gusano, lo peor puede estar por
llegar.
Y es que, según los expertos, la primera
versión del virus está realmente mal programada. Es
extremadamente ineficiente, a pesar de su velocidad de expansión.
El autor no se preocupó de programar un virus en sí,
sino que copió y pegó el código del conocido
exploit que aprovechaba la vulnerabilidad y le proporcionó
un mecanismo artesano para propagarse, añadiendo una rutina
que genera 20 direcciones IP al azar tomando como base la dirección
del propio ordenador infectado. Esto demuestra una lentitud extrema
con respecto al Code Red, que era capaz de escanear 100 o 200 direcciones
a la vez.
Tampoco se preocupa de averiguar qué tipo
de sistema operativo está intentando infectar (Windows XP
ó 2000). Teniendo en cuenta que el exploit necesita conocer
el sistema operativo para aplicar una dirección de retorno
de pila adecuada y funcionar correctamente, esto supone un gran
problema de expansión para el virus, que elige aleatoriamente
la variante del exploit y reduce al 50 por ciento su capacidad de
infección. Esta es la causa de que los sistemas XP se reinicien
cada pocos minutos. En estos ordenadores, el virus ha intentado
aplicar el exploit pensado para Windows 2000.
También llama la atención el hecho
de que el gusano necesite conectarse a otra máquina a través
del puerto 4444 para descargar el programa con la carga destructiva
en sí. El exploit abre ese puerto en primera instancia y
permite desde ahí la ejecución de código arbitrario.
El hecho de que la infección se realice en dos tiempos
(primero el desbordamiento que permite la ejecución de código
y luego el comando TFTP para descargar el gusano en sí) también
refleja la inexperiencia o poca habilidad del creador del gusano.
La mayoría de los virus destructivos son capaces de realizar
todo en un sólo movimiento mucho más rápido
y destructivo. El uso de un puerto poco habitual (4444) también
facilita su detección y control por parte de los administradores
que utilicen cortafuegos.
El gusano se aprovecha de una vulnerabilidad descubierta
el 16 de Julio en el RPC (Remote Procedure Call) de prácticamente
todos los sistemas Windows. Este es un protocolo que proporciona
a Windows un mecanismo de comunicación entre procesos para
que un programa que se está ejecutando en un equipo pueda
ejecutar también código en un sistema remoto. La facilidad
para explotar este problema y conseguir ejecutar código arbitrario
en la víctima ya estaba reportando suculentos beneficios
a los hackers maliciosos que buscaban potenciales víctimas
en el IRC desde finales de julio, cuando se hizo público
el exploit. Aprovecharse del problema a mano conociendo
la IP de la víctima resulta trivial.
Por todo esto, cabe esperar la rápida aparición
de variantes que mejoren el rendimiento del virus. Distintas casas
antivirus ya han detectado variantes B y C del gusano, que usan
nombres de archivos tales como teekids.exe y penis32.exe respectivamente
en vez del msblaster.exe original. Los cambios no son significativos
(principalmente nombre y sistema de compresión) con respecto
a la primera versión, creada sin duda por un programador
poco experimentado o con demasiada prisa.
Teniendo en cuenta el impacto que ha tenido el
virus aun con sus debilidades y deficiencias, un virus que aprovechase
esa misma vulnerabilidad pero programado de forma eficiente (tal
y como Slammer mostraba, toda una oda a la eficiencia y velocidad
vírica ) hubiese sido una verdadera catástrofe. Podríamos
considerar esta primera versión como un aviso, que ayudará
a muchos a parchear sistemas e instalar por primera vez un firewall,
algo que hasta ahora consideraban innecesario como herramienta contra
los virus. Existe la creencia que un virus sólo puede infectar
un sistema si el usuario ejecuta un archivo infectado.
Aunque cabe esperar igualmente que miles de usuarios
no actualicen sus sistemas, convirtiéndose en incautos cómplices
que ayudarán a la propagación de otras versiones mucho
más destructivas. ¿Está lo peor por llegar?
Más información y referencias:
-Next-Gen Windows Worms Will Be Smarter
http://www.pcworld.com/news/article/0,aid,111992,00.asp
-Asia
Grapples with Variants of Blaster Worm
-Self-Propagating Worm Spreads
http://www.pcworld.com/news/article/0,aid,111965,00.asp
-Lovsan, Blaster o MSBlast. Una pesadilla anunciada
http://www.vsantivirus.com/ev12-08-03.htm
|
