Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Doomjuice, nuevo gusano que ataca a Microsoft
 
VSantivirus No. 1313 Año 8, martes 10 de febrero de 2004

 Doomjuice, nuevo gusano que ataca a Microsoft
http://www.vsantivirus.com/10-02-04.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy

Según informa Netcraft, el sitio principal de Microsoft en www.microsoft.com, ha experimentado algunos problemas de rendimiento en ciertos momentos del día 9 de febrero, probablemente debido al ataque distribuido de denegación de servicio (DDoS), lanzado por el nuevo gusano Doomjuice.

Para algunos, este gusano, reportado por primera vez en la fecha mencionada, podría ser la versión C del Mydoom, aunque posee importantes diferencias con las anteriores. Por ejemplo, no se propaga por correo electrónico ni por redes P2P (KaZaa).

Sin embargo, es casi seguro que fue creado por el mismo programador, ya que además contiene el código fuente del Mydoom.A, el cual es copiado en un archivo comprimido, en varias carpetas de las máquinas infectadas por el Doomjuice.

La razón de distribuir el código fuente puede tener dos interpretaciones. Una, es que de ese modo otros programadores podrían modificarlo y crear fácilmente nuevas versiones del gusano.

La otra es que, el autor se cubre así de ser culpado en un juicio, por tener el código en su máquina (si fuera capturado), ya que ahora el mismo se encuentra en cientos de computadoras.

Para propagarse, el Doomjuice utiliza solamente la puerta trasera dejada por el Mydoom A y B en las máquinas infectadas.

Entre sus rutinas destructivas, se encuentra la que realiza ataques al sitio de Microsoft (en este caso, solo a dicho sitio, y no a SCO.com). El código de ataque ha sido optimizado, y ya no presenta los errores de las versiones anteriores. Según la fecha, el nuevo gusano comienza cada ataque luego de un tiempo de espera (del 8 al 11 de febrero), o en forma inmediata (desde el 12 de febrero). En todo caso los ataques serán continuos, sin fecha de finalización.

Para realizar los ataques, el gusano hace que cada máquina infectada realice hasta 80 peticiones simultáneas de la página principal del sitio www.microsoft.com. Además estas peticiones se repiten en un bucle sin fin.

El ataque podría haber comenzado a las 9:00 GMT/UTC, aunque el gusano fue reportado varias horas después. En ese momento, el sitio de Microsoft sufrió algunas demoras para responder.

Los técnicos de Microsoft implementaron de inmediato algunos filtros, deteniendo toda solicitud que en el paquete enviado no incluya los cabezales de User-Agent (identifica el navegador que hace la solicitud). Los paquetes creados por el gusano parecen carecer de esta identificación.

Hasta el momento, este filtro y otras medidas que se han tomado, y que no han sido reveladas por razones de seguridad, parecen haber dado buenos resultados. El sitio se ha mantenido accesible, salvo breves interrupciones.

A pesar de ello, los monitoreos realizados, parecen indicar que el acceso desde algunos lugares, podría realizarse con cierta dificultad.

Según Netcraft, el comportamiento general de la red, no ha sufrido ninguna degradación significativa en su rendimiento hasta el momento.

Más información:

W32/Doomjuice.A. Utiliza PCs infectadas por Mydoom
http://www.vsantivirus.com/doomjuice-a.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS