| |
VSantivirus No. 1143 Año 7, Domingo 24 de agosto de 2003
Reflexiones sobre el Sobig.F, lo que nadie dijo
http://www.vsantivirus.com/sobigf-reflexiones.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Aunque el Sobig.F apareció hace menos de una semana (el martes 19 de agosto de 2003), es a la fecha, el gusano de mayor propagación en el mundo, lo que no es poco, porque en lo que va de agosto, se ha dicho lo mismo de otros, como el Blaster o el Mimail, que también han alcanzado cuotas cada vez más extensas en las estadísticas.
Pero además, Sobig.F, utiliza solo el correo electrónico para difundirse, a diferencia de otros como el Blaster (o Lovsan), que también llegó a los primeros puestos, pero infectando computadoras vulnerables o sin la protección de un cortafuegos, por el simple hecho de estar conectadas a Internet.
Sobig.F ha dejado fuera de servicio a muchos servidores de correo, por la gran cantidad de mensajes creados. Imagínese "solo" 500,000 usuarios infectados (la cifra real puede ser mucho mayor), y que cada uno de ellos envíe cada 10 segundos decenas y a veces cientos de mensajes.
Las direcciones falsas.
Sobig.F, como muchos otros, entre los que podemos destacar al Bugbear, Fizzer, Mimail o Klez, disfrazan la dirección del remitente. Es decir, cuando usted recibe un mensaje infectado de alguien (conocido o no), esa persona tal vez ni siquiera esté infectada, simplemente el gusano a tomado su dirección de alguna de tantas máquinas infectadas.
Solo es necesario que cualquiera de nosotros haya enviado un mensaje electrónico alguna vez, o que nuestra dirección esté en alguna página o documento visto en algún momento por un usuario cualquiera, para que, si ese usuario se infecta, el gusano seleccione al azar nuestra dirección como falso remitente para enviar sus mensajes
infectados.
El efecto amplificador de los "autoresponders".
Algunos servidores o aplicaciones que examinan todos los mensajes electrónicos que pasan por ellos en busca de virus, suelen responder automáticamente al remitente cuando detectan un virus. Como el "Remitente" es falso, la respuesta automática la recibe por lo general un usuario inocente, lo que ocasiona múltiples molestias.
La primera consecuencia es generar confusión y preocupación en aquél que recibe la notificación de haber enviado un mensaje infectado, sin que ello sea cierto. Motivo más que suficiente para generar pánico en muchas personas sin experiencia, o aún con ella. Y en ocasiones, una comedia de acusaciones falsas, e incluso desprestigio.
Lo cierto, es que de todos modos, responder con el aviso de mensaje infectado, es un acto inútil. Y lo más importante, se genera un tráfico innecesario de mensajes que se suma al del propio gusano, causando más problemas que soluciones.
Una buena práctica que todos los administradores encargados de estos sistemas automáticos deberían aplicar como norma, es deshabilitar la autorespuesta para todo mensaje infectado. En éste, como en muchos otros casos, es peor el remedio que la enfermedad.
Actualmente las cifras publicadas por varias fuentes, superan los más de 100 millones de mensajes interceptados solo por algunas de estas empresas. Si a esta cifra le sumamos las autorespuestas, el tráfico es algo verdaderamente enorme.
La historia del spam.
Una de las razones que los expertos manejan para justificar la rápida propagación del Sobig.F, es el empleo de técnicas de spam. Sin embargo, me atrevo a afirmar que el mayor culpable es la desinformación, y sobre todo la falta de responsabilidad de los usuarios.
El Blaster, gusano también famoso en estos días como ya mencionamos, es otro ejemplo muy claro. No hay razón para que se propagara tanto, si cada usuario hubiera hecho algo tan sencillo como mantener activo un cortafuegos, que por cierto, en el caso de Windows XP por ejemplo, se activa automáticamente cuando se crea una instalación normal de acceso a Internet.
Pero el Sobig.F, en cambio, apela a algo que de tan repetido, ya aburre. No deberíamos abrir JAMAS adjuntos que no solicitamos.
Otra cosa que cuesta entender, es su gran propagación entre usuarios de habla hispana, cuando los mensajes del Sobig.F están todos en inglés. Y como anécdota, lo "gracioso" de esto (por decir algo suave), es que de cada 10 usuarios que me han consultado, solo uno entendía el texto que el gusano muestra en ese idioma (claro que igual abrió el adjunto). Los demás, sin siquiera saber de que se trataba, también lo hicieron. No creo necesario agregar otro comentario a esto...
La verdad sobre la "segunda oleada".
Según se ha publicado en todos los medios (y aquí mismo), todas las máquinas infectadas ya habrían entrado en lo que algunos empezaron a llamar "segunda fase".
Desde el pasado viernes, y todos los viernes y domingos hasta la fecha de desactivación del gusano, que sería el próximo 10 de setiembre (medianoche del 9), todas las computadoras infectadas, sincronizadas por el mismo gusano con un reloj atómico, entrarían exactamente a la misma hora en todo el mundo (las 19:00 UTC/GMT), a 20 servidores repartidos por varios países, para descargar otro código seguramente maligno.
Las 20 direcciones IP están encriptadas en el cuerpo del gusano, y los servidores físicamente se encuentran ubicados en Estados Unidos, Canadá y Corea del Sur.
Un código secreto de 8 bytes, serviría para identificarse en ellos, y recibir como respuesta la dirección URL desde donde los equipos infectados podrían descargar un archivo cualquiera. El gusano también tiene la capacidad para ejecutar luego este archivo o archivos descargados.
Las características de este programa son desconocidas. Podría ser desde una actualización del propio Sobig.F, hasta un destructivo troyano, o cualquier nueva clase de gusano o virus.
Aunque algunos investigadores como los de F-Secure y otros, pudieron desencriptar parte del código e intentaron descargar el archivo antes de la fecha de activación, las direcciones devueltas por los servidores en todos los casos, no llevaban a ninguna parte.
Es de suponer que el autor o autores del gusano, previeron que algo de ello podría llegar a ocurrir, y seguramente los datos verdaderos recién serían establecidos en los servidores en el momento específico del ataque.
Uno de las primeras acciones llevadas a cabo, luego de conocerse la lista de estos 20 servidores, fue la de intentar darlos de baja, con la ayuda del FBI, y otros organismos relacionados en cada país. Sin embargo, la selección de los servidores no fue capciosa. Los autores buscaron diferentes proveedores para que la tarea de cerrarlos fuera dificultosa, como de hecho lo fue.
La cronología de esta acción, es reportada por F-Secure de esta forma:
16:00 UTC del viernes 22 de agosto. Dieciocho de los veinte servidores han sido cerrados, y resultan inaccesibles.
17:00 UTC. Uno de los dieciocho que habían sido cerrados, vuelve a estar disponible. Aparentemente el mismo no fue desconectado por el proveedor, y su responsable simplemente lo reinició.
Al mismo tiempo, el CERT, el FBI y la propia Microsoft, trabajan para desactivar los tres aún activos a esa hora.
18:00 UTC. Finalmente todos los servidores son inaccesibles. Uno de ellos responde como existente a un comando PING, pero sin embargo no lo hace al puerto UDP/8998, el que sería usado por el gusano para el ataque.
18:20 UTC. Uno de los servidores vuelve a estar activo. Preocupa el hecho de uno solo podría ser suficiente para que el gusano tenga éxito en su ataque.
19:00 UTC (comienzo del ataque). El único servidor activo, localizado en los Estados Unidos, sigue estándolo. Sin embargo, casi de inmediato, es literalmente inundado por la cantidad de solicitudes de las máquinas infectadas intentando conectarse a él, y sucumbe víctima de un ataque de denegación de servicio.
19:15 UTC. Finalmente, ninguno de los 20 servidores responde. Y ninguno lo hará hasta que el ataque finaliza, a las 22:00 UTC. De este modo, podría afirmarse que el primer ataque de la "segunda ola" del Sobig.F ha fracasado.
Sin embargo, a pesar de todo lo dicho antes, no es oportuno afirmar en forma categórica que ninguna de las máquinas infectadas pudo llegar a descargar algún código. Existe la posibilidad de que alguna pudiera haberse conectado antes que el único servidor activo sucumbiera. Y además, aún quedan más viernes y domingos antes de la fecha de desactivación del Sobig.F.
Programador de virus, mafia o terrorismo.
Los expertos coinciden que las técnicas utilizadas por este gusano, no son las de un escritor de virus adolescente.
Por otra parte, hay quienes aseguran que con el tema del spam (incluso en las versiones anteriores del Sobig), los autores han obtenido significativas ganancias.
Para Mikko Hypponen, de F-Secure, detrás de este gusano, incluso pueden estar actuando personajes del crimen organizado.
Claro está que si empezamos a especular en ese sentido, hasta podría llegar a decirse que existe alguna relación con cierta clase de terrorismo.
En todo caso, lo cierto por el momento, es que un simple gusano podría ocasionar muchos más problemas que otros
tipos de ataques. Por ejemplo, ya es noticia que una central nuclear en Estados Unidos estuvo al borde del colapso por culpa de un gusano (el SQL/Slammer en enero de 2003), aunque no haya sido la intención del autor en ese momento.
La otra verdad del ataque.
Si hay algo en que casi todos los expertos coinciden, es que el famoso ataque, segunda fase o "segunda ola" del Sobig.F, simplemente ya no es un peligro.
Lo único que quedó, fue un notorio aumento en la actividad por el puerto UDP/8998, de cientos de miles computadoras infectadas buscando las actualizaciones. Esta actividad se repetirá cada viernes y domingo, hasta el próximo 7 de setiembre inclusive.
Sin embargo, que nada haya pasado, podría haber sido desde el principio la verdadera intención de los autores del gusano.
Razonemos esto. Para alguien que se toma tanto trabajo en crear estas versiones (la "F" es la sexta del gusano), probando en cada una nuevas técnicas o procedimientos, también sería fácil intuir que tanta expectativa por esta actividad anunciada, pondría a muchos organismos en alerta máxima. Y la captura de algún nuevo código descargado por esta "segunda fase" del Sobig.F, estrecharía el cerco sobre
el, o los culpables.
Sin embargo, un escenario montado de esta forma, también serviría para estudiar como eludir en el futuro las técnicas usadas para bloquearlo.
Planes futuros.
A pesar de toda la información conocida del Sobig.F, hay expertos como los de Daniloff's Labs (Dr. Web), que aseguran que se ha malentendido la verdadera naturaleza de los 20 servidores que han sido (por ahora), dados de baja, y cuyas direcciones IP se encontraban encriptados en el código del gusano.
Según estos expertos, no se tratan de servidores que serían usados para la descarga de código, sino que solo servirían para la sincronización de la fecha y hora.
Es evidente que existe una verdadera contradicción en este punto respecto a lo que anuncian los demás laboratorios antivirus. Sin embargo, coincidimos con los fabricantes del Dr. Web, en que el autor del Sobig podría haber buscado un tortuoso camino para llevar a cabo acciones cuyo verdadero significado aún desconocemos. Y por otra parte, es un hecho que no ha dejado demasiados pistas para que se pueda detectar el verdadero origen del gusano.
Además, es casi seguro que la versión "F" no sea la última. Y que todas las anteriores (y tal vez algunas de las futuras) solo sirvan para conformar un plan más elaborado, basado en la extensa experiencia recabada en base a los comportamientos combinados de usuarios, fabricantes de antivirus, y organismos gubernamentales. Cosas como el tiempo necesario para dar de baja una cierta cantidad de servidores, podrían tener un significado bastante preocupante para quien planeara algo mucho más sofisticado en un futuro tal vez inmediato.
Algunos datos sobre el gusano.
En concreto, Sobig.F ha infectado desde el pasado 19 de agosto, o lo hará hasta el final de su ciclo (10 de setiembre de 2003), casi más computadoras que todas las versiones anteriores del propio gusano.
Sobig.F utiliza los siguientes puertos para sus diferentes acciones:
Salida:
UDP/8998
UDP/123
Entrada:
UDP/995
UDP/996
UDP/997
UDP/998
UDP/999
El gusano utiliza el protocolo NTP (Network Time Protocol) para sincronizar las horas y minutos de cada máquina infectada. Todo tráfico inesperado a las siguientes direcciones IP por el puerto UDP/123, debería ser considerado, por lo menos, sospechoso:
128.233.3.101
129.132.2.21
131.188.3.220
131.188.3.222
132.181.12.13
133.100.11.8
137.92.140.80
138.96.64.10
142.3.100.2
150.254.183.15
193.204.114.232
193.5.216.14
193.67.79.202
193.79.237.14
200.19.119.69
200.68.60.246
212.242.86.186
62.119.40.98
chronos.cru.fr
Esta es la lista de los 20 servidores a los que el gusano intentaría conectarse en determinadas fechas y horarios. Todos han sido dados de baja por el momento:
67.73.21.6
68.38.159.161
67.9.241.67
66.131.207.81
65.177.240.194
65.93.81.59
65.95.193.138
65.92.186.145
63.250.82.87
65.92.80.218
61.38.187.59
24.210.182.156
24.202.91.43
24.206.75.137
24.197.143.132
12.158.102.205
24.33.66.38
218.147.164.29
12.232.104.221
68.50.208.96
Las fechas de estos ataques, comprende a los viernes 22/8, 29/8 y 5/9, y a los domingos 24/8, 31/8 y 7/9 de 2003, en los siguientes horarios (19:00 a 22:00 UTC/GMT):
12:00 a 15:00 - San Francisco
14:00 a 17:00 - México, Lima, Bogotá
15:00 a 18:00 - La Habana, Nueva York, Montreal,
15:00 a 18:00 - Santiago, Caracas, Asunción
16:00 a 19:00 - Buenos Aires, Montevideo, Brasilia
21:00 a 00:00 - Madrid
23:00 a 02:00 - Moscú
Los mensajes que usa para propagarse por correo electrónico, tienen estas características:
De: (cualquier remitente falso)
Para: (la dirección del destinatario)
Asunto: (uno de los siguientes):
Re: Approved
Re: Details
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details
Texto: (uno de los siguientes):
Please see the attached file for details.
See the attached file for details
Datos adjuntos: (uno de los siguientes):
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
Algunas reflexiones.
La probabilidad de que esta versión del gusano descargue una actualización, o cualquier otra clase de archivo durante su ciclo de vida (la llamada "segunda ola"), es muy poca, toda vez que se mantengan cerrados los 20 servidores mencionados.
El hacer público esa lista de direcciones, hace prácticamente imposible que el gusano tenga éxito en esta etapa, ya que muchos proveedores las han bloqueado.
Si aún así una cierta cantidad de máquinas infectadas alcanzara alguno de estos servidores durante su periodo de ataque, el gran número de solicitudes simultáneas (sincronizadas además para una hora específica por un reloj atómico), simplemente haría caer al servidor, víctima de un verdadero ataque, pero de denegación de servicio (DoS). Además, la mayoría de esos servidores tienen acceso a Internet a través de conexiones vía cable o ADSL, por lo que no llegarían a soportar tal cantidad de tráfico.
Relacionados:
W32/Sobig.F. Gusano de gran propagación
http://www.vsantivirus.com/sobig-f.htm
W32/Sobig.E. Nueva versión vigente hasta el 14/7/03
http://www.vsantivirus.com/sobig-e.htm
W32/Sobig.D. Texto: "See the attached file for details."
http://www.vsantivirus.com/sobig-d.htm
W32/Sobig.C. Texto: "Please see the attached file."
http://www.vsantivirus.com/sobig-c.htm
W32/Sobig.B (Palyh.A, Mankx). De: "support@microsoft.com"
http://www.vsantivirus.com/sobig-b.htm
W32/Sobig.A. Mensajes enviados por "big@boss.com"
http://www.vsantivirus.com/sobig-a.htm
Medidas contra la "segunda ola" del Sobig.F
http://www.vsantivirus.com/sobig-segunda-ola.htm
Kaspersky Antivirus 3.0 no detecta al Sobig.F
http://www.vsantivirus.com/kav3-obsoleto.htm
Cuando un virus puso en peligro a la humanidad
http://www.vsantivirus.com/lz-nuclear.htm
La información y la seguridad
http://www.vsantivirus.com/fdc-info-seguridad.htm
Seguridad Informática: Peligros Ocultos
http://www.vsantivirus.com/zma-peligros.htm
Blaster, o como sacar provecho de las cosas malas
http://www.vsantivirus.com/lz-lecciones.htm
Después de todo, es un simple gusano...
http://www.vsantivirus.com/apagon14-08-03.htm
Una pieza más del dominó, o un simple espectador
http://www.vsantivirus.com/lz-domino.htm
La nueva amenaza: los gusanos de rápida propagación
http://www.vsantivirus.com/05-02-03.htm
W32/SQLSlammer. El culpable del mayor ataque a Internet
http://www.vsantivirus.com/sqlslammer.htm
Estados Unidos Bajo Ataque D.D.O.S Masivo
http://www.vsantivirus.com/ataque-puerto1434.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
