Sus principales objetivos son atacar la web de Microsoft y distribuir el
código fuente del gusano Mydoom.A, en lo que parece una estrategia para
dificultar la localización del autor original o facilitar la aparición
de nuevas variantes.
Como describimos en su día, Mydoom
(versiones A y B) incorporaba un componente que hacía funciones de
backdoor o puerta trasera, abriendo el puerto TCP 3127. Doomjuice basa
su sistema de propagación e infección en esta puerta trasera, ya que
realiza barridos de direcciones IPs buscando este puerto abierto. Cuando
localiza uno, establece una conexión y envía una copia del ejecutable de
Doomjuice, que el backdoor de Mydoom se encarga de recibir y ejecutar en
el sistema.
De entrada, al propagarse exclusivamente mediante
este puerto, Doomjuice sólo puede infectar de forma directa y automática
a los sistemas que se encuentren afectados por Mydoom, lo que limita
mucho su capacidad de propagación. Además, Doomjuice se puede encontrar
con problemas adicionales, ya que muchos de los equipos infectados con
Mydoom, y potencialmente víctimas de su ataque, no podrán ser accesibles
ya que se encontrarán protegidos con barreras perimetrales. Por ejemplo,
un usuario de ADSL puede estar infectado por Mydoom pero su router
impediría que Doomjuice pueda acceder desde Internet al puerto abierto
en su PC. Por todo lo anterior, no se prevé una propagación explosiva de
este gusano, como ocurrió en el caso de Mydoom.
Como
curiosidad, y ahondando en una de las soluciones que propusimos en una
entrega anterior, Doomjuice es una prueba más de como sería posible
desinfectar de forma automática los equipos de forma remota aprovechando
la puerta trasera. Si en vez de descargar e instalar un nuevo gusano, en
su lugar, instalara una vacuna que desinfectara Mydoom. En realidad no
se trata de un concepto nuevo, en la prehistoria de los virus
informáticos se pueden encontrar casos similares, si bien como
comentamos este tipo de soluciones de desinfección global e
indiscriminada chocan con cuestiones éticas y legales.
Breve descripción
Doomjuice se instala como intrenat.exe en el directorio de sistema de
Windows, e incluye las siguientes entradas en el registro para
asegurarse su ejecución en cada inicio de sistema:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunGremlin
= %system%intrenat.exe
HKKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunGremlin
= %system%intrenat.exe
Como curiosidad copia en
varias carpetas del sistema infectado (en el raíz, Windows, System,
temporal, etc.) el archivo comprimido sync-src-1.00.tbz, que contiene el
código fuente del Mydoom original. Algunos interpretan esta acción como
parte de una estrategia para dificultar la localización del autor
original, que en principio era el único poseedor del código fuente del
gusano como creador del mismo. Por otro lado, esta difusión del código
fuente también abre la puerta a que otros programadores realicen
modificaciones del mismo y aparezcan nuevas variantes.
Por
último, como en el caso de Mydoom, el gusano Doomjuice también incorpora
una rutina de ataque DoS, en este caso exclusivamente contra el dominio
www.microsoft.com. La diferencia es que en el caso de Doomjuice no hay
fecha de caducidad, y las peticiones a la web de Microsoft serán
perennes mientras que existan equipos infectados. Si bien, hasta el
momento, y también a diferencia de www.sco.com,la web de Microsoft no se
ha visto afectada.
Reacción de las soluciones antivirus
La reacción de las diferentes soluciones antivirus en proporcionar la
actualización a sus clientes fue la siguiente:
[Kaspersky]
09.02.2004 18:58:11 :: Worm.Win32.Doomjuice
[Panda] 09.02.2004
19:33:49 :: W32/Doomjuice.A.wor
[Sophos] 09.02.2004 20:53:38 ::
W32/Doomjuice-A
[NOD32] 09.02.2004 21:26:22 :: Win32/Doomjuice.A
[TrendMicro] 09.02.2004 22:47:11 :: WORM_DOOMJUICE.A
Estos resultados
son extraídos del sistema de monitorización 24hx7d de Hispasec. Los
antivirus interesados en integrarse en este sistema y aparecer en el
listado deben ponerse en contacto con el laboratorio de Hispasec.
Como datos significativos llama la atención la no detección de McAfee,
Norton e InoculateIT, si bien estas casas antivirus han proporcionado
descripciones y facilitan archivos de firmas específicos para detectar a
Doomjuice.
La razón de que no aparezcan se debe a que estas
soluciones no han proporcionado aun la actualización oficial que sus
productos descargan de forma automática. Por ejemplo, en el caso de
McAfee será el DAT 4323, que anuncia publicará el 11/02/2004. A efectos
prácticos significa que los usuarios de estos productos aun no se
encuentran protegidos, ya que la inmensa mayoría utiliza la función de
actualización automática o a demanda que incorpora el producto.
Hispasec considera que, aunque es posible la descarga manual del archivo de
firmas específico (que también tendría que ser instalado manualmente en
la mayoría de los casos), es más real indicar en los resultados la fecha
y hora en que las soluciones son capaces de actualizarse de forma
automática, puesto que en la mayoría de los casos los usuarios no están
atentos a descargar e instalar archivos de forma manual (ni consideramos
que sea su función).
En el caso de Symantec/Norton, según
publica existe actualización para Doomjuice desde última hora del día 9,
tanto a través del Intelliger Update como mediante su servicio
automático Live Update. Si bien en nuestro sistema de monitorización ha
sido incapaz de reconocer la muestra del gusano con dichas
actualizaciones, y pruebas realizadas con otras versiones/motores de sus
antivirus, en diferentes sistemas, tampoco han logrado detectarlo. En
este caso parece que existe algún error en la firma incorporada por
Symantec para detectar el virus.
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…