MyDoom (W32/MyDoom.A@mm y W32/MyDoom.B@mm) es un gusano que se propaga
mediante envíos masivos de correo electrónico. El email infectado que
inicialmente se envía desde direcciones spoofed o erróneas, lleva
incorporado su propio motor SMTP, diseñado para transformar las máquinas
infectadas en unidades de envío de spam que, a continuación, reenvían el
mismo virus a otros destinatarios. La combinación de estos dos sistemas
provoca un notable incremento del tráfico que sobrepasa las prestaciones
de muchos sistemas de análisis antivirus utilizados a día de hoy en
algunos entornos empresariales. Estos sistemas, que han sido
desbordados, son, en su mayoría, tecnologías procedentes de la
adaptación de soluciones de escaneo monopuesto y no disponen de
prestaciones para la gestión inteligente de un gran volumen de correo
electrónico desde el servidor de correo de la compañía.
Además, para enfrentarse a un virus tipo gusano con capacidad de reenviarse a
la lista de correo de cada usuario infectado y así multiplicar
exponencialmente su presencia en la red, como el MyDoom, es necesario
tener en cuenta que el mensaje que transporta el archivo adjunto, tiene
como cometido servir de cebo o engaño y no posee ningún interés para el
receptor, por lo que es absurda su conservación y envío al buzón del
destinatario tras la detección y eliminación del adjunto maligno.
La total purga de este mensaje debería ser la lógica forma de obrar ya que su
desaparición no deja al receptor sin una información de su interés y
supone un notable descenso del tráfico de mensajes.
En un
entorno empresarial en el que el tráfico de entrada y salida del correo
procedente o dirigido a los buzones de los empleados es gestionado desde
un servidor centralizado se debe buscar la mayor automatización de la
gestión y la total desvinculación de los empleados de la configuración
de estos sistemas. Para conseguirlo, es necesario contar con sistemas de
mayores prestaciones a los instalados en los PC y con un rendimiento
adecuado a los requerimientos de gestión de amplios volúmenes de tráfico
de correo.
La detección del gusano es, sin duda, el mínimo que se
le debe requerir a estos sistemas implantados en el servidor de correo
de una empresa, pero, en casos, como el mydoom, también es necesario que
la solución cuente con la capacidad para la gestión centralizada de tres
aspectos de vital importancia para garantizar la continuidad del
servicio de correo en una empresa:
1- Evitar la caída del
servidor de correo ante el incremento de mensajes a analizar.
2-
Impedir que el mensaje ya desinfectado y libre del archivo adjunto que
contiene el virus continúe camino hacia su destinatario y llegue así a
los buzones provocando el desconcierto de los usuarios que se creen
infectados.
3- En casos como el MyDoom, desactivar la opción de
respuesta o información automática al remitente del mensaje que no es
necesariamente su autentico emisor para no contribuir al incremento del
tráfico.
Prevención
En la gestión del correo desde servidores es vital que el sistema de
análisis actúe en memoria sin necesidad de rescribir la información en
el disco del servidor, impidiendo así que el consumo de recursos del
servidor pueda en momentos de un tráfico intenso provocar su caída con
un alto coste para la empresa que pierde su servicio de correo y queda
expuesta a la acción de hackers que aprovechan el puerto libre para
penetrar en ese entorno. La escritura de los mensajes en disco para el
análisis puede llegar a ser mortal para el servidor de correo, cuando la
velocidad de propagación del gusano es más rápida que la velocidad de
limpieza del Antivirus. Tu propio Antivirus se convierte en tu peor
virus.
También, como segunda medida de prevención, y atendiendo
al hecho de que el mensaje que acompaña el virus no tienen ningún valor,
la mejor manera de actuar ante la detección de un virus como MyDoom es
la eliminación total del mensaje antes de que pueda dañar el sistema de
la organización atacada. La purga total de virus que se transmiten por
correo electrónico presenta varias ventajas. En primer lugar, se reduce
a cero el riesgo de que se ejecute el código malicioso, porque la acción
de purgar el virus no lleva aparejada ninguna interacción humana y el
código, independiente del lenguaje empleado, no se ejecuta. En segundo
lugar, la red corporativa interna mantiene íntegra su seguridad y el
tráfico que circula por ella no incrementa, ya que no sólo se elimina el
documento adjunto atacante, sino todo el mensaje de e-mail que lo
portaba.
La no eliminación total del gusano en memoria, archivo
adjunto y mensaje, permite que el mensaje acceda a la base de datos del
servidor con dos importantes consecuencias sobre el tráfico de correo
electrónico: primero el consumo de recursos y segundo que el mensaje ya
desinfectado es distribuido a los buzones de correo de los usuarios lo
que incrementa la alarma y en consecuencia los costes para la
organización en concepto de llamadas a los equipos de soporte al
usuario, pérdida de productividad e incremento del tráfico en la red.
Otro aspecto, que ha contribuido al éxito de mydoom sumando a su efecto
maligno directo otros de colaterales proviene de la imposibilidad de de
desactivar a demanda del administrador en algunos antivirus la respuesta
o notificación automática que esta solución envía al emisor de un
mensaje infectado. Si tenemos en cuenta que mydoom y otros virus
similares se envían inicialmente desde direccionesspoofed o erróneas,
el envío automático de notificaciones que realizan ciertos antivirus ha
provocado que usuarios no infectados hayan recibido una notificación de
que lo están. Este hecho, además de generar una falsa alarma, ha
derivado en un incremento de mensajes que ha acentuado los graves
problemas de volumen que han tenido algunas empresas para gestionar
debidamente el tráfico de mensajes entrante en sus servidores de correo.
MyDoom nos ha enseñado de nuevo que los creadores de virus siempre mueven
ficha antes que los fabricantes de vacunas, pero también que muchas
empresas y corporaciones que no disponen de soluciones acordes con los
requerimientos de una red corporativa han sufrido gravemente además de
los efectos directos del virus otros de colaterales fácilmente evitables.
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…