Gusano Doomjuice
aprovecha la puerta trasera de Mydoom
El nuevo
gusano Doomjuice no se propaga a través del correo
electrónico, en su lugar aprovecha la puerta trasera abierta en los sistemas
infectados por Mydoom para instalarse. Sus
principales objetivos son atacar la web de Microsoft
y distribuir el código fuente del gusano Mydoom.A, en
lo que parece una estrategia para
dificultar la localización del autor original o facilitar la aparición de
nuevas variantes.
Como describimos en su día, Mydoom (versiones A y B)
incorporaba un componente que hacía funciones de backdoor
o puerta trasera, abriendo el puerto TCP 3127. Doomjuice
basa su sistema de propagación e infección en esta puerta trasera, ya que
realiza barridos de direcciones IPs buscando este puerto
abierto. Cuando localiza uno, establece una conexión y envía una copia del
ejecutable de Doomjuice, que el backdoor
de Mydoom se encarga de
recibir y ejecutar en el sistema.
De entrada, al propagarse exclusivamente mediante este puerto, Doomjuice sólo puede infectar de forma directa y automática
a los sistemas que se encuentren afectados por Mydoom,
lo que limita mucho su capacidad de propagación. Además, Doomjuice
se puede encontrar con problemas adicionales, ya que muchos de los equipos
infectados con Mydoom, y potencialmente víctimas de
su ataque, no podrán ser accesibles ya que se ncontrarán
protegidos con barreras perimetrales. Por ejemplo, un usuario de ADSL puede
estar infectado por Mydoom pero su router impediría que Doomjuice pueda
acceder desde Internet al puerto abierto en su PC. Por todo lo
anterior, no se prevé una propagación explosiva de este gusano, como ocurrió en
el caso de Mydoom.
Como curiosidad, y ahondando en una de las soluciones que propusimos en una
entrega anterior, Doomjuice es una prueba más de como
sería posible desinfectar de forma automática los equipos de forma remota
aprovechando la puerta trasera. Si en vez de descargar e instalar un nuevo
gusano, en su lugar, instalara una vacuna que desinfectara Mydoom.
En realidad no se trata de un
concepto nuevo, en la "prehistoria" de los virus informáticos se
pueden encontrar casos similares, si bien como comentamos este tipo de
soluciones de desinfección global e indiscriminada chocan con cuestiones éticas
y legales.
Breve descripción
Doomjuice se instala como intrenat.exe en el directorio de
sistema de Windows, e incluye las siguientes entradas en el registro para
asegurarse su ejecución en cada inicio de sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Gremlin" =
"%system%\intrenat.exe"
HKKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Gremlin" = "%system%\intrenat.exe"
Como curiosidad copia en varias carpetas del sistema infectado (en el raíz,
Windows, System, temporal, etc.) el archivo
comprimido sync-src-1.00.tbz, que contiene el código fuente del Mydoom
original. Algunos interpretan esta acción como parte de una estrategia para
dificultar la localización del autor original,
que en principio era el único poseedor del código fuente del gusano como
creador del mismo. Por otro lado, esta difusión del código fuente también abre
la puerta a que otros programadores realicen modificaciones del mismo y
aparezcan nuevas variantes.
Por último, como en el caso de Mydoom, el gusano Doomjuice también incorpora una rutina de ataque DoS, en este caso exclusivamente
contra el dominio www.microsoft.com. La diferencia es que en el caso de Doomjuice no hay fecha de caducidad, y las peticiones a la web de Microsoft serán perennes mientras que existan
equipos infectados. Si bien, hasta el momento, y también a diferencia de www.sco.com,la web de Microsoft
no se ha visto afectada.
Reacción de las
soluciones antivirus
La reacción de las diferentes soluciones antivirus en proporcionar la
actualización a sus clientes fue la siguiente:
[Kaspersky] 09.02.2004 18:58:11 ::
Worm.Win32.Doomjuice
[Panda] 09.02.2004 19:33:49 :: W32/Doomjuice.A.wor
[Sophos] 09.02.2004 20:53:38 ::
W32/Doomjuice-A
[NOD32] 09.02.2004 21:26:22 :: Win32/Doomjuice.A
[TrendMicro] 09.02.2004 22:47:11 ::
WORM_DOOMJUICE.A
[McAfee] no
[Norton] no
[InoculateIT] no
Estos resultados son extraídos del sistema de monitorización 24hx7d de Hispasec. Los antivirus interesados en integrarse en este
sistema y aparecer en el listado deben ponerse en contacto con el laboratorio
de Hispasec.
Como datos significativos llama la atención la no detección de McAfee, Norton e InoculateIT, si bien estas casas antivirus han
proporcionado descripciones y facilitan archivos de firmas específicos para
detectar a Doomjuice.
La razón de que no aparezcan se debe a que estas soluciones no han
proporcionado aun la actualización oficial que sus productos descargan de forma
automática. Por ejemplo, en el caso de McAfee será el
DAT 4323, que anuncia publicará el 11/02/2004. A efectos prácticos significa
que los usuarios de estos productos aun no se encuentran protegidos, ya que la
inmensa mayoría utiliza la función de actualización automática o a demanda que
incorpora el producto.
Hispasec considera que, aunque es posible la descarga
manual del archivo de firmas específico (que también tendría que ser instalado
manualmente en la mayoría de los casos), es más real indicar en los resultados
la fecha y hora en que las soluciones son capaces de actualizarse de forma
automática, puesto que en la mayoría de los casos los usuarios no están atentos
a descargar e instalar archivos de forma manual (ni consideramos que sea su
función).
En el caso de Symantec/Norton,
según publica existe actualización para Doomjuice
desde última hora del día 9, tanto a través del Intelliger
Update como mediante su servicio automático Live Update. Si bien en nuestro
sistema de monitorización ha sido incapaz de reconocer la muestra del gusano
con dichas actualizaciones, y pruebas realizadas con otras versiones/motores de
sus antivirus, en diferentes sistemas, tampoco han logrado detectarlo. En este
caso parece que existe algún error en la firma incorporada por Symantec para detectar el virus.
Más información:
30/01/2004 - Gusano Mydoom, la epidemia continúa
http://www.hispasec.com/unaaldia/1923
27/01/2004 - Reacción de los antivirus y análisis del gusano Mydoom/Novarg
http://www.hispasec.com/unaaldia/1920
26/01/2004 - Alerta: gusano de propagación masiva (Novarg/Mydoom/Mimail.R)
http://www.hispasec.com/unaaldia/1919
Win32.Worm.Doomjuice.A
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=188
Win32.Doomjuice.A
http://www3.ca.com/virusinfo/virus.aspx?ID=38238
WIN32/DOOMJUICE.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=723
Worm.Win32.Doomjuice
http://www.viruslist.com/eng/alert.html?id=930701
W32/Doomjuice.worm.a
http://vil.nai.com/vil/content/v_101002.htm
Doomjuice.A
http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=44510
W32/Doomjuice-A
http://www.sophos.com/virusinfo/analyses/w32doomjuicea.html
W32.HLLW.Doomjuice
http://www.sarc.com/avcenter/venc/data/w32.hllw.doomjuice.html
WORM_DOOMJUICE.A
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?V
Name=WORM_DOOMJUICE.A
W32/Doomjuice.A. Utiliza PCs
infectadas por Mydoom