Actualmente hay varios virus que circulan en la red, los mas comunes son Hibris (el enano porno) y Sircam, sin embargo el tercero a logrado muchos mas titulares, algunos francamente amarillistas (El fin del Internet…).

Este es el gusano conocido como Código Rojo, que a infectado recientemente a mas de 200,000 servidores de Internet. Este gusano no infecta al usuario promedio, sino a los servidores de Internet que utilizan Windows 2000 y el Internet Information Server (IIS) que es el programa que presenta las paginas de Internet, gracias a una falla en IIS.

El propósito se este programa es atacar la dirección donde se encontraba la pagina de la Casa Blanca (ya fue cambiada de lugar), y no causa ningún daño a las maquinas, de hecho la manera de eliminarlo es apagar y encender la maquina. El mayor problema que puede causar es alentar el trafico en la red, y pagar a un técnico para que limpie la maquina.

Afortunadamente para los que utilizamos Internet, este gusano no afecta a los servidores UNIX y Linux, que conforman la mayoría de las servidores , y tampoco afecta a las maquinas que tienen Windows 2000 y utilizan algún otro programa de servidor de paginas.

La razón de que has tenido tanta publicidad es que ataco a un sitio del gobierno norteamericano, y el nombre que le dieron los especialistas en virus (Código Rojo) ayudo bastante, aunque no tuviera nada que ver. Código Rojo es el nombre de un refresco alto en cafeína, que tomaron los programadores que descifraron el gusano, para aguantar la noche en vela.

En contraste el gusano para Linux, Lion worm, causo mayores destrozos en la red.

Entre tanto aunque lo peor de la infeccion de Sircam ya paso, aun sigue infectando, especialmente en africa donde el acceso a Internet es aun reciente. Los especialistas estan asombrados por la capacidad técnica que desplego el autor de Sircam, y agradecidos por su mal ingles, que limito que se propagara en los paises de habla inglesa, donde hubiera tenido un terreno muy fertil para desarrollarse.

Afortunadamente, a diferencia de Iloveyou o Melissa, el codigo de Sircam es muy dificil de entender, por lo que es dificil que se hagan copias, tan solo de meliza existen mas de 30 variantes distintas.

Entretanto, hay algunos virus nuevos que estan pasando desapercibidos, como el SoFunny, que a pesar de su nombre no tiene nada de divertido pues esta diseñado para robar passwords.

Javier Delgado

1. Red Code Gusano de los servidores
2. SoFunny, Gusano no divertido.

Nombre: W32/Bady, I-Worm.Bady, Code Red,    CodeRed, W32/Bady.worm
tipo: Gusano
Infección : Servidores con IIS 4.0 y 5.0 y windows2000
Carga: intenta realizar un ataque DOS contra el sitio de la casa blanca            

Resumen:

En Julio 28 de este año, centenares de maquinas fueron infectadas con el gusano CodeRed. Debido a que así esta programado, la infección termino en Julio 28. Y esta programado para reiniciar su ataque a principios de cada mes. Una ves que una maquina a sido infectada (y no se ha reiniciado) el gusano no la vuelve a infectar, ni tampoco despierta al gusano inactivo. Para evitar la infección hay que aplicar el parche de seguridad que distribuye Microsoft.

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

El gusano utiliza una falla en los servidores de Microsoft que ya es conocida desde hace algún tiempo, pero que muchos Webmaster no se han preocupado de eliminar.

En realidad existen dos versiones del gusano, la primera tenia un error, pero aparentemente fue reparado por el autor que libero una segunda version

El gusano envia su código como una solicitud de información http (hace una solicitud de una pagina). Aprovecha una falla conocida como buffer-overflow, que esta presente de alguna manera en muchos productos de Microsoft, como Outlook, Explorer y M placer. De esta manera el gusano inserta su código directamente en la memoria de la computadora y se ejecuta desde ahí. Este gusano no infecta ningún archivo, y si la computadora se apaga y se enciende, es eliminado de memoria, el problema es que muy raramente un servidores es apagado, pues están diseñados para estar encendidos durante años.

Una ves en la maquina, el gusano busca si existe el archivo C:\Notworm. Si es así, se detiene in entra en modo de pausa indefinida. Si la fecha es antes del ida 20 del mes, el gusano genera 99 procesos que tratan de infectar otras computadoras, explorando al azar la red. (busca direcciones IP).

Si además detecta que el idioma de la computadora es el Ingles, trata de cambiar las paginas (Deface) de Internet del servidores para que digan:

Welcome to http:// www.worm.com
Hacked By Chinese

Después de 10 horas, restaura las paginas. (hay una versión del gusano que no hace esto)

Después, si la fecha es entre el día 20 y el 28 del mes, intenta un ataque "Denial of Service" (DoS) enviado una gran cantidad de mensajes basura en contra de la dirección 198.137.240.91, que correspondía a www.whitehouse.gov. Esta dirección ya fue cambiada de lugar para evitar el ataque.

Finalmente si la fecha es después del día 28, el gusano entra en un modo de pausa infinita y ya no se puede reactivar o reinfectar. Sin embargo la computadora puede quedar inestable debido a que no se liberan los recursos.

Si la computadora es apagada y encendida, se libera de la infección, sin embargo a menos que se aplique el parche, también se puede volver a infectar.

Hay que aplicar el parche:

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp"

Además Symantec tiene un servicio para determinar si una computadora esta infectada:

http://security1.norton.com/us/crdetect.asp?productid=sarc&langid=us&venid=sym

http://security1.norton.com/us/nav/common/common/bin/CRDetect.exe

Si tiene duda si su servidor ya tiene el parche, puede determinarlo en:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24168

ii. SoFunny, no tan divertido

Nombre: AOL.PWSteal.86016, TROJ.FUNSO.A, FUNSO.A, I-Worm.Menace,   W32/Funso@M
Tipo: Caballo de Troya /Gusano
Carga: roba passwords de usuarios de AOL
Descubierto Junio 3 2001 

Resumen:

W95.SoFunny.Worm@m es un caballo de Troya con capacidad de gusano. Tiene como meta robar passwords de usuarios de AOL, y se distribuye como SoFunny.exe o Love.exe.

El gusano llega en un correo con el nombre de:

Fwd: This is great! =)
Fwd: This is hilarious! =)

Incluye un archivo adjunto llamado:

Sofunny.exe o Love.exe

Este un programa escrito en VisualBasic, igual que la mayor parte de los virus recientes. Se propaga utilizando el Software de American On Line. No funciona con Windows 2000/NT.

Cuando el usuario activa el archivo, el gusano se copia a \Windows\Msdos423.exe. Y para asegurarse de que se ejecuta automáticamente al iniciar Windows, modifica el registro :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Y añade la clave:

msdos423 <Windows>\msdos423.exe

Además añade el archivo:

\Windows\Msdos423.ini

con el fin de enmascarar su presencia.

La primera ves que el gusano es ejecutado, genera un mensaje de error que dice "un error desconocido a ocurrido". Después de eso se inserta como un servicio de Windows, por lo que no aparece en los programas registrados.

Si detecta la presencia del software de AOL, localiza el nombre y el password del usuario, además si detecta que hay conexión determina la información de la conexión para poder enviarla.

Utilizando el NetBios, envía la información interceptada a correos en:

mail.yahoo.com
mail.hotmail.com
mail.angelfire.com

Después utiliza el software de AOL, para enviarse a otras direcciones.

Si su software antivirus esta actualizado, debe darle la instrucción de eliminarlo (no trate de repararlo). Si no debe localizar los archivos:

Sofunny.exe
Love.exe
msdos423.exe
msdos423.ini

Después debe apagar su computadora (no la Reinicie) y al volverla a encender debe borrar la clave del registro que genero el gusano.