En los últimos días nuevos virus han visto la luz, Itaqua, Parvo o el primer virus para PowerPoint se han pasado por esta sección de noticias en pocos días. En esta ocasión un nuevo virus salta a la luz por haber tenido en jaque durante todo el fin de semana al gigante de las comunicaciones MCI WorldCom.
Network Associates (http://www.nai.com), el fabricante del antivirus McAfee, ha designado este ataque como un caso de «ciberterrorismo», pero MCI WorldCom (http://www.mciworldcom.com/) afirma que sus operaciones no se vieron afectadas. Aunque según comentarios internos a los que HispaSec ha tenido acceso «el sistema informático de MCI se ha derrumbado y ha afectado a varios lugares por culpa de un virus informático, lo que ha traído de cabeza durante el fin de semana a media empresa».
El portavoz de MCI ha rechazado informar acerca de la propagación del virus en su red, o de cuantos ordenadores se vieron afectados por «Remote Explorer», (Explorador Remoto) nombre asignado a este nuevo virus. El virus que parece que se propaga a si mismo sobre redes Windows NT, ha sido identificado hoy lunes por Network Associates que ha colaborado con MCI para contener el virus desde que éste fuera detectado el pasado jueves.
La misma Microsoft ha confirmado que también ha trabajado desde sábado con Network Associates para combatir el virus. Según la empresa de Bill Gates el virus se propaga sobre ordenadores con Windows NT bajo plataforma Intel pero solamente cuando funcionan en modo «administrador».
Remote Explorer comprime archivos de programa de tal forma que no pueden ejecutarse, y encripta ficheros de datos por lo que los usuarios no pueden tener acceso a ellos. Microsoft ha afirmado que la solución al problema recupera los datos perdidos y devuelve las máquinas a su configuración original.
El virus es residente en memoria e infecta ficheros exe, txt y html, tanto en NT Server como NT Workstation, propagándose rápidamente a través de entornos de red. La característica principal y más destacada de Remote Explorer es su capacidad para transmitirse y replicarse a si mismo a través de la red sin la intervención típica del usuario, lo cual le otorga cualidades propias de los «gusanos».
La detección del virus en un sistema resulta fácil de comprobar. Basta con acudir al «Panel de Control» de Windows NT y listar los «Servicios» que se están ejecutando, si se encuentra uno nombrado como «Remote Explorer» evidenciará la presencia del virus. Otra forma de detectar el virus es a través del «Administrador de tareas». Si entre los «procesos» listados se encuentran «ie403r.sys» o «taskmgr.sys» (no .exe) el sistema estará infectado.
Sorprendentemente se trata de un virus con un gran tamaño. Sus 125 Kbytes lo convierten en todo un gigante, especialmente comparándolo con los tamaños habituales de 10 Kbytes aproximadamente del otros virus. Este tamaño, puede venir dado al estar escrito en C, contando con unas 50.000 líneas de código y estimándose en 200 horas las labores de programación del virus.
El virus lleva una dll consigo para el proceso de infección, pero si la dll se borra el mismo creará otra copia. El virus incluye una rutina de tiempo, diseñada para aumentar su velocidad en el proceso de infección y búsqueda durante el periodo que comprende las 3:00 PM de cualquier sábado hasta las 6:00 AM del siguiente domingo. Otra característica sorprendente del virus es su ausencia de payload, o acción que lleva a cabo en su activación.
Deja un comentario