Tras la aparición de «Hortiga», un espécimen capaz de emplear los
ordenadores infectados como servidores proxy a través de los cuales
sería posible llevar a cabo cualquier tipo de acción de manera
completamente impune, acaba de salir a la luz «Doser», un patógeno
cuya misión consiste en bombardear varios servidores de Internet
utilizando máquinas infectadas como «esclavos».
Programado en ensamblador y capaz de funcionar en sistemas Win32
(95, 98, ME, NT, 2000, CE), este virus polimórfico, relacionado con
la familia «AOC», una serie anterior de especímenes muy similares
en cuanto a estructura y código con «Doser», no presenta ninguna
cualidad técnica reseñable, salvo la capacidad ya comentada de lanzar
ataques contra diversos servidores de Internet.
El funcionamiento de este patógeno es estándar: busca ficheros de
formato PE (`Portable Executable´) con extensión DLL o EXE en los
directorios de Windows y de sistema, así como en el directorio raíz
y en el que está siendo ejecutado, y los infecta, añadiendo su
código al de la última sección de sus víctimas, a las que además
escribe la cadena de texto «DDoS» en un espacio vacío y no usado de
la cabecera PE. Este identificador, obviamente, hace alusión a la
capacidad de «Doser» de provocar denegaciones de servicio -cuando
menos, en teoría- por medio de bombardeos cibernéticos.
Una vez que el proceso infeccioso ha sido completado, el virus se
dispone a lanzar esta peculiar rutina, que, dependiendo del día de
la semana, elige uno de varios servidores de una lista compuesta
por dos desconocidos, además de los siguientes:
ctwl.citeweb.net
centralcommand.com
lockdown2000.com
europe2.f-secure.com
zonelabs2.brainstorm.net
Afortunadamente, el escaso éxito que este virus ha tenido tras haber
sido puesto «en libertad» (`in the wild´) hace pensar que cualquier
posibilidad de que su rutina maliciosa llegue a provocar una seria
amenaza de denegación de servicio para alguno de los anteriormente
citados servidores es bastante lejana, si bien, como resulta obvio,
«Doser» no supone más que un primer paso de lo que podría ser una
nueva estirpe de virus capaces de «noquear» servidores de Internet
por medio de la aparición de usuarios infectados a través de la Red.
talvanti@hispasec.com
Más información:
Deja una respuesta