A finales de diciembre nos sorprendió un nuevo gusano que se propagaba
a través del MSN Messenger. Aunque los ecos del gusano han perdurado
por varios días, «Jitux», como fue bautizado, en realidad vio capada
su propagación a las pocas horas de haber nacido debido a debilidades
en su diseño.
En primer lugar veamos los tiempos de reacción de diferentes casas
antivirus en proporcionar la actualización a sus usuarios para
detectar a «Jitux», según datos monitorizados por Hispasec:
Panda, el 30/12/2003 a las 13:29, como «W32/Jitux.A.worm»
NOD32, el 30/12/2003 a las 18:31, como «Win32/Jitux.A»
Antigen, el 30/12/2003 a las 19:30, como «I-Worm.Jitux.A»
Kaspersky, el 30/12/2003 a las 19:32, como «MSN-Worm.Jitux»
TrendMicro, el 30/12/2003 a las 22:09, como «WORM_JITUX.A»
Norton, el 30/12/2003 a las 22:59, como «Download.Trojan»
Sophos, el 31/12/2003 a las 11:33, como «W32/Jitux-A»
McAfee, el 31/12/2003 a las 19:11, como «W32/Jitux.worm»
InoculateIT, el 06/01/2004 a las 00:41, como «Win32/Jitux.A.Worm»
En la mayoría de los casos, cuando los antivirus ofrecieron a los
usuarios la actualización, «Jitux» ya había conseguido infectar a
muchos usuarios y su ciclo de propagación se vio interrumpido de forma
brusca.
La debilidad de «Jitux» residía en su sistema de propagación,
consistente en buscar entre todos los contactos de Messenger del
sistema infectado, y enviarles mensajes con la URL del gusano
(http:/ /www.home.no/jberg/jituxramon.exe). El usuario que recibía el
mensaje debía de pinchar en el enlace, descargar y ejecutar el EXE
para infectarse.
Pese al método rudimentario de propagación, «Jitux» consiguió en muy
poco tiempo un número de infecciones significativas. A las pocas horas
de iniciarse la propagación de «Jitux» el ejecutable jituxramon.exe
fue retirado de la página web, por lo que los usuarios que recibían el
mensaje no podían descargarlo e infectarse.
El talón de Aquiles de «Jitux» fue depender de un sólo punto, en este
caso un servidor web, para distribuir el ejecutable. Esta es una
diferencia importante con la mayoría de gusanos de Internet, cuya
potencia reside precisamente en la capacidad de propagación
distribuida, al convertir cada PC infectado en un nuevo servidor de
transmisión del gusano.
bernardo@hispasec.com
Más información:
Win32.Jitux.A
http://www3.ca.com/virusinfo/virus.aspx?ID=37887
W32/Jitux.worm
http://vil.nai.com/vil/content/v_100931.htm
MSN-Jitux
http://www.viruslist.com/eng/viruslist.html?id=666827
W32/Jitux.A.worm
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=43211&sind=0
W32/Jitux-A
http://www.sophos.com/virusinfo/analyses/w32jituxa.html
W32.Jitux.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.jitux.worm.html
WORM_JITUX.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_JITUX.A
Deja una respuesta