• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Gusano Doomjuice aprovecha la puerta trasera de Mydoom

Gusano Doomjuice aprovecha la puerta trasera de Mydoom

9 febrero, 2004 Por Hispasec Deja un comentario

El nuevo gusano Doomjuice no se propaga a través del correo
electrónico, en su lugar aprovecha la puerta trasera abierta en los
sistemas infectados por Mydoom para instalarse. Sus principales
objetivos son atacar la web de Microsoft y distribuir el código
fuente del gusano Mydoom.A, en lo que parece una estrategia para
dificultar la localización del autor original o facilitar la
aparición de nuevas variantes.

Como describimos en su día, Mydoom (versiones A y B) incorporaba
un componente que hacía funciones de backdoor o puerta trasera,
abriendo el puerto TCP 3127. Doomjuice basa su sistema de
propagación e infección en esta puerta trasera, ya que realiza
barridos de direcciones IPs buscando este puerto abierto. Cuando
localiza uno, establece una conexión y envía una copia del
ejecutable de Doomjuice, que el backdoor de Mydoom se encarga de
recibir y ejecutar en el sistema.

De entrada, al propagarse exclusivamente mediante este puerto,
Doomjuice sólo puede infectar de forma directa y automática a
los sistemas que se encuentren afectados por Mydoom, lo que limita
mucho su capacidad de propagación. Además, Doomjuice se puede
encontrar con problemas adicionales, ya que muchos de los equipos
infectados con Mydoom, y potencialmente víctimas de su ataque,
no podrán ser accesibles ya que se encontrarán protegidos con
barreras perimetrales. Por ejemplo, un usuario de ADSL puede estar
infectado por Mydoom pero su router impediría que Doomjuice pueda
acceder desde Internet al puerto abierto en su PC. Por todo lo
anterior, no se prevé una propagación explosiva de este gusano,
como ocurrió en el caso de Mydoom.

Como curiosidad, y ahondando en una de las soluciones que
propusimos en una entrega anterior, Doomjuice es una prueba más
de como sería posible desinfectar de forma automática los equipos
de forma remota aprovechando la puerta trasera. Si en vez de
descargar e instalar un nuevo gusano, en su lugar, instalara una
vacuna que desinfectara Mydoom. En realidad no se trata de un
concepto nuevo, en la «prehistoria» de los virus informáticos
se pueden encontrar casos similares, si bien como comentamos este
tipo de soluciones de desinfección global e indiscriminada chocan
con cuestiones éticas y legales.

Breve descripción

Doomjuice se instala como intrenat.exe en el directorio de sistema
de Windows, e incluye las siguientes entradas en el registro para
asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
«Gremlin» = «%system%\intrenat.exe»

HKKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
«Gremlin» = «%system%\intrenat.exe»

Como curiosidad copia en varias carpetas del sistema infectado (en
el raíz, Windows, System, temporal, etc.) el archivo comprimido
sync-src-1.00.tbz, que contiene el código fuente del Mydoom
original. Algunos interpretan esta acción como parte de una
estrategia para dificultar la localización del autor original,
que en principio era el único poseedor del código fuente del
gusano como creador del mismo. Por otro lado, esta difusión del
código fuente también abre la puerta a que otros programadores
realicen modificaciones del mismo y aparezcan nuevas variantes.

Por último, como en el caso de Mydoom, el gusano Doomjuice también
incorpora una rutina de ataque DoS, en este caso exclusivamente
contra el dominio http://www.microsoft.com. La diferencia es que en el
caso de Doomjuice no hay fecha de caducidad, y las peticiones a
la web de Microsoft serán perennes mientras que existan equipos
infectados. Si bien, hasta el momento, y también a diferencia de
http://www.sco.com,la web de Microsoft no se ha visto afectada.

Reacción de las soluciones antivirus

La reacción de las diferentes soluciones antivirus en proporcionar
la actualización a sus clientes fue la siguiente:

[Kaspersky] 09.02.2004 18:58:11 :: Worm.Win32.Doomjuice
[Panda] 09.02.2004 19:33:49 :: W32/Doomjuice.A.wor
[Sophos] 09.02.2004 20:53:38 :: W32/Doomjuice-A
[NOD32] 09.02.2004 21:26:22 :: Win32/Doomjuice.A
[TrendMicro] 09.02.2004 22:47:11 :: WORM_DOOMJUICE.A
[McAfee] no
[Norton] no
[InoculateIT] no

Estos resultados son extraídos del sistema de monitorización 24hx7d
de Hispasec. Los antivirus interesados en integrarse en este sistema
y aparecer en el listado deben ponerse en contacto con el
laboratorio de Hispasec.

Como datos significativos llama la atención la no detección de
McAfee, Norton e InoculateIT, si bien estas casas antivirus han
proporcionado descripciones y facilitan archivos de firmas
específicos para detectar a Doomjuice.

La razón de que no aparezcan se debe a que estas soluciones no han
proporcionado aun la actualización oficial que sus productos
descargan de forma automática. Por ejemplo, en el caso de McAfee
será el DAT 4323, que anuncia publicará el 11/02/2004. A efectos
prácticos significa que los usuarios de estos productos aun no
se encuentran protegidos, ya que la inmensa mayoría utiliza la
función de actualización automática o a demanda que incorpora el
producto.

Hispasec considera que, aunque es posible la descarga manual del
archivo de firmas específico (que también tendría que ser instalado
manualmente en la mayoría de los casos), es más real indicar en los
resultados la fecha y hora en que las soluciones son capaces de
actualizarse de forma automática, puesto que en la mayoría de los
casos los usuarios no están atentos a descargar e instalar archivos
de forma manual (ni consideramos que sea su función).

En el caso de Symantec/Norton, según publica existe actualización
para Doomjuice desde última hora del día 9, tanto a través del
Intelliger Update como mediante su servicio automático Live Update.
Si bien en nuestro sistema de monitorización ha sido incapaz de
reconocer la muestra del gusano con dichas actualizaciones, y
pruebas realizadas con otras versiones/motores de sus antivirus,
en diferentes sistemas, tampoco han logrado detectarlo. En este
caso parece que existe algún error en la firma incorporada por
Symantec para detectar el virus.

Bernardo Quintero
bernardo@hispasec.com

Más información:

30/01/2004 – Gusano Mydoom, la epidemia continúa
http://www.hispasec.com/unaaldia/1923

27/01/2004 – Reacción de los antivirus y análisis del gusano Mydoom/Novarg
http://www.hispasec.com/unaaldia/1920

26/01/2004 – Alerta: gusano de propagación masiva (Novarg/Mydoom/Mimail.R)
http://www.hispasec.com/unaaldia/1919

Win32.Worm.Doomjuice.A
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=188

Win32.Doomjuice.A
http://www3.ca.com/virusinfo/virus.aspx?ID=38238

WIN32/DOOMJUICE.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=723

Worm.Win32.Doomjuice
http://www.viruslist.com/eng/alert.html?id=930701

W32/Doomjuice.worm.a
http://vil.nai.com/vil/content/v_101002.htm

Doomjuice.A
http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=44510

W32/Doomjuice-A
http://www.sophos.com/virusinfo/analyses/w32doomjuicea.html

W32.HLLW.Doomjuice
http://www.sarc.com/avcenter/venc/data/w32.hllw.doomjuice.html

WORM_DOOMJUICE.A
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_DOOMJUICE.A

W32/Doomjuice.A. Utiliza PCs infectadas por Mydoom
http://www.vsantivirus.com/doomjuice-a.htm

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR