ALERTAN EMPRESAS ANTIVIRUS SOBRE GUSANO DE ALTO RIESGO "SLAMMER"
· Provocó la pérdida de un 20 por ciento del tráfico de datos enviados vía Internet
México, (Notimex).- Las firmas especializadas en el desarrollo de software antivirus, Symantec y Trend Micro, alertaron sobre las vulnerabilidades de las redes por la presencia del virus tipo gusano "Slammer", considerado de carácter destructivo.
De acuerdo con analistas, el "Slammer" es el gusano cibernético más rápido de la historia, toda vez que se extendió a más de 67 mil computadoras de todo el mundo en sólo 10 minutos, tiempo en el que examinó unas tres mil 600 millones de direcciones de Internet.
Al respecto, Symantec explica que el W32.SQLExp.Worm o "Slammer" es un gusano dirigido contra los sistemas que ejecutan Microsoft SQL Server 2000 y Microsoft Desktop Engine (MSDE) 2000 y envía 376 bytes al puerto de servicio de resolución UDP 1434.
Señala que este gusano tiene una carga útil indirecta que genera un ataque de negación de servicio (DoS), debido a la gran cantidad de paquetes que envía.
Refiere que cuando W32.SQLExp.Worm compromete un equipo se envía de manera repetida a sí mismo a todas las direcciones IP, generadas en el puerto UDP 1434, desde un puerto de origen efímero. Asimismo, abunda la empresa, toma la ventaja de vulnerabilidad que permite sobrescribir una porción de memoria del sistema y cuando hace esto, corre en el mismo contexto de seguridad como el servicio de SQL Server.
El "Slammer" utiliza además la función GetTickCount de la API de Windows para generar una dirección IP aleatoria a la cual enviar el paquete malicioso. De forma continua, W32.SQLExp envía paquetes a distintas direcciones IP, efectuando de hecho un ataque de negación de servicio en el "host" en el que se ejecuta, así como en los "hosts" con los que intenta conectarse.
Por su parte, la empresa Trend Micro expone que el código de este gusano que ejecuta el ataque de negación del servicio reside sólo en la memoria de los SQL Servers afectados y no existe un archivo contraparte.
Debido a ello, asegura, los buscadores de algunos antivirus que no soportan búsquedas de virus en memoria no serán capaces de localizar el código.
Advierte que las máquinas sin parche que tengan instalado el Microsoft Server Desktop Engine (MSDE) también son vulnerables a este código malicioso, pues MSDE está basado en tecnología de SQL Server y se ejecuta en las plataformas Windows 98 Windows ME Windows NT 4.0 Windows 2000 Professional.
En su reporte dado a conocer en Internet, Trend Micro recomienda que para remover automáticamente el código malicioso de un sistema afectado debe utilizarse el Trend Micro System Cleaner, bloqueando el puerto UDP 1434 como una solución temporal. Afirma que los administradores de sistema pueden bloquear el puerto UDP 1434 para prevenir a atacantes externos de explotar esta vulnerabilidad, para lo cual recomienda el artículo de Microsoft, Customer Update on the "Slammer" Virus Attack.
A su vez, Symantec sugiere a los usuarios de Microsoft SQL Server 2000 o de MSDE 2000 realicen una auditoría de sus equipos en busca de las vulnerabilidades referenciadas en los documentos Microsoft Security Bulletin MS02-039 y Microsoft Security Bulletin MS02-061.
También recomienda configurar los dispositivos de perímetro para bloquear el tráfico UDP de la cola de entrada (ingress) al puerto 1434 procedente de "hosts" que no sean confiables y bloquear el tráfico UDP de la cola de salida (egress) de su red al puerto de destino 1434.
El 24 de enero pasado, Microsoft detectó el ataque en el sistema Internet de "Slammer" o "Sapphire", que estaba causando un tráfico severo en la red a nivel mundial.
El virus comenzó a propagarse con mayor velocidad en Asia, aunque afectó también a los servidores de la costa este de Estados Unidos y del norte de Europa, según Tom Ohlsson, vicepresidente de marketing de Matrix NetSystems, una firma de supervisión.
En el máximo de su capacidad de daño, cerca de 20 por ciento del tráfico de datos enviados a través de Internet se perdió, una cifra al menos 10 veces superior a lo normal. Como resultado, el tráfico de voces en Internet, a menudo usado por instituciones financieras, se vio paralizado.
De acuerdo con especialistas en la materia, el virus pudo haberse originado en Hong Kong y está compuesto por un pequeño programa que se copia a sí mismo y envía una solicitud rápida de datos en busca de otros servidores que rigen redes de ordenadores.
Al parecer, dijeron, a diferencia de un virus que se disemina mediante el correo electrónico, este gusano no afectó a ordenadores individuales ni causó daños o pérdidas de datos en los servidores que paralizó.
El mayor peso del ataque cibernético se ha percibido en descargas de archivos excepcionalmente lentas y la interrupción del acceso a servicios "online", como los bancarios y de compras.
Los gusanos cibernéticos son similares a losrus informáticos, ya que ambos hacen copias de sí mismos, aunque los primeros atacan directamente un sistema y los segundos se diseminan a través del intercambio de archivos.
