Puede estar circulando una nueva variante del Sobig.F, que
utilizaría para una de sus fases de ataques, servidores de
Time Warner Telecom, informaron investigadores rumanos
pertenecientes a la compañía de software antivirus,
BitDefender, con sede en Bucarest.
BitDefender reclama haber descubierto una variante del
Sobig.F, que se conectaría a servidores pertenecientes a Time
Warner Telecom (el 43,9% de esta compañía pertenece a AOL
Time Warner).
Cómo ya se ha dicho, el Sobig.F original, poseía una lista
codificada de 20 servidores, a los que debería conectarse
cada viernes y domingo en determinado horario, hasta la fecha
de caducidad del gusano (que según su autor, sería el 10 de
setiembre de 2003).
La intención era obtener de ellos, los códigos para descargar
y ejecutar alguna clase de archivo, que podría ser una
actualización para modificar su conducta, u otro ejecutable,
casi seguramente malicioso.
Pero el ataque falló, porque los 20 servidores fueron
localizados y cerrados, luego de que varios investigadores
lograron desencriptar las correspondientes direcciones
almacenadas en el código del gusano.
Ahora, parece existir una variante que agrega otros
servidores codificados en su cuerpo, para ser utilizados en
el próximo ataque. Estos corresponden, según BitDefender, a
siete direcciones pertenecientes a la importante operadora
norteamericana.
Estas son las direcciones reveladas:
mx1.mail.twtelecom.net
mx2.mail.twtelecom.net
ns1.orng.twtelecom.net
ns1.snan.twtelecom.net
ns1.iplt.twtelecom.net
ns1.milw.twtelecom.net
ns1.nycl.twtelecom.net
Dos de estas direcciones pertenecen a servidores SMTP de
transferencia de correo, que el gusano podría utilizar para
enviar más copias de mensajes infectados.
Los otros cinco servidores, serían contactados a través del
puerto 8998, para conseguir una dirección de donde descargar
y ejecutar otro archivo. Sería la misma tarea asignada a los
20 servidores anteriores, ya cerrados. Aún así, estas 20
direcciones siguen presentes en la nueva variante del
Sobig.F.
Las primeras pruebas realizadas, revelan que ninguno de los
nuevos servidores responden por el puerto 8998, aunque ello
podría cambiarse fácilmente.
La compañía Time Warner Telecom ya fue contactada, pero no
emitió ningún comentario hasta el momento de la publicación
de esta noticia.
Por otra parte, cabría preguntarse si no existen otras
versiones que apelen a servidores diferentes la próxima vez,
engañando así a los responsables de detenerlo.
* Más información:
Sobig.F to access AOL Time Warner server for information
http://www.bitdefender.com/bd/site/presscenter.php?menu_id=23&n_id=37
* Relacionados:
La mayor epidemia de gusanos informáticos de la historia
http://www.vsantivirus.com/ev26-08-03.htm
Reflexiones sobre el Sobig.F, lo que nadie dijo
http://www.vsantivirus.com/sobigf-reflexiones.htm
W32/Sobig.F. Gusano de gran propagación
http://www.vsantivirus.com/sobig-f.htm
Medidas contra la “segunda ola” del Sobig.F
http://www.vsantivirus.com/sobig-segunda-ola.htm
Kaspersky Antivirus 3.0 no detecta al Sobig.F
http://www.vsantivirus.com/kav3-obsoleto.htm
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com