Zotob: ¿próxima gran amenaza en los equipos con Windows versión castellano?
Agosto 30, 05 by adminZotob, es un gusano que explota una vulnerabilidad conocida en el sistema Plug and Play de equipos Windows y que una vez explotada puede permitir la ejecución remota de código (bug publicado en Microsoft Security Bulletin MS05-39), conocido especialmente en paÃses de habla inglesa ya que el exploit que se realizó para aprovechar dicha vulnerabilidad atacaba principalmente a equipos con Windows 2000 en este idioma, y que causó graves problemas y pérdidas a empresas como ABC, CNN y Daimler Chrysler.
Este problema puede llegar ahora a los equipos Windows en su versión en castellano, ya que ha aparecido un nuevo exploit que ataca a esta versión. El compromiso de seguridad afecta principalmente a equipos con Windows 2000, pero bajo determinadas circunstancias puede afectar a Windows XP y Windows XP SP1. Es muy recomendable que todos los usuarios de estas versiones del sistema operativo de Microsoft apliquen la actualización de seguridad que pueden encontrar en el aviso de seguridad de Microsoft (citado anteriormente), o bien lo apliquen mediante Windows Update.
Sobre este gusano, recientemente hemos conocido que su autor ha sido detenido. Presuntamente se trata de un ruso residente en Marruecos de 18 años.
¿Habeis tenido problemas o experiencias con este gusano?
Nota: para aquellos que desconozcan qué es un exploit: “código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios”
Fernando Ortega Says: 31.08.05 at 10:40
En una nota de prensa enviada por Sophos, nos informan con más detalle sobre la persona detenida:
Farid Essebar, de 18 años y nacionalidad rusa pero residente en Marruecos, fue arrestado el pasado jueves 25 de agosto, tan solo dos semanas después de que varios gusanos hubieran atacado diversas organizaciones de renombre en todo el mundo. Farid Ensebar habrÃa utilizado la firma de “Diabl0″, palabra que ha sido encontrada en el código del gusano Zotob. No es raro que los autores de programas maliciosos dejen asà su “huella” u otro tipo de mensajes en el interior del código. Las autoridades turcas, que han detenido al presunto cómplice de Farid Enssebar, Atilla Ekici, han identificado a otros 16 sospechosos de estar relacionados en el caso.
Las investigaciones llevadas a cabo por Sophos han establecido que otros 20 virus poseen la marca Diablo, entre los cuales se encuentran Mydoom-BG y varias versiones del gusano Mytob. Estos virus, que encabezan las listas de los virus más detectados en todo el mundo, suponen seis de los diez puestos del Top Ten y un 54% del total de los virus detectados por Sophos a lo largo de este mes.
“A primera vista los gusanos Mytob y Zotob pueden parecer bastante diferentes entre si: un grupo de virus se propaga vÃa email, mientras que el otro lo hace básicamente explotando los agujeros de seguridad de Microsoft” comenta Annie Gay, Directora General de Sophos Francia y Europa del Sur. “Sin embargo, al ser estudiado de cerca por un analista de virus experimentado, las similitudes se hacen patentes. Es evidente que quienquiera que haya creado Zotob, ha tenido acceso al código fuente de Mytob, suprimiendo la parte ligada a la difusión por correo electrónico y reemplazándola por otra que se aprovecha del fallo de Microsoft. Los gusanos Mytob han estado muy presentes en las clasificaciones de los virus más propagados en el 2005, y todo lo que pueda impedir la creación y la circulación de nuevas variantes es bien recibido. Es sin embargo posible que varias personas hayan tenido acceso al código fuente de Mytob, y que por lo tanto no estemos todavÃa ante el final de sus dÃas”