• 23/12/2025
ALERTA

El gusano SDBOT explota vulnerabilidades usadas por los peligrosos Slammer y Blaster

Tal como está sucediendo con los últimos códigos maliciosos, éste también presenta una gran cantidad de variantes. Esta diversidad se debe al intento por eludir los sistemas antivirus y a los intereses económicos que se esconden con su propagación
iProfesional | Actualidad |
Por iProfesional
17/09/2004 - 03:00hs
El gusano SDBOT explota vulnerabilidades usadas por los peligrosos Slammer y Blaster

Uno de los fenómenos que ha marcado la producción de gusanos informáticos en las últimas fechas es la generación masiva de versiones de un mismo código malicioso. El gusano al que se refiere este reporte es el llamado WORM_SDBOT.VQ, que se propaga a través de las unidades compartidas de una red y que explota una serie de vulnerabilidades de Windows ya anteriormente utilizadas por famosos gusanos de red como Slammer y Blaster, entre muchos otros.

Llama la atención la cantidad de versiones diferentes liberadas en un corto periodo de tiempo. Las primeras versiones de SDBOT fueron encontradas hace menos de un año, en octubre de 2003. Para diciembre de ese año, los autores habrí­an liberado al menos 10 variantes. En septiembre de 2004 se encuentra la versión VQ, lo que significa que en 2004, han sido liberadas cientos de versiones diferentes de este código malicioso.

La implementación de tantas modificaciones en las firmas digitales de un mismo gusano, encuentra explicación en dos razones aparentes: el intento de eludir la detección de los productos antivirus y la posibilidad de que no sea un sólo grupo quien los esté utilizando. La primera corresponde a la lógica de la mayorí­a de los cambios de programación de los virus y gusanos, ya que las empresas antivirus sostienen una ardua tarea de investigación sobre el código que circula por las redes. La segunda está mucho más relacionada con este gusano en particular y los intereses económicos de su propagación.

WORM.SDBOT.VQ emprende un ataque en tres etapas, poco eficientes hasta el momento, pero muy regulares en la mayorí­a de las cientos de versiones que circulan actualmente:

Infección de la computadora

Cuando el usuario abre un archivo alojado en su computadora, que supone confiable, el gusano busca en la red los nombres de los usuarios y prueba una larga lista de contraseñas débiles para lograr acceso a las unidades compartidas y continuar dejando copias de sí­ mismo en ellas.

Controlar el sistema infectado

Lo hace conectado la computadora, a espaldas del usuario, a servidores de IRC. La conexión se hace a través de un robot, un pequeño programa que se conecta al canal de IRC y sirve de intermediario e interfase entre un usuario remoto y malintencionado y la computadora infectada.

Una vez conectado, el usuario remoto puede tomar control de la computadora, ya sea para lanzar ataques a otras máquinas o para obtener información personal del usuario o de la red misma.

Robo de información

Este es, al parecer, el propósito último de SDBOT. Una vez que se ha tomado control de un sistema infectado, los autores tienen manera de acceder a información valiosa del usuario y de la red, como las claves identificación de los programas instalados en el sistema, las credenciales del usuario para identificarse en la red.

La enorme diversidad de modalidades de SDBOT hace pensar que grupos organizados están usando a este gusano para hacerse de claves válidas de conocidos juegos de computadora y otros programas. Estas claves son mercancí­a muy valiosa si se pretenden comercializar versiones ilegales de los juegos, ya sea en lí­nea o en discos.

En resumen, la familia SDBOT es una muestra de cómo la construcción de código malicioso ha dejado de ser exclusivamente una actividad experimental, para integrarse con otras actividades ilegales, como la piraterí­a, el fraude y la extracción ilí­cita de datos confidenciales de empresas y usuarios individuales, guiados ya por motivaciones económicas.

Fuente: Trend Micro