Mimail Worm sorprendió en la mañana del pasado lunes

4 Nov 2003 en Seguridad

 

A medida que muchos usuarios iniciaban sus PCs el pasado lunes por la mañana, iban liberando un nuevo worm de mail masivo que se difunde activamente por todos los países de América y Europa.

Mimail es un gusano que aprovecha una vulnerabilidad en Windows Explorer de Microsoft y con ella recoge las direcciones de e-mail y las utiliza para propagarse. El worm se presenta disimulado como mensaje del administrador de la red con un archivo zip adjunto. El mensaje insinúa que la cuenta de e-mail del receptor pronto habrá de expirar y le urge a leer la información adjunta.

El attachment, que lleva el nombre message.zip, contiene un archivo HTML que es una copia del gusano, el cual se mete en el disco duro del usuario buscando direcciones de e-mail para su próxima ronda de víctimas. Este gusano no lleva consigo código destructivo, de modo que sólo sirve para congestionar los sistemas de email y para confundir a los usuarios.

Según funcionarios de la firma Security Systems de Atlanta, Georgia, el virus se propaga agresivamente y ha logrado burlar unos cuantos software de antivirus. Se espera que llegue a su pico hoy miércoles y que comience a ser controlado para final de la semana. La empresa destacó la vulnerabilidad de miles y miles de máquinas que no han recibido los patches de mantenimiento y serán infectadas.

El worm apareció el pasado viernes y desde ese momento puso en alerta a toda la industria de la seguridad, ya que puede explotar vulnerabilidad de desktop Windows y sistemas operativos de servidores, causando severas demoras y daños en Internet. Los analistas presienten un incremento en la actividad de hackers y eso podría afectar a millones de redes. Estos hackers están aprovechando la vulnerabilidad en Windows RPC Interface Buffer Overrun de la que informáramos hace dos semanas. Los hackers comenzaron a experimentar de inmediato con la falla y lograron aumentar la cantidad de ataques antes de que los sistemas lleguen a ser actualizados o defendidos.

Tradicionalmente, la actividad de los hackers aumenta durante el fin de semana, cuando los hackers escanean y detectan a los servidores vulnerables. Luego lanzan un código inicial para medir su efectividad, continuando después con versiones más activas y, en un punto dado, aparece el worm basado en RPC.