Se detectan los primeros clones del Worm MSBlaster

4 Nov 2003 en Seguridad

Hace varios días que el Worm MSBlaster, capaz de aprovechar la falla de seguridad presente en los sistemas operativos Windows de varios sabores, asola a las instalaciones de IT y a usuarios individuales. El gusano se prepara para lanzar un ataque de denegación de servicio sobre el sitio de actualización de Microsoft, el mismo sitio al que es necesario acudir para descargar los patches que corrigen la falla.
Ahora, acaban de ser detectadas dos variantes de MSBlaster, también conocido como Lovsan. El gusano ha sido clonado en dos variantes similares con alteraciones menores con las que se intenta eludir su detección. “El autor de Worm/Lovsan fue exitoso al conseguir la infección de cientos de miles de computadoras en todo el mundo,” señala Steve Sundermeier, vicepresidente de productos y servicios en la empresa de seguridad Central Command. “Esta clase de éxito suele generar una variedad de creaciones parecidas.”
La empresa Sophos, por su parte, denomina MSBlaster-B a un equivalente funcional del gusano original, que es idéntico salvo por su formato de archivo y entrada al registro. El mensaje interno ha sido cambiado y en lugar de decir “Bill Gates ¿por qué posibilitas ésto? Deja de hacer dinero y arregla tu software,” se encuentra una expresión más gráfica.
Los expertos en seguridad afirman que la detección de este worm es sólo el comienzo. Se cree que habrá que vérselas con variaciones de este gusano por algún tiempo y preocupa la cantidad de máquinas vulnerables que están aún sin defensa.
Tanto MSBlaster original como sus variantes, explotan una falla en el proceso RPC (Remote Procedure Call) que controla las actividades tales como compartir archivos.
Tal como nuestros lectores recordarán, hace dos semanas publicamos la alarma y la dirección donde estaban disponibles los patches. Sin embargo, se cree que un 70% de las computadoras de todo el mundo aún no tiene cargado su patch para tapar esta brecha.