Virus y Troyanos

Este fin de semana hemos asistido a uno de los acontecimientos de seguridad más misteriosos y extraños de los últimos meses. Scob, Toofer, Download.Ject son algunas de los nombres que se dan a un ataque vírico que infecta a usuarios de Internet Explorer que visiten páginas web comprometidas. No es necesario ejecutar nada ni visitar lugares extraños.

27-06-2004 - Poco a poco se ha ido extendiendo la noticia de un extraño suceso que ha llamado poderosamente la atención a expertos en seguridad. Al parecer, cientos de páginas web que utilizan el servidor HTTP de Microsoft Internet Information Server se han visto comprometidas y son cómplices de la propagación de este sofisticado troyano.

El grupo o individuo atacante consiguió insertar en estos servidores un código JavaScript especial y modificar la configuración del servidor para que añadiese ese mismo código a toda página web servida de forma totalmente transparente. Así, cualquier cliente que visite la página con Internet Explorer, descargará este código JavaScript que se conectará a servidores rusos para instalar definitivamente el troyano. Todo esto sin advertencia alguna para el usuario.

Puede que los atacantes se hicieran con las páginas gracias a alguna vulnerabilidad de las publicadas por Microsoft en su boletín MS04-011, pero esto no ha quedado aún totalmente comprobado.

Este ataque es uno de los más sofisticados que se han observado en los últimos tiempos. Habitualmente se utilizan servidores propios especialmente configurados para infectar navegadores de Microsoft, pero pocas veces se han usado servidores comprometidos ajenos para, a través de ellos, infectar a los clientes que lo visitan. De esta manera el ataque resulta mucho más efectivo porque el usuario no puede sospechar que un lugar que visita habitualmente puede infectarle con una puerta trasera.

El virus Nimda intentó en 2001 un tipo de ataque parecido, pero lo que hace diferente a Scob es la facilidad para pasar completamente desapercibido para el usuario.

Las últimas informaciones apuntan a que el ataque tiene la intención de utilizar las máquinas comprometidas como motores para reenvío de correo basura y robo de contraseñas, pues en algunos casos se ha detectado la instalación de registradores de teclas.

En estos momentos quedan pocos servidores infectados, pero al no conocerse exactamente si la propagación se realiza de forma automática, no se puede asegurar que nuevos servidores sean objetivo del ataque durante las próximas horas si no son convenientemente parcheados.

Más información y referencias:

Todo sobre SCOB y su ataque a servidores de Internet
http://www.vsantivirus.com/faq-scob.htm

Experts studying Internet attack
http://www.cnn.com/2004/TECH/internet/06/24/internet.attack.ap/index.html

Sergio de los Santos
http://www.forzis.com