[FT] Mydoom no afectará el BIOS

Gracias Jorge.

Alejandro Curquejo
Microsoft MVP
Windows XP - Shell/User


*Este mensaje se proporciona "COMO ESTA" sin garantias y no otorga ningun
derecho*
*This posting is provided "AS IS" with no warranties, and confers no rights*

-Tips y Articulos XP - http://www.multingles.net/tutoriales.htm#ALE
-DTS-L.Org - http://www.dts-l.org/

Que es el Programa MVP (Most Valuable Professional)
http://mvp.support.microsoft.com/de...pr=mvpfaqs



"Jorge Zeledon"

escribió en el mensaje news:%
| Hola socios: Ayer os pasaba una información que hoy está dementida por la
| misma fuente, a continuación la pego :
|
| VSantivirus No. 1304 Año 8, domingo 1 de febrero de 2004
| _____________________________________________________________
|
| El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
| VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
| _____________________________________________________________
|
| 1 - Mydoom no infecta el BIOS
| _____________________________________________________________
|
| http://www.vsantivirus.com/01-02-04a.htm
|
| Mydoom no infecta el BIOS
|
| Por Jose Luis Lopez
|
|
| Sobre la posible infección del BIOS ocasionada por el gusano
| Mydoom, se han escrito en foros especializados, extensos
| hilos discutiendo el tema.
|
| En teoría, podría ser posible una infección de este tipo, sin
| embargo, hay varias barreras que limitarían sus posibilidades
| prácticas.
|
| Podría crearse un código con el potencial de obtener una
| dirección IP y escuchar por un puerto. Pero a ese nivel, se
| debería interactuar directamente con la tarjeta de red, y
| existen muchos modelos y fabricantes, con diferencias
| importantes como para que un pequeño programa de solo 624
| bytes las contemple a todas.
|
| El propio Juari Bosnikovich, que mencionó esta posible
| característica del Mydoom en una lista especializada,
| información que publicamos ayer en VSAntivirus (ver
| "Investigador ruso dice que el Mydoom sería más peligroso",
| http://www.vsantivirus.com/31-01-04.htm), condujo un
| experimento para verificar lo que él afirmaba.
|
| Utilizando un Windows Server 2003 recién instalado en una
| computadora con una tarjeta de red con chip Realtek 8139,
| hizo que se ejecutara el virus, y luego cambió la fecha para
| que marcara unos minutos antes del 12 de febrero de 2004,
| esperando luego hasta que se activara la rutina que él
| mencionaba del virus. Finalmente reinició la computadora.
| Cuando ello ocurrió, se encontró con un cambio, pero no el
| esperado.
|
| Según Bosnikovich, más que un troyano backdoor en el BIOS,
| como afirmaba en sus investigaciones previas, lo que instala
| el gusano es un exploit que se aprovecha de una
| vulnerabilidad de Windows.
|
| Cuando una máquina infectada con el Mydoom se reinicia por
| segunda vez después que la fecha del sistema indica 12 de
| febrero, el virus inyecta en el sistema operativo, un
| programa malévolo capaz de descargar y ejecutar lo que
| posiblemente sería una nueva versión del gusano, tal vez el
| Mydoom.C, según el investigador ruso.
|
| De todos modos, como reafirma Bosnikovich, este dato no es
| mencionado por ningún fabricante de antivirus.
|
| El código del Mydoom no está creado con ninguna herramienta
| inventada por terceros, ni se basa en el código de otros
| virus, sino que se trata de una verdadera pieza de arte
| (desde el punto de vista de la programación, ya que por otra
| parte, no debemos olvidar que fue creado con claras
| intenciones dañinas). Además utiliza muchos trucos para
| ocultar sus rutinas, y sobre todo en su versión B, para
| engañar la búsqueda heurística de productos muy fuertes en
| este tema.
|
| Incluso simula estar escrito en un lenguaje de alto nivel
| (C++), cuando en realidad sería escrito directamente en
| assembler (un lenguaje de bajo nivel, o sea más cercano a la
| máquina). Además, partes de su código podrían estar escritas
| en Forth, un lenguaje de nivel intermedio.
|
| Tal vez esa sea la razón de que esta característica haya
| confundido a Bosnikovich, y que no figure nada de ello en las
| descripciones actuales de los fabricantes de antivirus.
|
| También esta dificultad para examinar el código, ha llevado a
| que no se revelaran antes algunas informaciones sobre el
| verdadero alcance de los ataques DDoS contra SCO y Microsoft
| (el primero de los cuáles comenzó hoy 1 de febrero de 2004).
| Esta información es ofrecida en el artículo "El mecanismo de
| ataque DoS del Mydoom tendría errores" de Enciclopedia Virus
| (http://www.vsantivirus.com/ev-mydoom-dos.htm).
|
| Al momento de redactar este artículo, 1 de febrero de 2004,
| 09:01 GMT, el sitio de SCO (http://www.sco.com) es
| inaccesible.
|
|
| * Más información:
|
| Investigador ruso dice que el Mydoom sería más peligroso
| http://www.vsantivirus.com/31-01-04.htm
|
| Cuentos y verdades sobre el Mydoom
| http://www.vsantivirus.com/faq-mydoom.htm
|
| W32/Mydoom.A. Gusano de gran propagación
| http://www.vsantivirus.com/mydoom-a.htm
|
| Mydoom se propagó en menos de cuatro segundos
| http://www.vsantivirus.com/28-01-04.htm
|
| Mydoom.B, nuevo protagonista de una batalla sin treguas
| http://www.vsantivirus.com/29-01-04.htm
|
| W32/Mydoom.B (Novarg.B). Segunda variante de este gusano
| http://www.vsantivirus.com/mydoom-b.htm
|
| El mecanismo de ataque DoS del Mydoom tendría errores
| http://www.vsantivirus.com/ev-mydoom-dos.htm
|
|
| (c) Video Soft - http://www.videosoft.net.uy
| (c) VSAntivirus - http://www.vsantivirus.com
| _____________________________________________________________
|
|