18:18 1/03/01
MANDRÁGORA
PARA WINDOWS
Mercè Molist
A Gnutella, la red que
aspira a ser la alternativa a Napster, le salía la semana pasada
un troyano que ha dado que hablar. Creado por un grupo español de
escritores de virus, "Mandrágora" se infiltra entre los usuarios
de Gnutella para Windows. Malos días para este sistema operativo:
otro grupo español ha descubierto un agujero en Windows 2000, que
permite formatear discos a distancia y sin permiso.
"Mandrágora", obra del reconocido grupo 29A, es un troyano-gusano, porque se introduce con engaño en el ordenador y se expande por la red. Una pequeña joya de 8 Kbs, escrita en el duro lenguaje ensamblador y no dañina. Aunque muchos medios lo han calificado como el primer virus que salta por Gnutella -una red de intercambio de archivos de ordenador a ordenador-, a mediados del año pasado aparecía ya el Gnutella Worm Victim, escrito en Visual Basic, también un gusano y tampoco dañino.
Pero Gnutella.worm/Mandragore para Win32 es más elaborado, explican en el servicio de información Hispasec: "Es un archivo EXE. Una vez que se ejecuta, hace que el sistema se registre como un nodo activo dentro de la red e intercepta todas las peticiones de búsqueda de archivos. Cuando detecta una, devuelve un resultado positivo. Para ocultar su intención maliciosa, se renombra con el nombre del archivo solicitado". Si el usuario no sospecha de una canción tan ligera, con la extensión .exe, y la abre, el gusano se instala subrepticiamente y recomienza el ciclo.
"Mandrágora" parece creado más para señalar un fallo se seguridad en una red de moda, entre las llamadas de igual a igual (peer-to-peer), que para provocar un holocausto, como explican en el servicio Video Soft: "Aparenta ser una simple prueba de concepto: demuestra que se puede hacer algo así. Su mayor daño es consumir un importante ancho de banda". Donde sí hay peligro es en la inseguridad publicada por otro grupo de hackers español, SET, esta vez en el sistema operativo Windows 2000.
El error permite, a usuarios
no autorizados, jugar con las claves del Servicio de Administración
de Discos, hasta formatear el disco duro. Según el aviso de SET,
"las pruebas realizadas indican que es factible eliminar físicamente
todas las particiones del disco y acceder a otras funciones del Administrador
de Discos. Es posible modificar las claves de manera que el administrador
no pueda acceder al servicio". Según Microsoft España, el
fallo no es tal ya que, por defecto, el usuario no puede acceder a estas
claves, a no ser que se lo permita el responsable del sistema: "Es su palabra
contra la nuestra. No está permitido establecer valores ni crear
subclaves ni eliminar, es decisión del administrador si da las claves
a usuarios avanzados, cuestión de políticas de seguridad".
Grave fallo en Outlook
La empresa norteamericana
@Stake descubría, a finales de febrero, otra escandalosa vulnerabilidad
de un producto Microsoft, esta vez en las tarjetas virtuales (Virtual Business
Cards) de su programa de correo Outlook. El fallo, que permite romper o
controlar remotamente ordenadores e incluso redes, es un ataque de "buffer":
se crea una tarjeta virtual, alterada para que provoque un proceso que
colapse el sistema y permita su control. Así, es posible añadir,
cambiar o borrar datos, comunicarse con la web y reformatear el disco duro.
Funciona sólo si se abre la tarjeta o se guarda en la agenda. Afecta
a usuarios de Outlook 97 y 2000 y Outlook Express 5.01 y 5.5. La única
solución, según Microsoft, es actualizar todo el Internet
Explorer.
Mandragore. http://www.hispasec.com/unaaldiacom.asp?id=856
Gnutella Worm Victim.
http://www.gnutellaes.com/virus/virus.htm
Fallo en Windows 2000.
http://www.set-ezine.org/fallos/w2kdmabug.txt
Fallo en Outlook. http://www.atstake.com/research/advisories/2001/index.html#022301-1