Si el sábado pasado las comunicaciones por Internet sufrieron el peor ataque de los últimos 18 meses, los expertos aseguran que lo peor está por llegar. Después de paralizar entre 150.000 y 200.000 servidores, el virus ‘SQL
Slammer’ provocará hoy lunes fallos todavía más graves, cuando se pongan en marcha millones de ordenadores al comenzar la jornada laboral.
(Mas información, sigue leyendo…)El virus, del tipo conocido como ‘gusano’, comenzó a propagarse en las primeras horas del sábado y desquició o impidió las operaciones de los sitios de Internet en Europa, Asia y el continente americano.
El simple acceso a diarios con páginas en Internet o a bases de datos electrónicos sufrió demoras considerables. En Estados Unidos, la empresa American Express señaló que sus clientes no pudieron acceder a los servicios para sus tarjetas de crédito.
Aunque el domingo los efectos del virus habían remitido considerablemente, los expertos prevén serios problemas con el comienzo de la semana laboral, el lunes. «Ahora mismo (por el domingo), hay 120.000 direcciones IP y sistemas infectados, pero el lunes serán muchos más», aseguró Alan Paller, del Instituto SANS, una empresa experta en seguridad.
El virus ha afectado especialmente al correo electrónico, y los expertos en seguridad calculan que entre 150.000 y 200.000 servidores se colapsaron el sábado.
Sólo afecta a servidores
Según el Centro de Alerta Temprana Antivirus del Ministerio de Ciencia y Tecnología el nuevo gusano afecta a sistemas sobre los que se ejecuta Microsoft SQL Server y puede llegar a causar una excesiva ralentización en los servicios e incluso la caída del sistema.
El código malicioso, que utiliza en su propagación (paquete de 376 bytes) el puerto 1434 UDP (SQL Server Resolution Service), ejecuta el ataque de denegación de servicio y sólo es residente en memoria no teniendo ningún fichero asociado. Por esta razón, los antivirus que no realicen escaneo de memoria, no podrán detectar el gusano.
Cuando el Win32.SQLSlammer llega a un sistema abre un puerto «netbios» para enviar el paquete que contiene al gusano; genera direcciones IP a las que enviar dicho paquete, que a su vez se derivan al puerto UDP 1434.
Debido a este proceso continuo y los múltiples envíos, se llega a originar un ataque de tipo DoS (Denegación de Servicio) sobre dicho puerto.
Para proteger el sistema, el Centro de Alerta Antivirus aconseja bloquear el puerto 1434 UDP y así evitar ataques externos, además de realizar la descarga e instalación del parche que solventa la vulnerabilidad afectada.
La Oficina Federal de Investigaciones (FBI) ha indicado que la aparición del virus está bajo investigación y que, de momento, no existen pistas concluyentes sobre su origen.
Se perdió hasta el 20% del tráfico
Tom Ohlsson, vicepresidente de Mercados de la empresa de seguimiento de Internet Matrix NetSystems, señaló que en el peor momento de la actividad del virus se perdió alrededor de un 20% del tráfico de Internet. Según destacó, el ‘gusano’ tuvo su origen en Hong Kong y desde allí comenzó a propagarse.
El virus ‘gusano’ es un pequeño programa que se copia a sí mismo y, a diferencia de los virus enviados en mensajes electrónicos, no causa daños o la pérdida de datos en los sistemas de los ordenadores que lo reciben.
Su objetivo son los accesos a los servicios de Internet, entre ellos los de compra o los bancarios, que se ven frenados de manera considerable, según han explicado los expertos.
El Centro Nacional de Protección para la Infraestructura (CNPI), que tiene sus oficinas en la sede del FBI en Washington, señaló que el virus fue «capturado» por la tarde y que se está examinando su estructura.
También añadió que la incursión de Zafiro fue detectada a poco de comenzar a propagarse, por lo que es posible que los daños provocados hayan sido mínimos.
El CNPI indicó que es probable que Zafiro no sea tan dañino como el virus ‘gusano’ Código Rojo, que hace dos años provocó el caos en los sistemas informáticos de todo el mundo.