DESTRUCTIVO GUSANO QUE ATACA A CORTAFUEGOS BLACKICEWitty es el nombre de un nuevo gusano que posee características realmente poco comunes. Si lo comparamos con los rasgos habituales a los que nos tienen acostumbrados los últimos virus, podemos comprobar que no se propaga por email, ni se copia al disco duro, no necesita de ninguna acción del usuario y además afecta a las compañías y particulares que protejan sus equipos con el cortafuegos BlackIce de la empresa especializada en seguridad ISS (Internet Security Systems).
El sábado día 20 de marzo, se comenzó a detectar un incremento de actividad de un tipo inusual de gusano llamado Witty. El virus se aprovecha de una vulnerabilidad en el componente PAM (Protocol Analysis Module), compartido por todos los productos de ISS, entre los que se encuentra el famoso cortafuegos BlackIce. Es por esto que, según distintas organizaciones especializadas, más de 50000 empresas y particulares que utilizan este firewall se vieron afectados por este código malicioso.
El hecho de que no se ejecute como archivo, sino que permanece como proceso en memoria RAM, lo vuelve además invisible a los típicos escáneres de los programas antivirus. Mientras permanece en memoria, el virus comienza a auto-propagarse hacia distintas máquinas con las mismas característica en busca de nuevas víctimas. El espécimen viaja en paquetes definidos por el protocolo UDP que parten del puerto 4000 hacia otros elegidos al azar.
Otra capacidad de Witty es la de destruir datos en el sistema, escribiendo aleatoriamente datos al azar en distintas zonas del disco duro. Esto puede provocar una pérdida de información en el ordenador que, si afecta a ficheros vitales del sistema operativo, lo volverá inestable o simplemente conseguirá que se niegue a funcionar hasta que se aplique una reinstalación.
Witty reúne características únicas: al contrario que muchos de los virus que podemos encontrar hoy en día (que buscan "cuidar" a su víctima para que les proporcione el sistema necesario para propagarse) este virus intenta destruir la máquina, a riesgo de volverla inoperativa. Además, el hecho de que ataque a sistemas que se sientan protegidos gracias a un cortafuegos, puede sorprender a más de un administrador de sistemas que no posea una política de copias de seguridad adecuada.
Más información y referencias:Vulnerability in ICQ Parsing in ISS Products
http://xforce.iss.net/xforce/alerts/id/166W32/Witty.A. Infecta equipos con BlackICE
http://www.vsantivirus.com/witty-a.htmSergio de los Santos
http://www.forzis.comFuente Asociación Internautas
