Mydoom y los servidores de correo

MyDoom (W32/MyDoom.A@mm y W32/MyDoom.B@mm) es un gusano que se propaga

mediante envíos masivos de correo electrónico. El email infectado que

inicialmente se envía desde direcciones spoofed o erróneas, lleva

incorporado su propio motor SMTP, diseñado para transformar las máquinas

infectadas en unidades de envío de spam que, a continuación, reenvían el

mismo virus a otros destinatarios. La combinación de estos dos sistemas

provoca un notable incremento del tráfico que sobrepasa las prestaciones

de muchos sistemas de análisis antivirus utilizados a día de hoy en

algunos entornos empresariales. Estos sistemas, que han sido

desbordados, son, en su mayoría, tecnologías procedentes de la

adaptación de soluciones de escaneo monopuesto y no disponen de

prestaciones para la gestión inteligente de un gran volumen de correo

electrónico desde el servidor de correo de la compañía.

Además, para enfrentarse a un virus tipo gusano con capacidad de reenviarse a

la lista de correo de cada usuario infectado y así multiplicar

exponencialmente su presencia en la red, como el MyDoom, es necesario

tener en cuenta que el mensaje que transporta el archivo adjunto, tiene

como cometido servir de cebo o engaño y no posee ningún interés para el

receptor, por lo que es absurda su conservación y envío al buzón del

destinatario tras la detección y eliminación del adjunto maligno.

La total purga de este mensaje debería ser la lógica forma de obrar ya que su

desaparición no deja al receptor sin una información de su interés y

supone un notable descenso del tráfico de mensajes.

En un

entorno empresarial en el que el tráfico de entrada y salida del correo

procedente o dirigido a los buzones de los empleados es gestionado desde

un servidor centralizado se debe buscar la mayor automatización de la

gestión y la total desvinculación de los empleados de la configuración

de estos sistemas. Para conseguirlo, es necesario contar con sistemas de

mayores prestaciones a los instalados en los PC y con un rendimiento

adecuado a los requerimientos de gestión de amplios volúmenes de tráfico

de correo.

La detección del gusano es, sin duda, el mínimo que se

le debe requerir a estos sistemas implantados en el servidor de correo

de una empresa, pero, en casos, como el mydoom, también es necesario que

la solución cuente con la capacidad para la gestión centralizada de tres

aspectos de vital importancia para garantizar la continuidad del

servicio de correo en una empresa:

1- Evitar la caída del

servidor de correo ante el incremento de mensajes a analizar.

2-

Impedir que el mensaje ya desinfectado y libre del archivo adjunto que

contiene el virus continúe camino hacia su destinatario y llegue así a

los buzones provocando el desconcierto de los usuarios que se creen

infectados.

3- En casos como el MyDoom, desactivar la opción de

respuesta o información automática al remitente del mensaje que no es

necesariamente su autentico emisor para no contribuir al incremento del

tráfico.

Prevención

En la gestión del correo desde servidores es vital que el sistema de

análisis actúe en memoria sin necesidad de rescribir la información en

el disco del servidor, impidiendo así que el consumo de recursos del

servidor pueda en momentos de un tráfico intenso provocar su caída con

un alto coste para la empresa que pierde su servicio de correo y queda

expuesta a la acción de hackers que aprovechan el puerto libre para

penetrar en ese entorno. La escritura de los mensajes en disco para el

análisis puede llegar a ser mortal para el servidor de correo, cuando la

velocidad de propagación del gusano es más rápida que la velocidad de

limpieza del Antivirus. Tu propio Antivirus se convierte en tu peor

virus.

También, como segunda medida de prevención, y atendiendo

al hecho de que el mensaje que acompaña el virus no tienen ningún valor,

la mejor manera de actuar ante la detección de un virus como MyDoom es

la eliminación total del mensaje antes de que pueda dañar el sistema de

la organización atacada. La purga total de virus que se transmiten por

correo electrónico presenta varias ventajas. En primer lugar, se reduce

a cero el riesgo de que se ejecute el código malicioso, porque la acción

de purgar el virus no lleva aparejada ninguna interacción humana y el

código, independiente del lenguaje empleado, no se ejecuta. En segundo

lugar, la red corporativa interna mantiene íntegra su seguridad y el

tráfico que circula por ella no incrementa, ya que no sólo se elimina el

documento adjunto atacante, sino todo el mensaje de e-mail que lo

portaba.

La no eliminación total del gusano en memoria, archivo

adjunto y mensaje, permite que el mensaje acceda a la base de datos del

servidor con dos importantes consecuencias sobre el tráfico de correo

electrónico: primero el consumo de recursos y segundo que el mensaje ya

desinfectado es distribuido a los buzones de correo de los usuarios lo

que incrementa la alarma y en consecuencia los costes para la

organización en concepto de llamadas a los equipos de soporte al

usuario, pérdida de productividad e incremento del tráfico en la red.

Otro aspecto, que ha contribuido al éxito de mydoom sumando a su efecto

maligno directo otros de colaterales proviene de la imposibilidad de de

desactivar a demanda del administrador en algunos antivirus la respuesta

o notificación automática que esta solución envía al emisor de un

mensaje infectado. Si tenemos en cuenta que mydoom y otros virus

similares se envían inicialmente desde direccionesspoofed o erróneas,

el envío automático de notificaciones que realizan ciertos antivirus ha

provocado que usuarios no infectados hayan recibido una notificación de

que lo están. Este hecho, además de generar una falsa alarma, ha

derivado en un incremento de mensajes que ha acentuado los graves

problemas de volumen que han tenido algunas empresas para gestionar

debidamente el tráfico de mensajes entrante en sus servidores de correo.

MyDoom nos ha enseñado de nuevo que los creadores de virus siempre mueven

ficha antes que los fabricantes de vacunas, pero también que muchas

empresas y corporaciones que no disponen de soluciones acordes con los

requerimientos de una red corporativa han sufrido gravemente además de

los efectos directos del virus otros de colaterales fácilmente evitables.