Este fin de semana, hizo su aparición un nuevo gusano, con una característica novedosa que nos sorprendió, aunque el gusano en si mismo no tiene nada de sorprendente. Categoría
En términos generales "Evaman" (hasta el momento con dos
versiones detectadas, W32/Evaman.A y W32/Evaman.B), es un
gusano como tantos, que nos infecta al abrir el adjunto y
luego se propaga desde nuestra computadora a otras, usando
diferentes direcciones de correo para propagarse.
El gusano está catalogado como de bajo riesgo por la mayoría
de los fabricantes de antivirus.
El texto de los mensajes infectados, pretende hacernos creer
que se trata de una devolución de nuestro servidor ("Delivery
to last recipient failed. Email returned as attachment text
file", etc.) Pero aunque nos indique que el adjunto es el
mensaje devuelto, el archivo es en realidad un ejecutable.
El remitente es falso, y está formado por una lista de
nombres al que se le agrega el dominio del destinatario.
De este modo, si su dirección es "maria23 @ Hotmail .com", el
remitente podría ser "daniel @ Hotmail .com" o "sarah @
Hotmail .com" (daniel y sarah son dos de los nombres que trae
el gusano en su lista).
Pero lo curioso, es el método que utiliza para conseguir la
lista de direcciones a las cuáles enviarse, y así propagarse.
El gusano genera cadenas al azar de 2 o tres caracteres y con
ellas envía consultas a la dirección "email .people .yahoo
.com", intentando obtener las direcciones de todos los
usuarios cuyo primer nombre incluya las cadenas generadas.
Y aquí está el problema, ya que se trata al menos, de una
grave omisión de Yahoo!, el dejar que las direcciones de sus
usuarios sea tan fácilmente accesible por cualquiera que
desee verlas.
Para comprobar lo fácil que es obtener direcciones de allí,
solo basta seguir esta dirección:
Luego, en "Email Search", en el campo "First Name:" (ni
siquiera es necesario agregar nada en "Last Name:"), solo
ponga una letra cualquiera y un asterisco, por ejemplo: A*
Y ¡voilá!... Tendrá a su vista al menos las primeras 200
direcciones de los usuarios registrados en ese servicio. Y no
solo son direcciones de Yahoo.com, sino la dirección de
contacto que haya dejado el usuario en su perfil de
configuración.
[ver imágenes en http://www.vsantivirus.com/06-07-04.htm]
Funciona igual si solo ponemos una letra y asterisco en el
campo "Last Name:".
Sin dudas esta fuga de información, se trata de una grave
omisión de Yahoo!, ahora revelada públicamente por el gusano
Evaman. ¿Acaso los usuarios de Yahoo! sabían que sus datos
podían ser accedidos tan fácilmente?. De este modo no solo
podrán ser las víctimas de spam, sino también de la posible
infección de un gusano.
Hasta el momento de escribir este artículo, el buscador de
Yahoo! seguía comportándose como aquí se describe, por lo que
no sería extraño ver otras variantes de éste u otros gusanos
que se aprovechen de agujeros similares en el futuro.
Fuente:
Jose Luis Lopez
vsantivirus.com
Enviado por: Xombra Fecha: 06-07-2004
Lecturas...( 39 )
