“Los usuarios deben estar enterados que cualquier sitio web, aún aquellos que pueden ser considerados confiables hasta el momento, podrían ser afectados por esta actividad y así contener código potencialmente malicioso,” advertía el gobierno norteamericano en una alerta pública sobre Internet.
A primeras horas del 25 de junio, los expertos de la industria y el Departamento de la Seguridad de los Estados Unidos, estudiaban la infección para determinar cómo se esparcía a través de los diferentes sitios, a los efectos de encontrar las defensas adecuadas para evitarlo.
Algunas noticias alarmistas, incluso en importantes medios de noticia, catalogaban el suceso como “devastador”, ya que “el virus se está propagando a través de los sitios más populares y no a través del correo electrónico”.
Poco después, los principales fabricantes de antivirus habían identificado el troyano, al que llamaron Scob (también conocido como Toofer).
El troyano ataca a una de las más recientes versiones del software de Microsoft para operar sitios Web, el Internet Information Server 5.0 (IIS), muy popular en el mundo de los negocios y en las organizaciones.
Microsoft publicó una advertencia sobre el tema, en donde explica que el suceso afecta a todos los servidores IIS 5.0, e indirectamente a usuarios de Microsoft Internet Explorer.
También son vulnerables los usuarios de Windows 2000 Server que utilizan IIS, y que no hayan aplicado el parche 835732 para Windows, según se indica en uno de los últimos boletines emitidos por la compañía (MS04-011).
Aunque la información aclara que esto no afecta a los usuarios que hayan instalado el Release Candidate 2 de futuro Service Pack 2 de Windows XP, el mismo solo está disponible en inglés, de modo que no es una solución para los usuarios con el sistema operativo en otro idioma, como español por ejemplo.
El troyano genera un pequeño archivo escrito en JavaScript en los sitios infectados, y altera la configuración del servidor para agregar este script en todo archivo solicitado por los usuarios, tanto páginas HTML, como hojas de estilo o incluso imágenes.
Dos conocidas vulnerabilidades en el Internet Explorer, una de ellas sin solución y recientemente descubierta, hacen que el script se ejecute automáticamente en la máquina del usuario infectado, desde donde puede a su vez descargar y ejecutar otro troyano.
En principio, la existencia de este segundo troyano fue el primer síntoma de la infección. Se trata de una versión del Padodor, capaz de robar datos confidenciales de los equipos atacados, incluyendo datos de cuentas bancarias, tarjetas de crédito, contraseñas, etc.
Pero cualquier otro software podría ser instalado usando las mismas técnicas, incluyendo programas que dieran el control total del equipo a los piratas informáticos.
Lo peligroso del tema es que no se muestra advertencia alguna, y el usuario no tiene que hacer clic en enlace alguno (fuera del que lo llevó al sitio infectado), para ser atacado.
Los primeros informes hablan de un ataque de gran extensión, pero sin efectos notorios en el tráfico de Internet.
Los expertos recomiendan que usuarios domésticos y corporativos, actualicen su software antivirus, ya que las últimas versiones pueden inmunizar a los visitantes al visitar los sitios web infectados.
