Barrapunto

En la lista de BugTraq, Gadi Evron a distribuido un análisis sobre el código del gusano, previamente desemsamblado. Parece que el gusano solamente hace un GET del directorio raíz de www.sco.com, no lanza varios hilos como se sugiere en algunas webs. Respecto al tema del puerto abierto, escucha en el puerto 3127 solamente (he podido constatarlo, dado que hay varios ordenadores infectados en una de mis redes y absolutamente todos escuchan en el 3127). Mandándole los caracteres adecuados, el virus acepta un ejecutable, el cual guarda en disco y ejecuta posteriormente.

Pero aquí no acaba la cosa. Parece ser que las pruebas realizadas intentando forzar la activacion del gusano no han conseguido nada. Estas pruebas revelan que no lanza peticiones contra la web de www.sco.com. Por lo visto, solamente resuelve la IP de www.sco.com. Una vez que logra resolver IPs, busca por el disco nombres de dominio e intenta buscar el MX. Localizado este, intenta conectar al puerto 25, probablemente para continuar la propagación. Sin embargo, si es cierto que el 12 de Febrero se desactiva.

Quizá solamente sea un gusano mal diseñado... o quizá sea una distracción para hacer pensar a la comunidad "que buen gusano, que ataca a SCO" y realmente ejecutar su función como puerta de acceso.

Y repito, esto no son en absoluto conclusiones mías; de ensamblador no tengo ni idea y ni he ejecutado el virus (es lo que tiene Linux :-). Es solamente una información distribuida por BugTraq.
 
--