Los investigadores descubrieron cómo contener la forma más nociva de gusano: la que escanea internet aleatoriamente, buscando ordenadores vulnerables para infectar.
Estos gusanos se diseminan muy rápidamente. Inundan la red, y en el
mejor de los casos, sobrecargan las redes de ordenadores y las dejan fuera de
servicio.
Code Red fue un gusano de escaneo aleatorio, y causó pérdidas
de productividad por valor de 2.600 millones de dólares en negocios de
todo el mundo en el año 2001. Peor aún, el gusano bloqueó
el tráfico de red a instalaciones físicas importantes tales como
centros de recepción de llamadas de emergencias, y estaciones de metro.
Code Red infectó más de 350.000 máquinas en menos de 14
horas.
Los investigadores deseaban encontrar una manera de detectar las infecciones
en sus estadios tempranos, antes de que llegaran tan lejos. Encontraron que
la clave es que el software monitorice el número de escaneos que envían
las máquinas en una red. Cuando una máquina comienza a enviar
demasiados escaneos, una señal de que ha sido infectada, los administradores
deben desconectarla de la red e inspeccionarla en busca de virus.
Un escaneo es simplemente una búsqueda de direcciones de internet, lo
que hacemos cada vez que utilizamos motores de búsqueda tales como Google.
La diferencia es que un virus envía muchos escaneos hacia muchos destinos
diferentes en un periodo de tiempo muy corto, a medida que busca máquinas
para infectar.
"La dificultad fue descifrar qué cantidad de escaneos eran demasiados",
explica Shroff. "¿Cuántos pueden ser permitidos antes de
que se disemine de forma descontrolada una infección? Usted desea asegurar
que el número es pequeño para contener la infección. Pero
si lo hace muy pequeño, interferirá con el tráfico normal
de la red".
El número que ha sido seleccionado es diez mil, debido a que está
bien por encima del número de escaneos que una red de ordenadores típica
enviaría en un mes.
Una máquina infectada alcanzará este valor rápidamente,
mientras que una máquina común no lo hará. Un gusano debe
intervenir con prontitud sobre muchas direcciones IP para sobrevivir.
En las simulaciones realizadas contra el gusano Code Red, los investigadores
fueron capaces de frenar con gran eficacia la infección.
Fuente: Laflecha - agencias
