Coincidiendo con la publicación de un estudio de la consultora de seguridad Netcraft sobre el aumento de seguridad en la Red aparece Code Blue, un hermano de Code Red que explota el agujero de seguridad conocido como "Web server folder traversal vulnerability".

Volviendo al estudio, para el que se ha observado el comportamiento de miles de servidores desde finales de julio, se afirma que Code Red ha constituido un "catalizador de seguridad en Internet" puesto que ha "obligado" a los administradores a revisar sus sistemas y estar mucho más alertas de lo que antes lo estaban para evitar que se repitan las pérdidas económicas cercanas a los 2.600 millones de dólares. Pese a estas conclusiones, las medidas contra los gusanos nunca son suficientes. Así lo demuestra la acción de Code Blue, que desde su aparición el viernes en China ya se ha sumado un buen número de víctimas.

En principio, Code Blue sólo afecta a servidores que trabajen con Windows NT y 2000 que tengan instalado el software ISS 4 o 5 de Microsoft. La diferencia estriba, como ya hemos explicado, en la vulnerabilidad que aprovecha para introducirse en el sistema cuyo parche está disponible desde el mes de octubre del año pasado. El agujero de seguridad permite al código el acceso a carpetas y archivos de un equipo a través de una dirección URL construida para ese fin. A partir de ese momento, se permite el acceso remoto del PC afectado, incluyendo la capacidad de poder modificar o eliminar los archivos que se deseen, tanto del equipo como del servidor.

El virus se transporta en los archivos SVCHOST.EXE, HTTPPEXT.DLL y D.VBS, que se copian en el directorio raíz del equipo. El primero de ellos modifica el registro de Windows para poder ejecutar el gusano cada vez que se reinicie el sistema. D.VBS va más allá y borra los restos de Code Red que puedan quedar en la memoria del PC e incluso crea ciertas defensas que luchen contra posibles futuros ataques de este gusano. Los expertos consideran a Code Blue una mayor amenaza que Code Red puesto que absorbe muchos más recursos del sistema lo que implica irremediablemente la caída del servidor.

Otra novedad que presenta estaría en que, en esta ocasión, utiliza los PC´s que infecta para convertirlos en "zombis" desde los cuales lanzar ataques de denegación de servicio (DDoS) a una empresa de seguridad china cuya dirección web es http://www.nsfocus.com. Y todavía hay más porque el ataque DDoS se realiza todos los días de diez a once de la mañana, el resto del tiempo lo dedica a propagarse buscando servidores vulnerables.

El origen de este gusano es desconocido pero hay quien habla de una posible venganza puesto que, como afirmábamos hace unos días, expertos norteamericanos confirmaban el nacimiento de Code Red en una universidad china.