|
Alerta
de virus para este mes
El
BadTrans sigue expandiéndose por todo el mundo
El gusano se está propagando
a una velocidad de 600 contagios por hora, según una firma de
antivirus. Se distribuye a través de los programas de correo
electrónico de Microsoft y deja las computadoras vulnerables
a intromisiones de terceros. Ya superó al Sircam.Badtrans, un
gusano, que deja a las computadoras vulnerables a los ataques
de hackers al registrar lo que se escribe en los teclados,
sigue extendiéndose a través de los usuarios que no han
actualizado sus programas de antivirus.La empresa MessageLabs,
con sede Londres, estimó que el lunes la cantidad de
infectados por el gusano -que infecta a PCs que corren el
sistema operativo Windows y usan el cliente de mail Outlook de
Microsoft- ascendía a entre 16.000 a 18.000 en todo el mundo
y que el martes se incrementó en otros 16.000, a razón de
más de 600 contagios por hora.El gusano, detectado por
primera vez el viernes en Gran Bretaña, se propagó por
Europa, particularmente en Inglaterra y Alemania, y en Norte y
Sudamérica, pero no parece estar haciendo mucho daño en
Asia, dijeron los expertos. La firma uruguaya especializada en
antivirus Videosoft dijo que recibió cerca de 20 mensajes
infectados en seis horas, situación que se da pocas veces
para un sólo virus.En los cuatro días desde que comenzó a
propagarse, el gusano BadTrans ha superado los récords de
otro virus similar, el SirCam, según las empresas antivirus.
El virus ataca principalmente a los usuarios de computadores
personales y a pequeñas empresas, ya que las grandes
compañías han logrado bloquearlo.Cómo se propagaNormalmente
llega a una computadora en un mensaje donde se lee en asunto
sólo la palabra "Re:". También puede incluir,
junto a "Re:", el nombre del asunto de un mensaje
anterior. En ambos casos no hay texto visible en su cuerpo. El
nombre del archivo adjunto (que puede no ser visible) está
compuesto por una combinación aleatoria de tres
partes."Si usted ve una serie de nombres y un par de
extensiones como "docs.DOC.pif",
"Sorry-about-yesterday.MP3.pif", o
"Me-nude.MP3.scr", tenga cuidado", dijo el
experto José Luis López, de Videosoft, en el boletín diario
que emite la firma sobre los virus.El archivo adjunto llega
embebido dentro del email. Y no requiere que el usuario
ejecute el adjunto ya que explota una conocida vulnerabilidad
de los clientes de correo basados en Internet Explorer que
permite su ejecución automática.El gusano instala un
software espía en las computadoras infectadas. El programa
luego trata de registrar información confidencial, tal como
nombre de usuario y contraseña, que envía a una dirección
de email a la cual se supone que accede el autor del gusano.
La
nueva guerra ya creó su primer virus informático
La
plaga llega a través del programa de correo electrónico
Outlook, de Microsoft. Con el asunto "Paz entre Estados
Unidos y el Islam", insta a los usuarios a pronunciarse
sobre la guerra. Borra los archivos de la computadora y se
reenvía a toda la lista de contactos. Cómo eliminarlo.
Un nuevo virus
recorre la Red bajo la apariencia de un programa que permite a
la gente votar sobre si Estados Unidos debe ir a la guerra
tras los atentados del 11 de septiembre, pero que en realidad
borra los archivos de las computadoras.
El
"Vote Virus" (o W32/Vote@MM) se disemina por correo
electrónico a los usuarios que usen el programa Outlook
de Microsoft, dijo Simon Perry, vicepresidente de soluciones
de seguridad de Computer Associates International.
El
virus aparece con el título: "Fwd: Peace Between
America And Islam" (Fwd: Paz entre Estados Unidos y
el Islam!).
Y
el texto del correo electrónico dice: "Hi! Is
it a war against America or Islam? Let's Vote To Live in
Peace!"
(Hola! Es esta
una guerra contra Estados Unidos o contra Islam? Votemos para
vivir en paz!)
Cuando
el documento adjunto titulado "WTC.exe" se
abre, el virus borra todos los archivos del disco rígido de
la computadora y se reenvía a las direcciones que figuran en
la lista de contactos del usuario.
El
virus también desfigura las páginas de Internet
administradas por una computadora infectada, en la que aparece
entonces el mensaje: "América (...) pocos días te
mostrarán lo que podemos hacer!¡¡ Es nuestra oportunidad,
Zaker lo lamenta mucho por tí".
Se
cree que el virus es obra de un oportunista y que no
está relacionado con los atentados aéreos del 11 de
septiembre en el World Trade Center y en el Pentágono, donde
más de 6.000 personas se presumen muertas o desaparecidas.
"No hay prueba alguna acerca de que este virus esté
relacionado con la gente que perpetró los ataques", dijo
Perry.
"Pensamos
que mucha gente va a levantar este correo electrónico",
dijo. "La gente tendrá problemas si esto no se informa
de inmediato, antes de que abran sus correos", añadió.
I-Worm.Concept,
Concept@mm W32/Nimda.A@mm
Este es un gusano reportado
el 18 de Septiembre del 2001, sumamente peligroso por su
amplia capacidad de propagación masiva en Internet, con el
propósito de saturar los servidores WEB
y LAN. Emplea la técnica
de virus anexado
con clásico auto-envío de mensajes a buzones de correo,
conteniendo un archivo con el nombre de README.EXE,
además intenta descargarse al visitar un sitio web que
previamente haya sido infectado.
Está desarrollado en
lenguaje MS Visual C++ y no está encriptado. Su estructura de
programación está inspirada en los gusanos SirCam,
Codered
y CodeRed2.
I-Worm.Concept
infecta todos los
sistemas operativos de 32 bits de Microsoft: Windows
95/98/NT/Me/2000/XP.
Dentro de su cuerpo del código
viral se lee:
Concept
Virus(CV) V.5, Copyright(C)2001 R.P.China
Esto hace presumir que haya
sido desarrollado en la República Popular China, aunque nada
impide crear un virus y atribuir un supuesto orígen, dentro
de su micro código. Cabe mencionar que no guarda ninguna
relación con el macro virus del mismo nombre, Concept,
reportado en 1995.
El anexado pretende ser un
archivo de sonido "audio/x-wav",
codificado en formato "base64".
Después de su decodificación, el archivo ejecutable que
contiene el gusano final, tendrá una extensión de 57,344
bytes. El gusano está diseñado para descargar al sistema
afectado un archivo denominado ADMIN.DLL,
mediante la aplicación "Tftp.exe",
una herramienta de Windows que permite descargar archivos de
Internet vía FTP (File
Transfer Protocol).
Para facilitar posibles
ataques e infecciones, Concept
crea un nuevo usuario, con el comando "NET
USER ADD" permitiéndole compartir la unidad
de disco C:\ y
procede a contagiar a otras unidades de red conectadas.
Además aprovecha una vulnerabilidad detectada en Windows
98 y Windows 2000
que permiten que el gusano pueda ejecutar los archivos "audio/x-wav",
utilizando para ello el Explorador de Windows (en el modo
Visualización estilo Web).
En servidores con MS Internet
Information Server explota una antigua
vulnerabilidad basada en la escalada de directorios con
caracteres Unicode.
Asimismo toma control de las
funciones de las librerías MAPI
(Messaging Application Programming
Interface) para auto-enviarse en forma masiva, a través
de la Libreta de Direcciones de MS
Outlook, Outlook Express
o MS Exchange y las del
protocolo SMTP (Simple
Mail Transfer Protocol) que incluye al protocolo POP
(Post Office Protocol) que es
empleado para extraer mensajes de correo de otros servidores.
La mayoría de software de
correo electrónico emplean el protocolo POP,
también conocido como E-mail Client,
aunque algunos servidores usan el nuevo protocolo IMAP
(Internet Message Access Protocol),
con lo cual este gusano amplía su capacidad de propagación
masiva a través de Internet.
El gusano, también toma el
control del archivo WSOCK32.DLL
en el directorio del sistema, con el propósito de
auto-enviarse a direcciones de correo electrónico y DNS
(Domain Name System) contenidos en el Registro de Windows del
sistema infectado. El DNS es el servicio de Internet que
traduce las direcciones IP y controla la entrega de mensajes
de correo.
Luego se auto-copia al SYSTEM.INI
en el Boot Shell, agregándole la línea:
shell=explorer.exe
load.exe-dontrunold
La próxima vez que se inicie
el sistema el gusano Concept tomará
el control del servidor, estación de trabajo o la computadora
personal infectada, siendo su payload
final, la saturación de servidores para crear una negación
de servicio o ataque DoS
(Denial of Service).
Llamado
"Cuerpo".
"Cuerpo" infecta
unicamente computadoras que tienen como sistema operativo
Windows 95/98/ME con el Internet Explorer instalado. El worm
es distribuido a través de email sin las características
comunes (asunto, archivo adjunto, cuerpo, etc). En adición a
esto, el virus está hecho con un código polimórfico que
hace que no mantenga siempre la misma apariencia.
El código del worm está
integrado en dos partes del email: en la firma invisible (en
el código html del mail tiene un script) y en el archivo
adjunto. En conjunto, las dos partes del código explotan un
conocido bug de la seguridad del Internet Explorer. Si el
patch para solucionar ese bug no está instalado, el virus
infecta la computadora con solo ver el mail (osea sin abrir el
archivo adjunto ni nada). Este método de infección fue usado
previamente por los virus "KakWorm" y
"BubbleBoy" entre otros. La segunda parte del código
del mail es activada solamente si el usuario abre el archivo
que acompaña el email.
Al ejecutarse el virus,
inicia el procedimiento de infección y propagación: toma el
control del Outlook y envía una copia de si mismo (cambiando
el código, por eso es polimórfico) a toda la lista de mails
que se encuentre en la libreta de direcciones.
Los efectos que el usuario
puede notar en su computadora son los soguientes:
- La página de inicio del Internet Explorer cambia a una página
en blanco automáticamente
- Al cabo de 4 días la página de inicio vuelve a cambiar,
esta vez apuntando al sitio http://www.freedonation.com.
Primer virus que
infecta archivos PDF
OUTLOOK.PDFWorm es el primer virus que se presenta
en un archivo PDF (Portable Document Format), el conocido
formato de Adobe Acrobat. Se propaga utilizando funciones de
Outlook nunca vistas antes en un virus.
Este virus no está optimizado para su
propagación masiva. Entre otras limitaciones de diseño, es
necesario que el usuario a infectar tenga instalado Outlook y
una versión completa de Acrobat, ya que no funciona sólo con
Acrobat Reader.
Puede llegar adjunto en un correo electrónico
con uno de los siguientes textos que elige al azar para
componer el asunto, cuerpo y nombre de archivo con el que se
envía:
Asunto (elegido al azar entre):
"You
have one minute to find the peach"
"Find the peach"
"Find"
"Peach"
"Joke"
Con una probabilidad del 50%, el asunto
puede ir precedido de la cadena "Fw:" para simular
un reenvío y/o con el signo "!" al final, mientras
que existe una posibilidad de 1 entre 3 de que el texto del
asunto vaya escrito en mayúsculas en su totalidad.
Cuerpo (elegido al azar entre):
"Try
finding the peach"
"Try this"
"Interesting search"
"I don't usually send this things, but..."
[o el texto elegido para el asunto]
Al igual que con el asunto, el virus puede
realizar algunas modificaciones en el cuerpo del mensaje, como
comenzar con la cadena "> ", convertir todo el
texto en mayúsculas o terminar con el signo de exclamación
"!". Por último, con una probabilidad del 80%,
puede incluir alguno de los siguientes emoticones: "
:-)", " :)", " =)" o
" :-]".
El nombre del archivo adjunto se elige entre
los siguientes:
"find.pdf"
"peach.pdf"
"find the peach.pdf"
"find_the_peach.pdf"
"joke.pdf"
"search.pdf"
Con una probabilidad de 1 entre 3, el nombre
del archivo puede aparecer en mayúsculas o, con esa misma
probabilidad, escribir en mayúscula sólo la primera letra.
Cuando el usuario abre el archivo adjunto,
para lo que necesita tener instalado Acrobat, puede visualizar
una pantalla que simula un juego a manera de broma:
"You
have un minute to find the peach!"
[¡Tienes un minuto para encontrar el
melocotón!]
Debajo de este texto, aparece un gráfico
compuesto de cuadrícula de 18x13 con miniaturas de traseros
desnudos.
A continuación, se nos invita a hacer doble
clic en un icono para ver la solución del juego, lo que en
realidad activará el virus, escrito en Visual Basic Script,
que viaja adjunto en el archivo PDF.
Por último, encontramos una nota que
intentará impedir que el usuario ejecute el script desde una
versión incompleta de Adobe Acrobat, como es el caso de
Acrobat Reader.
"Note:
Acrobat full version (not Acrobat Reader) is needed to show de
solution."
Si se intenta ejecutar desde Acrobat Reader,
el virus no puede llevar a cabo su acción y aparecen mensajes
de error indicando que algunos métodos o funciones no están
disponibles.
Si el usuario tiene la versión completa de
Adobe Acrobat y hace doble clic en el icono, se ejecuta el
virus desarrollado en Visual Basic Script. Existen tres
versiones que se diferencian principalmente en la extensión y
uso de cifrado según el formato utilizado: 1.0 en VBS (Visual
Basic Script), 1.1 en VBE (VBScript Encoded) y 1.2 en WSF
(Windows Script File), pero todas realizan prácticamente las
mismas funciones.
La primera acción del virus, para no
alertar al usuario y seguir la simulación del supuesto juego,
consiste en crear un archivo .JPG y mostrar esta imagen, que
puede ver en la imagen.
Después, el virus comienza su rutina de
propagación, para lo que primero debe localizar el archivo
PDF en el que viajar adjunto. Esto se hace necesario porque
Adobe Acrobat utiliza un directorio temporal de Windows para
almacenar y ejecutar el archivo adjunto recibido inicialmente
(el .VBS, .VBE o .WSF según versión), y el virus no conoce
la trayectoria exacta de la ubicación del PDF en el que
viajaba.
Para localizar el archivo, el virus utiliza
como referencia la extensión y el tamaño, buscando archivos
PDF entre 168.230 y 168.250 bytes. En el código del virus
encontramos dos rutinas para este procedimiento, una que
utiliza Word en el caso de que el usuario lo tenga instalado
en el sistema y que consigue realizar la búsqueda en todas
las unidades existentes, mientras que la otra rutina, si no se
utilizan las funciones de Word, busca recursivamente en los
directorios a través de código en Visual Basic Script.
Una vez localizado el archivo PDF en el que
viajará adjunto, el virus busca las direcciones de correo a
las que autoenviarse. El método utilizado es otra de las
innovaciones nunca vista en otro espécimen, y que se
diferencia de la típica rutina basada en objetos de Outlook
que pusiera de moda Melissa. En esta ocasión, se recorren
todas las carpetas de Outlook y todos los contactos de la
libreta de direcciones (buscando hasta las tres primeras
direcciones de cada contacto), reuniendo en una variable
dimensionada todas las direcciones de correo electrónico
detectadas.
A continuación, realiza un filtrado de
todas las direcciones recolectadas en la variable dimensionada
para evitar duplicados y también filtra la dirección del
usuario ya infectado que recoge de la configuración SMTP
existente en el registro de Windows. Mantiene un límite máximo
de 100 mensajes por infección y evita propagarse dos veces
desde un mismo sistema, para lo que deja la siguiente marca en
el registro de Windows que indicará la infección:
HKLM\Software\OUTLOOK.PDFWorm\"Version
1.x. By Zulu"
El número máximo de las 100 direcciones
recolectadas se incluye en el campo CCO (con copia oculta) de
un mensaje de correo electrónico cuyas características
(asunto, cuerpo y archivo adjunto) ya se han descrito al
principio de este análisis. Por último, se asegura de borrar
el mensaje una vez enviado, así como el archivo PDF situado
en la carpeta temporal, para evitar que el usuario los
detecte.
A partir de ahora, los usuarios deberán de
extremar las precauciones con los archivos PDF no solicitados,
mientras que los programas antivirus tendrán que soportar un
nuevo formato para proteger a sus usuarios. Hasta la fecha
ninguna de estas aplicaciones es capaz de detectar este virus,
ni mucho menos limpiar un equipo infectado
Los
virus mas peligrosos
Sircam
Tipo: Gusano polimórfico
Infecta: Ficheros .DOC, .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG,
.PDF, .PIF, .PNG, .PS o .ZIP
Fecha de aparición: 18 de julio de 2001
Asunto: Hola como estas
?
Texto: "Te mando este archivo para que me des tu punto
de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste"
Aunque generalmente el texto
del mensaje aparece en castellano, se han dado casos en los
que el idioma era el inglés con lo que se pueden leer textos
como "Hi! How are you?", "I send you this
file in order to have your advice", "I hope you can
help me with this file that I send", "I hope you
like the file that I send you" , "This is the file
with the information that you ask for", "See you
later. Thanks"
El peligro real del virus se
encuentra en el fichero adjunto que acompaña al mensaje y que
se caracteriza por incluir dos extensiones (la real del
fichero y la que le coloca el virus). Por lo general, las
extensiones que coloca el archivo son .BAT, .COM, .EXE, .LNK
o .PIF y los ficheros que pueden verse afectados son .DOC,
.GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PIF, .PNG, .PS o
.ZIP. Para infectar estos archivos el virus mirará en la
carpeta C:\Mis Documentos (C:\My Documents) y todos los
que infecte se cguardar´çan en un archivo denominado SCD.DLL
que se almacena en el directorio C:\WINDOWS\SYSTEM.
Método de infección
El ordenador se infectará si se ejecuta el archivo adjunto.
Si se ha ejecutado, el gusano se autocopia en el directorio C:\WINDOWS\SYSTEM
con el nombre SCAM32.EXE y al directorio C:\RECYCLED
(Papelera de Reciclaje) con el nombre SIRC32.EXE.
Para ponerlo aún más difícil, el fichero SIRC32.EXE tiene
el atributo de oculto con lo que no es visible si no se tiene
activada la opción Ver archivos ocultos o del sistema.
Posteriormente, Sircam
modifica varias claves del registro de Windows para que el
archivo sea ejecutado la próxima vez se inicie el sistema
Magistr
Alias: IWorm_Magistr, I-Worm.Magistr, W32/Magistr@mm, W32/Disemboweler
Tipo: Gusano polimórfico
Infecta: Ficheros .EXE y .SCR
Fecha de aparición: Marzo 2001
Se trata de un virus gusano (worm)
que infecta ficheros con extensión .EXE (ejecutables) y .SCR
(salvapantallas) ubicados tanto en el disco duro de la víctima
como en unidades de red.
Se trata de un virus
extremadamente peligroso. En función de determinadas
circunstancias es capaz de borrar datos del disco duro o de
sobrescribir la BIOS del ordenador.
El virus utiliza el correo
electrónico para autoenviarse e infectar otras máquinas.
Para ello envía un mensaje con un asunto y un texto al azar
que en muchas ocasiones puede llevar a confusión a la posible
víctima. Para extraer las direcciones de las futuras víctimas,
el virus mira las opciones de configuración del programa de
correo instalado (Outlook Express, Internet Mail y Netscape
Messenger).
El gusano también busca
direcciones de correo en otro tipo de ficheros como la libreta
de direcciones de Windows (WAB o Windows Address Book) o los
ficheros JS (Javascript). Del mismo modo, el virus registra
todas las direcciones que va encontrando.
MTX
Alias: IWorm_MTX, I-Worm.MTX, Matrix, Apology, W32/Apology
Tipo: Virus, Gusano, Troyano
Infecta: Ficheros .EXE, .DLL, .OCX, .SCR...
Fecha de aparición: Agosto 2000
MTX (W32/MTX) está formado por
un virus, un gusano y un troyano. El gusano se expande a través
del correo electrónico autoenviándo mensajes con un fichero
vinculado que contiene la infección.
El troyano, por su parte ,
contiene código capaz de establecer conexiones con servidores
a través de Internet. Posteriormente, utiliza los mencionados
servidores para autoinstalarse, además de dejar su impronta
en el Registro de Windows para llamar al fichero que contiene
el troyano.
En último lugar, el virus es
el encargado de infectar los ficheros con extensión .EXE, .DLL,
.OCX, .SCR, entre otras que se encuentran en el directorio en
el que se ejecuta el fichero infectado, así como los
directorios Windows y Temp.
MTX tiene además unos rasgos
particulares como que no envía mensajes a ciertos dominios
(en especial los de las empresas desarrolladoras de antivirus)
o que no se autoinstala en sistemas que tengan instalados
determinados programas antivirus.
Hybris
o Enanito
Alias: IWorm_Hybris, I-Worm.Hybris, Snow White, SnowWhite,
SnoWhite
Tipo: Gusano
Infecta: Trata de modificar el fichero WSOCK32.DLL
Fecha de aparición: Octubre 2000
Este exótico nombre esconde un
virus encriptado que se extiende a través del correo electrónico.
Uno de los objetivos de este gusano es modificar la librería
WSOCK32.DLL para monitorizar los mensajes de correo saliente.
Otro de los rasgos que
caracterizan a este virus es su capacidad para actualizarse
mediante una serie de plug-ins
que se encriptan con un algoritmo
de cifrado de 128 bit (similar al cifrado RSA que se
encuentra en todos los navegadores).
Este gusano también es
conocido como "el virus del enanito" y es
identificable a través del siguiente mensaje de correo:
De: Hahaha < hahaha@sexyfun.net
>
Asunto: Enanito si, pero con que pedazo!
Texto del mensaje: Faltaba apenas un día para su
aniversario de 18 años. Blanca de Nieve fuera siempre muy
bien cuidada por los enanitos. Ellos le prometieron una
*grande* sorpresa para su fiesta de compleaños. Al entardecer,
llegaron. Tenian un brillo incomun en los ojos...
Ficheros vinculados (posibles nombres): enano.exe,
enano porno.exe, blanca de nieve.scr, enanito fisgon.exe
Navidad
Alias: I-Worm.Navidad, W32/Watchit.intd, I-Worm_Navidad,
W32/Navidad, W32/Emanuel
Tipo: Gusano
Infecta: Se copia a sí mismo y crea varias claves en el
Registro de Windows.
Fecha de aparición: Marzo 2000
Este gusano realiza lo que otros
virus en formato gusano (worm), es decir, se propaga a través
del correo electrónico por medio de un fichero vinculado cuya
denominación es NAVIDAD.EXE. Pero, al mismo tiempo, se queda
residente como un proceso visible del cuadro de tareas (en
algunos casos el icono que aparece es el del programa de
mensajería ICQ).
La manera de actuar de este
gusano pasa, en primer lugar, por copiarse a sí mismo en el
directorio c:\Windows\System con varios nombres (WINTASK.EXE o
WINSVRC.VXD, entre ellos). Posteriormente, realiza varias
modificaciones en el Registro de Windows.
PrettyPark
Alias: Pretty Park, I-Worm.PrettyPark, W32/PrettyPark.60928-mm,
W32/PrettyPark.37376-m, W32/PrettyPark.51433-m
Tipo: Gusano, Troyano
Infecta: Se propaga a través del correo electrónico
Fecha de aparición: Abril 1999
Este gusano alcanzó una gran
popularidad tras su aparición hace más de dos años (abril
de 1999). Se trata de un gusano que infecta ordenadores con
Windows (95/98/NT) como sistema operativo y que se propaga a
través del correo electrónico enviándose a sí mismo como
fichero adjunto al mensaje.
Lleva a cabo su labor de
infección utilizando como reclamo la famosa serie de dibujos
animados South Park mediante un archivo ejecutable denominado
PrettyPark.exe que lleva asociado un icono que representa a
Stan, uno de los personajes de la serie cómica.
Considerado muy peligroso y
de rápida propagación, su rasgo más significativo es su
capacidad para revelar contraseñas y claves de acceso a
privadas en un canal de IRC. De hecho, existe una lista de
servidores de IRC a los que el gusano trata de conectarse y
que reproducimos a continuación:
- irc.twiny.net
- irc.stealth.net
- irc.grolier.net
- irc.club-internet.fr
- ircnet.irc.aol.com
- irc.emn.fr
- irc.anet.com
- irc.insat.com
- irc.ncal.verio.net
- irc.cifnet.com
- irc.skybel.net
- irc.eurecom.fr
- irc.easynet.co.uk
El método de infección de
PrettyPark comienza con una comprobación para saber si el
ordenador ya ha sido infectado buscando programas ejecutables
que contengan la cadena de texto #32770 en su cabecera.
En caso de no encontrar infecciones, el virus se instala como
una aplicación oculta en el PC de la víctima.
Posteriormente copia el
fichero FILES32.VXD en el directorio C:\WINDOWS\SYSTEM y
modifica el Registro de Windows para registrar el citado
fichero.
Macrovirus
variante del WM97.Laroux
Descubierto
hace pocos días, este macrovirus (una variante del conocido
WM97.Laroux) infecta los archivos activos de Excel e incluye
un libro de trabajo virósico en la carpeta XLStart (por lo
general, ubicada en el path C:\Archivos de programa\Microsoft
Office\Office\XLStart) con el nombre BOOk1.xls. A partir de
entonces, éste infecta todas las planillas nuevas y las que
son abiertas.
Su
rutina de daño es la siguiente: si la suma del mes y la fecha
es 13 o 22, el virus procede a proteger la hoja de trabajo
activa con una contraseña de ocho dígitos al azar.
Además,
si la fecha del sistema es 15 de junio cambia los contenidos
y formatos de las celdas de la planilla activa desplegando
una cruz esvástica. Acto seguido procede a proteger la hoja
de trabajo con el mismo tipo de contraseña descripta.
W32/Hello,
primer gusano para MSN Messenger
Acaba
de descubrirse el primer gusano que se propaga a través del
servicio MSN Messenger. W32/Hello es un gusano que infecta
las máquinas Windows y que se distribuye mediante un archivo
denominado HELLO.EXE.
Cuando
el usuario ejecuta este programa, una aplicación desarrollada
en Visual BASIC 5, el gusano crea un acceso directo, sin nombre
ni icono, en la carpeta de inicio de Windows.
A continuación, intenta propagarse a todas las direcciones
de la lista de direcciones de la máquina infectada, enviando
un mensaje con el siguiente texto "i have a file for
u. its real funny". Si
el programa no está instalado en el sistema "víctima",
el worm falla en su ejecución, dejando intacta la computadora.
Este
gusano no puede calificarse de peligroso debido a su escasa
incidencia y a que no hace ningún daño de importancia en el
ordenador del usuario. No obstante, la importancia del virus
está en que sirve para alertar a los usuarios de los sistemas
de mensajería instantánea de que éstos también pueden ser
utilizados para la distribución de virus.
Los diversos fabricantes de programas antivirus no tardarán
en incluir el código necesario para la protección contra este
virus (de hecho, es posible que en muchos sistemas, estos
mecanismos de protección ya sean operativos).
Una vez más, recordamos la necesidad de aplicar los principios
básicos de protección antes de instalar cualquier programa
en el ordenador, especialmente cuando se ha recibido a través
de Internet.
Macrovirus
variante del WM97.Laroux
Descubierto
hace pocos días, este macrovirus (una variante del conocido
WM97.Laroux) infecta los archivos activos de Excel e incluye
un libro de trabajo virósico en la carpeta XLStart (por lo
general, ubicada en el path C:\Archivos de programa\Microsoft
Office\Office\XLStart) con el nombre BOOk1.xls. A partir de
entonces, éste infecta todas las planillas nuevas y las que
son abiertas.
Su
rutina de daño es la siguiente: si la suma del mes y la fecha
es 13 o 22, el virus procede a proteger la hoja de trabajo
activa con una contraseña de ocho dígitos al azar.
Además,
si la fecha del sistema es 15 de junio cambia los contenidos
y formatos de las celdas de la planilla activa desplegando
una cruz esvástica. Acto seguido procede a proteger la hoja
de trabajo con el mismo tipo de contraseña descripta.
W32/Hello,
primer gusano para MSN Messenger
Acaba
de descubrirse el primer gusano que se propaga a través del
servicio MSN Messenger. W32/Hello es un gusano que infecta
las máquinas Windows y que se distribuye mediante un archivo
denominado HELLO.EXE.
Cuando
el usuario ejecuta este programa, una aplicación desarrollada
en Visual BASIC 5, el gusano crea un acceso directo, sin nombre
ni icono, en la carpeta de inicio de Windows.
A continuación, intenta propagarse a todas las direcciones
de la lista de direcciones de la máquina infectada, enviando
un mensaje con el siguiente texto "i have a file for
u. its real funny". Si
el programa no está instalado en el sistema "víctima",
el worm falla en su ejecución, dejando intacta la computadora.
Este
gusano no puede calificarse de peligroso debido a su escasa
incidencia y a que no hace ningún daño de importancia en el
ordenador del usuario. No obstante, la importancia del virus
está en que sirve para alertar a los usuarios de los sistemas
de mensajería instantánea de que éstos también pueden ser
utilizados para la distribución de virus.
Los diversos fabricantes de programas antivirus no tardarán
en incluir el código necesario para la protección contra este
virus (de hecho, es posible que en muchos sistemas, estos
mecanismos de protección ya sean operativos).
Una vez más, recordamos la necesidad de aplicar los principios
básicos de protección antes de instalar cualquier programa
en el ordenador, especialmente cuando se ha recibido a través
de Internet.
Futuras
amenazas
Sí
bien la mayor amenaza de virus sigue siendo la de los virus
macro, Internet ha creado nuevas oportunidades para el desarrollo
de los mismos. De
hecho, pequeñas aplicaciones ActiveX y Java pueden estar incorporadas
en páginas Web para brindar agradables efectos de animación
y interacción. Al
acceder a una página Web que contenga ActiveX objects o Java
applets se inicia la carga de componentes especiales y consecuentemente
se ejecuta la aplicación correspondiente.
Estas aplicaciones podrían contener código malicioso
el cual puede poner en peligro la integridad de los sistemas.
Es importante aclarar que los Java applets son ejecutados
en un entorno virtual, con lo cual no tendrían acceso directo
a los archivos o al sistema en la forma en que los objetos
ActiveX podrían llegar a hacerlo.
La
ejecución de este código desde Internet los torna más peligrosos.
Ya que podrían atacar rápidamente a un gran número
de computadoras. Ahora...
¿Porqué si parece tan sencillo el mecanismo de diseminación
de estas nuevas amenazas en Internet no se ha desatado una
epidemia? Algunas experiencias nos permiten prevenir algo.
La mayoría de los tipos de virus surgieron uno a uno
en casos aislados en sus comienzos y de un momento para otro
se volvieron una gran epidemia.
Algo de esto sucedió con los virus macro, de los cuáles
apenas se escuchaba algo dos años atrás.
Los cambios en la tecnología aceleran notablemente
este proceso. Algunas
tecnologías para la detección de código malicioso de Java
y ActiveX ya existen.
Con lo cual quizás no deberíamos preguntar si pueden
existir o no y si deberíamos preguntarnos cuándo aparecerán
popularmente. Para
muchos, esto es solo cuestión de tiempo.
|
