Alerta REAL de Virus

0
597

Por razones propias de mi trabajo, recibo a diario más de 150 correos electrónicos. Sin embargo, el día de hoy este número se duplicó.

Lo anecdótico es que la mayoría de estos venían de personas que conozco y todos traían un archivo adjunto. Sin embargo, el cuerpo del mensaje estaba vacío.

Lo curioso es que el archivo trata de abrirse automáticamente. El sistema pregunta de inmediato si deseaba abrirlo o deseaba grabarlo en mi disco duro.

Afortunadamente siempre cancelé la operación y borré todos los mensajes, pues estaba seguro que era un virus, por la característica misma del mensaje y las extensiones del archivo que trataba de abrirse. Al comienzo no le puse mucha atención al asunto, pero siguieron transcurriendo las horas, y mensajes con idénticas características empezaron a llenar mis casilleros de correo electrónico.

Simultáneamente, otros colegas estaban experimentando el mismo problema y uno de ellos colocó un ‘mensaje de alerta’ en uno de los foros de discusión en los que participamos a diario los propietarios de 50 boletines electrónicos en Español (http://NovedadesEnRed.com). Esto confirmó mis sospechas del virus e inmediatamente me puse en la tarea de averiguar las particularidades del mismo, formas de prevenirlo y métodos para eliminarlo.

Por este motivo, dedico la edición de esta semana a este tema, pues considero que el virus en cuestión presenta una gravedad alta y destructiva (controla la computadora remotamente) y mal haría si no comparto esto con los más de 22.500 suscriptores que como usted, me acompañan en este boletín electrónico.

Empecemos por el tipo de virus

El famoso virus se le conoce con el nombre de WB/Badtrans.b y es la segunda versión del W32/Badtrans. También se le conoce bajo los aliases de: WORM_BADTRANS.B, W32/Badtrans-B, TROJ_BADTRANS.B, I-Worm.Badtrans.

Este virus tiene 2 variantes. La primera, apareció en abril de 2001. La segunda apareció el 26 de noviembre de 2001 y aún no se conoce su origen.

Este virus es capaz de reproducirse por correo electrónico automáticamente aprovechando una vulnerabilidad en el manejo de los encabezados MIME del Internet Explorer para ejecutarse automáticamente cuando un mensaje infectado es recibido.

El mensaje de correo electrónico en el que puede ser recibido es un mensaje sin texto y con archivo adjunto generado en forma aleatoria y posee una doble extensión.

La primer parte del nombre del adjunto puede ser alguna de las siguientes:

  • HUMOR
  • DOCs
  • S3MSONG
  • ME_NUDE
  • CARD
  • SEARCHURL
  • YOU_ARE_FAT!
  • NEWS_DOC
  • IMAGES
  • PICS

La segunda parte, o sea, la primera extensión, puede ser:

  • .DOC
  • .MP3
  • .ZIP

Y la tercera:

  • .pif
  • .scr

Al activarlo verá una nueva ventana, en la que generamente, a la derecha, se ve el área de imagen y se ubican los controles de escaneo.

Un ejemplo de un virus en el correo electrónico

Un ejemplo de un archivo adjunto a este mensaje sería: HUMOR.DOC:PIF.

Al ser ejecutado, automáticamente o manualmente, se copia al directorio \Windows\System con el nombre kernel32.exe y agrega la siguiente entrada al registro de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Kernel32=kernel32.exe

También genera en el mismo directorio los archivos cp_25389.nls y kdll.dll. El kdll.dll es un troyano denominado Trojan/PSW.AV, capaz de robar contraseñas del equipo infectado. Para reproducirse por correo electrónico, responde todos los mensajes que son recibidos por el usuario, y también se envía a direcciones encontradas en archivos de páginas web (con extensiones html, htm, asp). El Desde (From) del mensaje enviado es generado aleatoriamente de una lista adjunta al gusano.

¿Cómo eliminar el virus?

Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Lo que sigue es un listado de empresas desarrolladoras de software antivirus. Simplemente diríjase al sitio web de la versión de antivirus que tiene instalada en su computadora.

Antiviral Toolkit Pro (AVP)
http://www.kaspersky.ru

AVAST y AVAST32
http://www.antivir.com/support.htm

AVG
http://www.grisoft.com/html/us_updt.cfm

Dr. Solomon’s AVTK
http://www.drsolomon.com/download/index.cfm

F-Prot
http://www.commandcom.com/html/files.html

IBM Antivirus
http://www.symantec.com/avcenter/ibm/index.html

InoculateIT
http://support.cai.com/Download/virussig.html

McAfee VirusScan
http://download.mcafee.com/updates/updates.asp

Norton Antivirus (NAV)
http://www.sarc.com/avcenter/download.html

Panda Antivirus
http://www.pandasoftware.es/

Pc-Cillin
http://www.antivirus.com/download/pattern.htm

Sophos Antivirus
http://www.us.sophos.com/downloads/ide/

Si no tiene un sistema antivirus instalado en su computador, un halón de orejas. Esta es una señal de aviso para que lo haga de inmediato. Estos programas son realmente económicos –incluso algunos son gratuitos- y el beneficio obtenido inimaginable.

Cómo elimiar el virus manualmente

  • 1) Eliminar el archivo \Windows\System\cp_25389.nls.
  • 2) Ejecutar el archivo Regedit.exe para acceder al Registro del Sistema.
  • 3) Eliminar la clave Kernel32 dependiente de HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • 4) Reinicie el equipo
  • 5) Elimine el archivo \Windows\System\Kernel32.exe y \Windows\System\kdll.dll
  • 6) Ejecute un antivirus actualizado.

Es necesario que, para evitar la ejecución automática de este tipo de gusanos, instale un parche gratuito que puede obtener directamente en el sitio web de Microsoft: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Un dato curioso

Cuando fui al sitio web de Microsoft para descargar el parche, me llamó mucho la atención la sección de Reconocimientos.

  • Acknowledgments
    Microsoft thanks Juan Carlos Cuartango (http://www.kriptopolis.com) for reporting this issue to us and working with us to protect customers.
  • Traducción:
    Microsoft agradece a Juan Carlos Cuartango (http://www.kriptopolis.com) por reportarnos este problema y trabajar con nosotros para ayudarnos a proteger a nuestros clientes.

Para quienes no hayan escuchado hablar de Juan Carlos Cuartango, les cuento que no es la primera vez que este Español descubre y reporta importantes vulnerabilidades de seguridad en los programas de Microsoft. Kriptopolis.com es una web personal e independiente sobre Seguridad en Internet, Criptografía y Ciberderechos. Kriptópolis no incluye publicidad, ni representa en la actualidad actividad económica alguna para su propietario, además fue galardonada con el premio iBest 2000, al mejor web de informática por votación popular.

Sugerencias para usuarios de Outlook

Si tienen configurado su programa para previsualización automatica, el virus entra en el sistema, a no ser que lo frene el antivirus. Obviamente si tiene actualizada las definiciones del virus respectivas. Como norma general no use esta característica del Outlook nunca, los archivos se abren automáticamente y los riesgos de ser infectados se multiplican.

Sugerencias para todos

Nunca abran documentos adjuntos (attachments), a no ser que conozcan a la persona que se los envía y expresamente les diga que se lo están enviando. “Te envío este documento con información de __________”

Siempre use software antivirus y actualice al menos mensualmente las definiciones de virus que el fabricante coloca en su respectiva sede web. De nada sirve tener un antivirus si no está actualizado con las últimas definiciones de virus existentes.