| |
VSantivirus No. 451 - Año 5 - Martes 2 de octubre 2001
No acepte herramientas que dicen limpiar el Nimda
Por José Luis
López
Como administradores de una lista de correo, somos testigos a diario del ofrecimiento de ciertos archivos o utilidades que algunos usuarios hacen a aquellos que claman por una solución a ciertos problemas puntuales. No dudamos que casi siempre se hace con la mejor voluntad, pero sin medir las consecuencias.
Es que enviar cualquier tipo de ejecutable vía correo electrónico, implica un riesgo muy grande debido a la proliferación de virus y otro tipo de código malicioso.
Siempre insisto en que se den los enlaces a aquellos sitios desde donde el usuario que los necesite, pueda descargar el programa requerido. Aunque esto no significa una seguridad absoluta, disminuye los riesgos en gran medida, siempre que se elijan sitios conocidos para la descarga.
Todo esto viene a cuento, porque se ha estado distribuyendo una supuesta utilidad capaz de limpiar el virus Nimda, enviada por correo electrónico.
El mensaje, supuestamente proveniente de la empresa de seguridad SecurityFocus, y del conocido fabricante de antivirus Trend Micro (PCillin), incluye en realidad como adjunto un troyano capaz de dañar los sistemas del usuario al ser ejecutado.
El archivo adjunto tiene el mismo nombre que la herramienta legítima disponible en TrendMicro para la limpieza del Nimda
(FIX_NIMDA.exe).
Este es el texto del mensaje:
---- Comienzo del mensaje ----
From: aris-report@securityfocus.com
Hello,
This mail is from the ARIS Analyzer Service (Attack Registry and Intelligence Service) from SecurityFocus in cooperation with Trend Micro Incorporated. As you are probably aware from the media, the Nimda worm started spreading. It has come to our attention that your system(s), listed below have been identified as being compromised by the Nimda Worm. The Nimda Worm is rapidly spreading across the Internet.
The addresses identified as belonging to you are as follows:
username@domain.com
You can find up to date information on the Nimda Worm at:
http://aris.securityfocus.com
It is very important that you are checking your Systems that have used with the identified addresses with the special Anti Nimda Software that we send you with this mail. (FIX_NIMDA.EXE)
It is also important that you are updating all your systems.
For this please show at the following URL http://www.microsoft.com/technet/security/bulletin/MS01-020.asp1-26.html
The SecurityFocus ARIS Analyst Team
aris-report@securityfocus.com
---- Final del mensaje ----
El archivo, un ZIP autoextraíble, genera un subdirectorio
FIX_NIMDA con los archivos FIX_NIMDA.exe, readme.txt, SLIDE.DAT
y slide.exe.
Salvo FIX_NIMDA.exe, los demás son idénticos a los del paquete original de Trend Micro.
Un análisis preliminar del troyano, parece indicar se trata de una variante del
BioNet trojan. Este troyano instala un capturador de teclado y abre una puerta trasera en la PC infectada, similar al
BackOrifice o SubSeven. Todo lo capturado desde el teclado, así como potenciales contraseñas de usuario y otra información crítica, son enviadas a una dirección de correo.
Una descripción de una variante de este troyano, puede ser vista en nuestro sitio:
VSantivirus No. 365 - 8/jul/01
Backdoor.Bionet.40a. Acceso remoto a nuestra computadora
Tanto SecurityFocus como Trend Micro han publicado sendas advertencias al respecto, en las que apelan a no ejecutar ningún archivo adjunto que llegue a la casilla del usuario.
Pero más allá de la advertencia puntual, no debería existir ninguna razón para no cumplir aquí con las reglas básicas, y más importantes en el uso del correo electrónico: JAMAS debemos abrir NINGUN ADJUNTO que no hayamos solicitado, aunque venga de nuestro mejor amigo.
Referencias:
Security Focus
http://www.securityfocus.com
Trend Micro
http://www.antivirus.com
Información sobre el Nimda:
VSantivirus No. 449 - 30/set/01
Nimda. Un estudio a fondo de las técnicas de desinfección
VSantivirus No. 438 - 19/set/01
A fondo: NIMDA, el gusano que pone en peligro a Internet
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
