Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Kaspersky, cómplice involuntario de propagar el Brid
 
VSantivirus No. 855 - Año 7 - Sábado 9 de noviembre de 2002

 Kaspersky, cómplice involuntario de propagar el Brid
http://www.vsantivirus.com/09-11-02a.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Según informa la propia empresa involucrada, en la noche del jueves 7 de noviembre, un grupo de crackers, llegó a invadir el servidor Web de la compañía de origen ruso Kaspersky Labs. (ex AVP), logrando enviar una copia del virus W32/Brid.A (conocido también como Braid, Bradex o Bridex), a los suscriptores de su boletín de noticias.

Este gusano, descubierto a comienzos de esta misma semana, y de origen asiático, se caracteriza por transportar y liberar en la máquina infectada, una versión modificada del Funlove, un conocido virus de Windows, que infecta todos los archivos en formato Win32 Portable Executable (PE), tales como .EXE, .SCR, y .OCX, y que puede propagarse a unidades compartidas en red.

Los mensajes infectados, estuvieron siendo enviados durante varias horas a la extensa lista (suponemos que con más de 100,000 suscriptores, si no nos quedamos cortos), antes de que la compañía detectara el ataque.

Según afirma el propio Eugene Kaspersky, "durante los últimos años, Kaspersky Labs se ha convertido en uno de los líderes entre los especialistas en virus, atrayendo mucha atención de los hackers, resultando ello en ataques diarios para quebrar nuestras defensas".

El Brid es un virus que se propaga en mensajes con un adjunto de 114 Kb aprox., llamado REDAME.EXE. Puede infectar las computadoras de dos maneras. Una, si el usuario ejecuta el archivo anexo. La otra, en forma automática, por medio de la simple lectura del mensaje o al visualizarlo en el panel de vista previa, siempre que el PC que lo recibe no tenga el parche del Internet Explorer que corrige esta falla, conocida como "vulnerabilidad IFrame". El IE 6 y superior es inmune a la misma (sin embargo, se ejecutará igual si el usuario acepta la apertura del archivo).

"Estamos conduciendo una investigación para revelar las fuentes del ataque, tomar las medidas necesarias en relación a la seguridad de nuestro sistema, y garantizar que este tipo de ataque nunca más acontezca", afirma la empresa, una de las pioneras en el ambiente.

Los mensajes infectados, además del nombre del adjunto, se caracterizan por el texto en su cuerpo, donde se muestra información de la versión de Windows instalada en la máquina infectada y su número de serie, entre otra información (ver "W32/Brid.A (Braid, Bradex). Infecta con el W32/Funlove", http://www.vsantivirus.com/brid-a.htm).

A pesar de todo, la cantidad de mensajes infectados por el virus en las últimas horas, apenas ha superado los 2,000, según la empresa británica MessageLabs, cuyo servicio es interceptar los virus en el correo electrónico en tiempo real, antes de reenviarlo a sus clientes. Los reportes en otros países (como España), ha ido en aumento, según informan empresas como Panda, pero aún antes de ocurrir este envío masivo de mensajes infectados.

Los mensajes auténticos de Kaspersky no traen jamás ningún adjunto y son enviados con texto sin formato, lo que permite distinguirlos de los mensajes maliciosos.

Kaspersky Labs. afirma no haber recibido ningún reporte de máquinas infectadas por este ataque, pero además de pedir disculpas a los suscriptores de su boletín, se compromete a dar asistencia gratuita e inmediata a todos aquellos que pudieran tener sus máquinas infectadas por culpa de este incidente.

Por otra parte, recomienda a todos los usuarios no abrir bajo ningún concepto mensaje alguno con las características mencionadas. También sugiere la instalación inmediata del parche correspondiente (usuarios de Internet Explorer 5.01 o 5.5, ver "Parche acumulativo para Internet Explorer (MS01-058)", http://www.vsantivirus.com/vulms01-058.htm), o actualizarse a la versión 6.0, Service Pack 1 (SP1): "Cómo descargar Internet Explorer 6 SP1 en español" http://www.vsantivirus.com/descarga-ie6sp1.htm).

Algunos comentarios sobre la integridad de las propias actualizaciones del antivirus, han sido desestimadas por los contactos consultados, habiéndose comprobado que ni éstas, ni ninguna otra área del sitio principal de Kaspersky, han sufrido modificaciones por parte de los atacantes.

Y aunque no se han revelado las técnicas del ataque, este parece ser más debido a un descuido que a fallas en la seguridad.

Por último, es interesante alabar la actitud de la compañía, informando a sus suscriptores prácticamente al instante la información del ataque.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS