Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Lithium v1.02: Cuidado... ¡que no nos metan el troyano!
|
|
VSantivirus No. 744 - Año 6 - Domingo 21 de julio de 2002
Lithium v1.02: Cuidado... ¡que no nos metan el troyano!
http://www.vsantivirus.com/21-07-02.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
He recibido varios mensajes relativos a la identificación del
Lithium v1.02 por ciertos antivirus, y creo conveniente aclarar un tema, que me parece importante.
Primero que nada, no se trata de algo grave que POR AHORA algunos antivirus (todos los que probamos), no lo detecten, ya que no es un gusano que pueda propagarse masivamente a través del correo electrónico.
Solo es un troyano, que como bien dice Marcos Rico en su excelente
análisis, sus creadores consideran un R.A.T., o sea una Herramienta de Administración Remota por sus iniciales en inglés (nada más lejos de la verdad).
Esto significa que para ejecutarse en la máquina a la que infecta, debe ser ejecutado, o bien por el usuario de ésta (mediante engaños), o bien por el empleo de otro troyano, virus o exploit que premeditadamente lo ejecute.
Las dudas que muchos internautas me han hecho llegar (y que incluso he visto en prestigiosos foros sobre estos temas), es que antivirus como el Norton, KAV y Nod32 (entre otros) si saltan cuando intentamos abrir el paquete del troyano (descargable de su sitio), llamado
'lithium102.zip'. Confieso que cuando Marcos me mandó su artículo para ser publicado, cometí el mismo error, ya que otro colaborador había estado probando su detección.
Si leemos detenidamente el artículo de Marcos, esto se encuentra muy bien explicado. Pero mucho cuidado...
lo que NO detectan los AV a la fecha es el archivo creado por el paquete que todos parecen haber examinado, sin caer en cuenta que ese es solo el editor/creador del troyano.
Respecto a los antivirus, las primeras respuestas recibidas hasta el momento a mi casilla han sido las de
'Per Antivirus' y la de 'The Hacker', dos excelentes antivirus, curiosamente ambos de Perú, y que ya tienen sus productos actualizados.
En horas de la madrugada del domingo (5.30), el laboratorio de
Panda Antivirus me enviaba su actualización.
Dicho en otras palabras, si nos cuelan el servidor del troyano en nuestro PC
(Shell32.exe por defecto, un archivito de 20 Kb), ningún antivirus lo detectará (o al menos hasta las
8.30 horas de Uruguay de hoy domingo 21 de julio, solo quienes tengan
Per, The Hacker o Panda como antivirus están protegidos).
Suponemos que la mayoría de los otros antivirus no consideran a este troyano una amenaza y por lo tanto no tienen aún una respuesta.
De todos modos, además de las precauciones habituales (nada de ejecutar cosas que no pedimos, etc.), recomendamos como siempre un cortafuego como
ZoneAlarm, que identifica cualquier intento de un troyano como éste al intentar conectarse a Internet.
Cronología:
13.37 - Envío de la muestra
13.37 - Respuesta automática de Command Software
13.38 - Respuesta automática de McAfee AVERT
13.39 - Respuesta de Symantec
13.40 - Respuesta de AVERT McAfee (rechaza la muestra)
13.46 - Respuesta de Computer Associates
14.11 - Respuesta de Trend Micro
14.12 - Respuesta de Panda
16.35 - Primer antivirus que lo detecta: Per Antivirus
17.55 - Segundo antivirus que lo detecta: The Hacker
05.30 - Tercer antivirus que lo detecta: Panda
Referencias:
VSantivirus No. 743 - 20/jul/02
Lithium v1.02: Nueva versión aún indetectable
http://www.vsantivirus.com/mr-lithium102.htm
Per Antivirus
http://www.perantivirus.com/
The Hacker software antivirus
http://www.hacksoft.com.pe/
Panda Antivirus
http://www.pandasoftware.es/
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|