Mapson, un gusano con poco futuro

Mapson, un gusano con poco futuro
	VSantivirus No. 1067 Año 7, Lunes 9 de junio de 2003 Mapson, un gusano con poco futuro http://www.vsantivirus.com/ims-mapson.htm Por Ignacio M. Sbampato() webmaster@virusattack.com.ar Parece estar convirtiéndose en costumbre que los virus de mayor propagación comiencen a ser detectados los sábados, como sucedió ayer con el nuevo gusano W32/Mapson (antes llamado W32/Lorra o W32/Renalo). A mediados del día de ayer comenzamos a recibir varios reportes de éste por lo que tras hacer un análisis rápido de los ejemplos recibidos, enviamos un alerta preventiva a nuestro boletín de noticias. Uno de los principales ganchos de este gusano que se reproduce por correo electrónico y redes de aplicaciones de intercambio de archivos P2P son los múltiples mensajes en los que puede llegar a variar, todos ellos en Español. Esto provocó que inicialmente se reprodujera rápidamente en Latinoamérica y, en menor proporción, España. Algunos de estos mensajes hacen referencia a importantes sitios de seguridad informática, como HispaSec y VSAntivirus.com, simulando provenir de ellos, lo que pudo engañar a gran número de usuarios. Además, otros mensajes mencionan temas como programas de televisión, estrellas de la música y alertas sobre nuevos virus, distintos trucos de ingeniería social para lograr que el usuario ejecute el archivo adjunto. Funcionalmente, tras un análisis más exhaustivo, el gusano no tiene funcionalidades fuera de lo común. Para reproducirse por correo electrónico recolecta todas las direcciones de los contactos del MSN Messenger del usuario infectado y se envía a ellos en un mensaje simple de correo, sin ninguna técnica para ejecutarse automáticamente. De esta manera, todos los mensajes infectados tienen como objetivo llegar a direcciones de correo electrónico de Hotmail, y también provienen de éstas, pero no siempre de la del usuario infectado. El gusano se envía desde y hacia cualquiera de las direcciones recolectadas, provocando cierta confusión sobre si quien aparece como remitente es realmente quien está infectado. Pero esta funcionalidad es con la que el gusano ha firmado su propia sentencia de muerte. Al utilizar exclusivamente el servicio de correo electrónico de Hotmail para enviarse, ni bien el antivirus que se utiliza en él (McAfee VirusScan) sea actualizado, el gusano será detectado en todos los mensajes que genere, y los usuarios serán advertidos, cuenten, o no, con un antivirus en sus equipos. Lamentablemente, pese que durante la tarde de hoy Network Associates, responsable del producto, publicó una descripción del gusano (uno de los pocos fabricantes antivirus importantes que lo hizo) y ya existen actualizaciones para detectarlo, el servicio de Hotmail sigue sin contar con las últimas definiciones del antivirus y, por lo tanto, no reconoce el virus en los mensajes infectados que reciben sus usuarios. Charlando sobre el tema con José Luis López, experto uruguayo y responsable máximo del sitio VSAntivirus.com, nos hizo recordar que esto no es nuevo, y es ya una costumbre que el antivirus de Hotmail no sea actualizado rápidamente en algunos casos. Pero, ni bien lo haga, el gusano ya no podrá reproducirse por correo electrónico y las pocas copias que sigan en la calle lo estarán en los equipos infectados que utilicen aplicaciones de intercambio de archivos. Un tema curioso respecto de este gusano ha sido la lentitud con la que algunas casas antivirus han reaccionado. No puede decirse que la razón sea que el gusano haya aparecido durante el sábado dado que con el Sobig.B, Sobig.C y Fizzer los antivirus reaccionaron rápido, por lo que si debemos buscar un motivo en este retraso prolongado en las actualizaciones debemos buscarlo en el hecho de que los textos que el gusano utiliza estén en español y no en inglés. Las casas antivirus que más rápido reaccionaron fueron PER Antivirus y HackSoft (ambos de Perú), y Symantec (responsables del Norton Antivirus). Recién unas 8 horas después del segundo reporte que realizamos, notificando que el gusano se encontraba activo y siendo bastante reportado, otras casas como Kaspersky Labs., Network Associates (McAfee) y Panda Software, y un poco después, NOD32, cuya versión 2.0 Beta 5 lo detectaba heurísticamente en su módulo IMON desde el principio. El hecho de que los principales antivirus no sean de origen hispano o latinoamericano (salvo el caso de Panda Software) y que sus laboratorios antivirus sean principalmente manejados en Estados Unidos, Europa o Asia, provoca que cuando la amenaza recae solamente en el mundo hispanohablante, como en este caso, la respuesta sea más lenta. En un mundo tan globalizado como el actual, sobre todo en lo que a la informática se refiere, donde productos antivirus de Japón son usados hasta en Guatemala, es importante que los productos de seguridad respondan rápidamente tanto en epidemias de origen europeo como en las de origen latinoamericano, porque el hecho de que no afecte a Europa o Estados Unidos no implica que sea menos peligroso. Quizás, para los responsables comerciales de algunas casas antivirus el mercado latinoamericano sea chico y menos importante y por ello sucedan este tipo de cosas, donde todavía existen varios antivirus, algunos muy importantes, que no detectan este gusano, el cual aún sigue siendo reportado. Esto nos hace pensar si es bueno contar con un producto extranjero o mejor sería utilizar alguno cuya localización sea lo más cercana a nuestro hogar o empresa. Pasadas más de 24 horas desde su aparición, empresas de renombre como Sophos (con laboratorios en Estados Unidos y Gran Bretaña), Trend Micro (responsable del PC-Cillin y con laboratorios en Filipinas y Estados Unidos) o Computer Associates (desarrollador del eTrust InoculateIT y con principal presencia en Estados Unidos) aún no detectan el gusano. Extraño es el caso de Trend Micro, compañía con importante presencia en Latinoamérica que aún no tiene una forma de detectar el W32/Mapson. Lo mismo sucede con el BitDefender (ex AVX), de origen rumano, y con el AVG, gratuito y de mucho uso, de origen checo, pero puede justificarse con que no cuentan con un amplio mercado en los países de habla hispana. Curioso es el caso de AVAST! 4, también de la República Checa, que ya detecta el gusano, antes que otras empresas con presencia mundial. Obviamente que allí poco español es el que se habla pero su respuesta ha sido óptima. Volviendo al gusano en sí, y dejando planteado que las compañías antivirus deberían tratar cada amenaza por igual, como decíamos al principio, tiene los días contados, pero esto no implica que no debamos tener mayor precaución con aquello que recibimos por correo electrónico. Adjuntos no solicitados, aunque provengan de una fuente confiable, no deben ser nunca ejecutados sin antes corroborar que nos lo haya enviado quien dice ser el remitente y haberlo analizado con uno o dos antivirus actualizados. En esta oportunidad, el gusano no parece ser malicioso, pero ¿qué hubiera pasado si hubiera tenido rutinas para dañar seriamente los equipos infectados? Hay que estar siempre alerta, porque la única línea de defensa en la que podemos confiar 100% somos nosotros, y si fallamos, puede que no tengamos otra forma de proteger nuestra información cuando la necesitemos. Más información* Virus Attack! - Alerta: Nuevo gusano en la calle http://virusattack.virusattack.com.ar/noticias/VerNoticia.php3?idnotas=352 VSAntivirus.com – Hotmail vulnerable a los virus http://www.vsantivirus.com/30-01-01a.htm (*)Ignacio M. Sbampato es el WebMaster y Responsable de Contenidos de Virus Attack! y es Redactor de Noticias relacionadas con virus informáticos y seguridad de DiarioRed.com (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com