Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Los métodos más utilizados por los virus
 
VSantivirus No. 625 - Año 6 - Domingo 24 de marzo de 2002

Los métodos más utilizados por los virus
http://www.vsantivirus.com/sbam-metodos.htm

Por Ignacio M. Sbampato(*)
webmaster@virusattack.com.ar


Publicado originalmente en:
http://virusattack.xnetwork.com.ar/articulos/VerArticulo.php3?idarticulo=41


22/03/2002

Durante este último tiempo hemos visto como los virus informáticos, en todos sus tipos conocidos (gusanos, troyanos, backdoors, etc.), evolucionan para encontrar nuevas e ingeniosas formas de engañar e infectar usuarios. 

Una de las cosas más interesantes de los virus es, justamente, la capacidad de algunos de sus programadores de aprovechar nuevas tecnologías, funcionalidades o trucos para que sus virus sean originales y puedan realizar sus acciones de manera distinta a los anteriores.

A continuación, hablaremos sobre los métodos más utilizados, y los más novedosos de los últimos tiempos:

W32/Myparty

Este gusano de correo electrónico que deambuló por los primeros puestos de los rankings de virus más reportados en el mes de Enero y Febrero, utiliza un interesante método para hacer creer a los usuarios que el archivo adjunto al mensaje infectado es una dirección de un sitio de Internet. Para ello, quien creó el virus creo un mensaje haciendo referencia a las fotos de una fiesta y llamó al archivo con el nombre www.myparty.yahoo.com.

Dicho archivo no es una página de Internet ni un acceso directo, sino un archivo ejecutable con extensión .COM, que hace creer a un usuario inexperto que se trata de la URL de un sitio de Internet. La gran masividad que alcanzó este gusano, debido a este inteligente truco, llevó a Yahoo! a incluir en su sitio información sobre él cuando un usuario intenta acceder a la dirección www.myparty.yahoo.com.

W32/Magistr y sus versiones

Aunque fue descubierto en Marzo del año pasado, tanto su original como su descendiente, el W32/Magistr.b, aún son reportados por usuarios de todo el mundo, y esto se debe, en gran parte, a la forma en que se reproduce por correo electrónico. 

Para hacer esto, selecciona su asunto y texto de archivos .DOC o .TXT que se encuentren en la carpeta Mis Documentos del equipo infectado, y adjunta uno o varios archivos que selecciona aleatoriamente, y que modifica para que contengan el virus, pero mantengan el nombre original. 

De esta forma, al adjuntar información que ya existía en el equipo del usuario, la misma puede ser coherente para quien lo recibe, y éste puede ejecutar los adjuntos pensando que realmente le fueron enviados por su amigo, conocido, compañero de trabajo, etc. 

Por ejemplo, una persona de administración de la empresa Economic Data (www.edata.es), distribuidora de productos antivirus española, se infectó por este gusano, y el Magistr envió a todos sus contactos un mensaje cuyo asunto y texto contenía información de productos de esa compañía, lo que hizo creer a muchos de quienes lo recibieron que el mensaje realmente había sido enviado por dicha persona.

W32/Badtrans y versiones

El W32/Badtrans.b es la segunda versión de este virus, que aún se mantiene en los primeros puestos de los rankings, debido a su ingenioso método de reproducción. 

El gusano, al infectar un equipo, responde todos los mensajes que se encuentran en la Bandeja de Entrada del usuario, con una copia de si mismo. Esto hace que quien lo reciba, al ver que es una respuesta de un mensaje que envió, crea que realmente se lo mandó una persona, cuando en realidad lo hizo el propio W32/Badtrans.b.

Gusanos autoejecutables

Existen cientos de virus (si, cientos) que aprovechan vulnerabilidades en los navegadores de Internet y en los clientes de correo electrónico para ejecutarse cuando un usuario accede a una página web o abre un mensaje de email, sin necesidad de que éste abra archivo alguno.

Aunque los reportes de estos virus, como el W32/Badtrans.b, alcanzan cifras exorbitantes, no es porque sean inevitables, sino porque los usuarios no se acostumbran a actualizar sus productos. Contando con las últimas versiones de las aplicaciones que utilizamos, este tipo de virus y gusanos, nunca podrán afectarnos.

Recursos compartidos

Virus como el W32/Nimda, W32/Hai, Worm/Chode o el Worm/Fable, son todos gusanos que tienen una característica en común: son capaces de reproducirse a través de redes, o de Internet mismo, copiándose en aquellos equipos que tengan recursos compartidos.

Estos gusanos aprovechan que muchos usuarios comparten directorios, e incluso discos enteros, con permisos de acceso total, desconociendo que esto puede ser aprovechado en forma remota por un virus o usuario malicioso. De esta forma, se copian en los equipos desprotegidos, y sin el conocimiento de sus usuarios, los infectan.

La única forma de evitar esto es compartiendo los recursos con contraseña, o instalando un firewall personal que bloquee este tipo de accesos.

Ingeniería social

Muchos gusanos no utilizan ninguna nueva técnica para propagarse, sino que intentan engañar a las personas a fin de que éstas ejecuten el archivo adjunto. Logran esto utilizando algo que se llama Ingeniería social, y que fue discutido en el pasado en otro artículo de Virus Attack!.

Un claro ejemplo de esto, es el célebre virus ILOVEYOU o VBS/LoveLetter, que simulaba ser una carta de amor, y que gracias a ello, alcanzó uno de los índices más altos de propagación de toda la historia de los virus, en apenas pocos días. En una muestra algo más reciente, otro de los tantos gusanos que aprovechan esto es el W32/Psycho, que despierta la curiosidad del usuario, a través de un mensaje sobre la "droga virtual".

De alguna manera, siempre parece haber gente dispuesta para ver ese adjunto tan tentador, pero que al fin y al cabo, sólo es un gusano que puede causarle serios problemas. Los programadores de virus saben esto, y no tienen ningún remordimiento en seguir aprovechándolo.

Conclusiones

Como habrán podido notar, la mayoría de estos métodos son utilizados principalmente por los gusanos, una rama de los virus, que son capaces de reproducirse de equipo en equipo, y que normalmente no infectan otros archivos. 

El auge de Internet llevó a que este tipo de virus prevaleciera sobre otros, como los infectores de archivos o macrovirus, quienes estaban al tope de los rankings en el pasado, y una de las principales razones de esto es que los gusanos ofrecen todo un abanico de posibilidades de propagación, que aquellos virus no.

Los programadores de virus son ingeniosos, y por ello sus creaciones también lo son. Por esto los virus, gusanos y troyanos evolucionan rápidamente y encuentran nuevas formas de infectar sin ser detectados rápidamente.

La única defensa que tenemos contra esto somos nosotros mismos. Tomándonos en serio la seguridad informática es la única manera de que los virus, y sus nuevos trucos, no nos afecten.

Más información

HispaSec - Magistr sigue activo
http://www.hispasec.com/unaaldia.asp?id=921

Fe de erratas

28/03/2002 - En la versión original de este artículo se mencionó que la empresa F-Secure se vio infectada por el virus Magistr, lo cual es completamente falso. La empresa que, según HispaSec, sufrió un incidente con este virus fue Economic Data (www.edata.es), distribuidora mundial de productos antivirus. La empresa F-Secure nunca se ha visto afectada por un virus informático, según nuestro conocimiento.


(*)Ignacio M. Sbampato es el WebMaster y Responsable de Contenidos de Virus Attack! y es Redactor de Noticias relacionadas con virus informáticos y seguridad de DiarioRed.com


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS