|
VSantivirus No. 315 - Año 5 - Sábado 19 de mayo de 2001
Las más peligrosas alimañas informáticas: los virus manuales
por Ignacio M. Sbampato(*) - 17 de Mayo de 2001
Desde hace tiempo viene circulando por internet un mensaje de broma en el que se habla del "primer virus gallego" cuyo contenido es el siguiente:
---[Comienzo del Hoax]---
Soy el primer virus gallego.
Como los Gallegos no tenemos experiencia en programación, este virus trabaja basado en un sistema de HONOR.
Por favor: Borre todos los archivos de su disco duro manualmente y envíe este mensaje a todos los miembros de su lista de correo.
Gracias por su cooperación.
Manolo.
---[Final del Hoax]---
Como pueden ver se trata de una excelente broma, que aquellos que no somos de Galicia disfrutamos mucho, y que introduce el concepto humorístico de un virus "manual".
Pero esto, que parecía algo imposible que sucediera, se hizo realidad gracias a la aparición del virus al que hacíamos referencia en la introducción de este artículo: el
W32/Magistr.
Este prolífico virus tiene una característica muy especial que logra confundir a los usuarios: envía por correo electrónico mensajes tomados de textos del equipo infectado con uno o más archivos adjuntos infectados que también son tomados tal cual del sistema.
Es por ello que es posible recibir, en un mensaje enviado por él, archivos como
SULFNBK.EXE, CFGWIZ32.EXE o MSOOBE.EXE, todos propios de Windows en la mayoría de sus versiones.
El MSOOBE.EXE es un programa propio de Windows que permite restaurar el componente "MSN, The Microsoft Network", y está presente, al menos, en las versiones 9x y Millenium de este sistema operativo.
Por su parte, el archivo CFGWIZ32.EXE es un componente del MSDUN (Microsoft Dial-Up Network) y permite configurar conexiones ISDN.
Y, como hemos desarrollado en un artículo hace unas semanas, el programa
SULFNBK.EXE, por defecto en Windows 98, permite restaurar los nombres de los accesos directos del Menú Inicio si los mismos se ven, por ejemplo, como Acceso~1 en lugar de Accesorios.
Gracias a que el Magistr parece tener cierta simpatía por estos 3 programas y los envía infectados como archivos adjuntos, como también lo hace con muchos otros, a mensajes de correo electrónico, muchos usuarios comenzaron a creer que los mismos eran virus, se encontrara el Magistr en sus sistemas o no.
Intencionalmente o no, comenzaron a circular por internet alertas del tipo:
---[Comienzo del Hoax]---
¡AVISO URGENTE!
Un virus está llegando a través de los mails de modo oculto. Gracias a un aviso pude detectarlo (lo tenía sin saberlo) y eliminarlo. No lo detecta ninguno de los antivirus actuales!!!!! Por las dudas fíjense.
Buscarlo del siguiente modo:
1) Ir a Inicio (Start)
2) Luego: Buscar (Find)
3) Archivo o carpeta (folder)
4) Tipear el archivo: sulfnbk.exe
5) Eliminar (NO ABRIRLO) (delete)
6) Eliminar de la papelera de reciclaje. (empty recycle bin)
---[Final del Hoax]---
A simple vista, para cualquier persona que no tenga conocimiento del accionar del Magistr, este mensaje es similar a las decenas de alertas de virus falsos
(hoaxes) que los usuarios reciben y reenvían diariamente. Pero, lo peligroso de esto es que, mucho de estos usuarios que reciben este alerta, buscan el archivo en su sistema y lo eliminan sin saber si el mismo es importante o no, si se trata realmente de un virus, o si el mensaje es tan sólo una broma. Lo que puede llamarse, definitivamente, un virus manual: un simple mensaje de texto que no puede realizar ninguna acción por sí sólo pero que hace que los usuarios sean quienes lleven a cabo la acción dañina para su ordenador ¡ellos mismos! Esto es un claro ejemplo de un buen trabajo de Ingeniería Social, un término sobre el cual Pablo M. Caruana, colaborador de Virus Attack!, nos daba ciertas nociones en su reciente artículo:
http://members.es.tripod.de/virusattack/articulos/caruana-ingsocial.htm
¿Qué pasaría si circulara un mensaje que dijera que el EXPLORER.EXE es un virus e incitara a que los usuarios lo eliminen? Para aquellos que no lo saben, este archivo es
*VITAL* para el sistema operativo y sin él, Windows no podrá arrancar. Un mensaje bien redactado, en el que se detallaran los pasos para borrarlo, causaría cientos (o quizás miles) de equipos sin poder funcionar correctamente.
Hemos recibido decenas de mensajes de usuarios que nos consultan sobre la veracidad o no de estos mensajes, y muchos de ellos lo hacen luego de haber eliminado el archivo. Y lo eliminaron tan sólo "porque lo decía en el correo electrónico que recibí". Sinceramente, por más vuelta analítica que uno quiera buscarle a esto, la única conclusión a la que llego puede reducirse en una sola palabra: ¡INCREIBLE!.
Lo que en realidad deberían hacer es chequear su sistema con un antivirus actualizado, sea local o aquellas soluciones on-line que proveen varios desarrolladores de antivirus para confirmar si el mismo se trata de un virus o no y en caso de que el archivo se encontrara realmente infectado, utilizar el antivirus para desinfectar el sistema.
Y si el antivirus no detecta nada y siguen teniendo alguna duda, lo mejor que pueden hacer es consultar la veracidad del mensaje en algún sitio como Virus Attack! o VSAntivirus antes de eliminarlo directamente sin siquiera la veracidad de la fuente que envía el mensaje. Porque aunque lo reciban de un amigo, éste lo recibió de otro, y aquel de otro más, y nunca se sabe quién envió el primer eslabón de esta cadena de mensajes sobre un virus falso.
Teníamos los virus, luego los troyanos, gusanos y backdoor, más tarde aparecieron los macrovirus, y ahora, por fin, tenemos una nueva especie:
LOS VIRUS MANUALES, aquellos en los que el usuario lleva a cabo todo el trabajo.
Más información
Un nuevo hoax confunde a los usuarios
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=48
VSantivirus No. 299 - Año 5 - Jueves 3 de mayo de 2001
SULFNBK.EXE no es un virus
http://www.vsantivirus.com/sulfnbk.htm
VSantivirus No. 323 - Año 5 - Domingo 27 de mayo de 2001
SULFNBK.EXE: LA VERDAD (o como matar mosquitos a cañonazos)
http://www.vsantivirus.com/27-05-01.htm
VSantivirus No. 547 - 6/ene/02
SulfNBK, el HOAX que vuelve al ataque
Acerca del CFGWIZ32.EXE
http://support.microsoft.com/support/kb/articles/q194/4/77.asp?FR=0
Acerca del MSOOBE.EXE
http://support.microsoft.com/support/kb/articles/Q229/2/34.asp
Descripción del virus W32/Magistr
En Virus Attack!:
http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=235
En Video Soft:
VSantivirus No. 250 - Año 5 - Jueves 15 de marzo de 2001
Virus: W32/Magistr@MM. Gusano y virus, en formato .EXE
http://www.vsantivirus.com/magistr.htm
VSantivirus No. 273 - Año 5 - Sábado 7 de abril de 2001
La cuenta final: el virus "Magistr" acecha en las sombras
http://www.vsantivirus.com/07-04-01.htm
(*) Ignacio M. Sbampato es el WebMaster y Responsable de Contenidos de Virus Attack! y es Redactor de Noticias relacionadas con virus informáticos y seguridad de LasNoticias.Org
Virus Attack! © 1999-2000. Ignacio M. Sbampato. Todos los derechos reservados -
http://www.virusattack.com.ar
Ver también:
03/may/01 - Hoax: Virus en archivo SULFNBK.EXE
27/may/01 - SULFNBK.EXE: LA VERDAD (o como matar mosquitos a cañonazos)
15/mar/01 - W32/Magistr@MM. Sofisticado y destructivo
07/abr/01 - La cuenta final: el virus "Magistr" acecha en las sombras
05/may/01 - "Magistr", sofisticado enemigo que avanza a nivel mundial
|
|