Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

¿Virus en boletín del Centro de Alerta Temprana?
 
VSantivirus No. 1304 Año 8, domingo 1 de febrero de 2004

¿Virus en boletín del Centro de Alerta Temprana?
http://www.vsantivirus.com/01-02-04b.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


Los suscriptores que reciben el informe intermedio del CATA, Centro de Alerta Temprana Antivirus, tal vez se sorprendieron al recibir el sábado 31 de enero, un mensaje de dicho centro, infectado con el gusano Sober.C.

El envío, fue hecho a través del propio servidor del Centro de Alerta Temprana, pero más allá de su remitente (cat@alertaantivirus.es), el resto era muy diferente al tradicional informe de dicha organización.

El texto del mensaje estaba en inglés, y contenía como adjunto, una copia del gusano Sober.C.

Estas son sus características (corresponden a las de una infección "normal" hecha por el Sober.C):

De: cat@alertaantivirus.es
Asunto: a trojan is on your computer
Datos adjuntos: remove-Isass-patch.exe

hi, I am from Austria and you'll don't believe me,
but a trojan horse in on your pc.
I've scanned the network-ports on the internet.
(I know, that's illegal) And I have found your pc.
Your pc is open on the internet for everybody!
Because the lsass.exe trojan is running on your
system. Check this, open the task manager and try
to stop that! You'll see, you can't stop this
trojan. When you use win98/me you can't see the
trojan!!

On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!

Sorry for my bad english!

greets

El Centro de Alerta Temprana es un servicio del Ministerio de Ciencia y Tecnología de España, y posee varias listas de correo. Según las propiedades del mensaje, el mismo fue distribuido por los caminos normales, por lo que se supone se trate de un error de configuración del sistema.

Normalmente, en una lista de correo, existe la posibilidad de escribir en ella además de leerla, o solo leerla (como nuestro propio boletín). Lo mismo ocurre con los informes de alerta del CATA, solo son de lectura.

Es probable que un error haya permitido que se filtrara este mensaje, posiblemente de algún suscriptor infectado.

Sin embargo, el Centro de Alerta Temprana publica en sus páginas, el siguiente aviso (http://www.alertaantivirus.es/):

AVISO DEL CENTRO

Sobre las 12:20h de ayer, sábado 30/01/04, se
detectó el envío de correos que suplantan la
identidad del Centro de Alerta Temprana Antivirus
"cat@alertaantivirus.es" a suscriptores de nuestro
informe intermedio en el que se incluye un fichero
adjunto que contiene el virus Sober.C
Si recibe un mail desde la dirección mencionada
incluyendo un adjunto, no abra el correo y proceda
a su eliminacion.

El Centro informa a todos sus suscriptores, que
sus listas de distribución de informes se encuentran
suficientemente protegidas y a salvo de posibles
atacantes que pudieran utilizarlas para el envío de
correos infectados o con virus en ficheros adjuntos.

En este sentido el CATA recuerda a sus suscriptores
que nunca envía ficheros adjuntos en sus informes,
y siempre en Español, nunca en otros idiomas. Esta
es la segunda ocasión, desde el pasado mes de
septiembre, en la que se intentan suplantaciones de
las direcciones de correo del Centro.

A pesar de lo que dice el comunicado, podemos decir que el mensaje realmente salió por la lista de distribución del CATA. Estas son las propiedades del mismo:

Return-Path: <informe-intermedio-owner@alertaantivirus.es>
Received: from smtp2.red.es (smtp2.red.es [194.69.254.22])
      by xxxxxxxxxxxxxx.xxx (8.12.8/8.12.8) with ESMTP id i0VBLPFk020966
      for <xxxxxxxxx@xxxxxxxxx.xxx>; Sat, 31 Jan 2004 08:21:27 -0300
Received: from pasteur.nucleo.cpd (pasteur.dmz.cpd [172.16.250.208])
      by smtp2.red.es (Postfix) with ESMTP
      id 602484BBB; Sat, 31 Jan 2004 14:21:46 +0100 (CET)
Received: by pasteur.nucleo.cpd (Postfix on SuSE Linux 8.0 (i386), from userid 502)
      id AE147D0B; Sat, 31 Jan 2004 12:15:21 +0100 (CET)
Delivered-To: informe-intermedio@alertaantivirus.es
Received: from smtp2.red.es (unknown [172.16.250.33])
      by pasteur.nucleo.cpd (Postfix on SuSE Linux 8.0 (i386)) with ESMTP
      id 409CA8D6; Sat, 31 Jan 2004 12:11:17 +0100 (CET)
Received: from ns1.nic.es (unknown [172.16.250.30])
      by smtp2.red.es (Postfix) with ESMTP
      id AA8314655; Sat, 31 Jan 2004 14:17:31 +0100 (CET)
Received: from S7T6G.es (213-0-146-
      78.dialup.nuria.telefonica-data.net [213.0.146.78])
      by ns1.nic.es (Sendmail on Linux RedHat 7.3 (i386)) with ESMTP
      id 0F69C1CCE; Sat, 31 Jan 2004 12:12:10 +0100 (CET)

From: cat@alertaantivirus.es
Subject: [virus Win32/Sober.C Gusano (Worm)] a trojan is on your computer!
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MSMail-Priority: Normal
Message-ID: <66442700624465.27492xsmail@alertaantivirus.es>
MIME-Version: 1.0
Content-Type: multipart/mixed; 
boundary="fe094554b9127e.bc76be2e4afef"
Date: Sat, 31 Jan 2004 12:12:10 +0100 (CET)
To: undisclosed-recipients: ;
X-Loop: informe-intermedio@alertaantivirus.es
X-Sequence: 294

Y estas son las de un mensaje enviado por el Centro en forma normal:

Return-Path: <informe-intermedio-owner@alertaantivirus.es>
Received: from smtp2.red.es (smtp2.red.es [194.69.254.22])
      by xxxxxxxxxxxxxx.xxx (8.12.8/8.12.8) with ESMTP id i0V9VrFk029729
      for <xxxxxxxxx@xxxxxxxxx.xxx>; Sat, 31 Jan 2004 06:31:54 -0300
Received: from pasteur.nucleo.cpd (pasteur.dmz.cpd [172.16.250.208])
      by smtp2.red.es (Postfix) with ESMTP
      id 4EE4249CE; Sat, 31 Jan 2004 12:34:54 +0100 (CET)
Received: by pasteur.nucleo.cpd (Postfix on SuSE Linux 8.0 (i386), from userid 502)
      id AE60BD0B; Sat, 31 Jan 2004 10:28:29 +0100 (CET)
Delivered-To: informe-intermedio@alertaantivirus.es
Received: by pasteur.nucleo.cpd (Postfix on SuSE Linux 8.0 (i386), from userid 30)
      id 29953D0B; Sat, 31 Jan 2004 10:24:36 +0100 (CET)
To: informe-intermedio@alertaantivirus.es
Subject: Informe Intermedio de Alerta-Antivirus (día 31/01/2004 a las 10:24)
MIME-Version: 1.0;
Content-type: multipart/alternative; 
boundary="abc12345efwp8grmsiikutyopre";
From: cat@alertaantivirus.es
Message-Id: <20040131092436.29953D0B@pasteur.nucleo.cpd>
Date: Sat, 31 Jan 2004 10:24:36 +0100 (CET)
X-Loop: informe-intermedio@alertaantivirus.es
X-Sequence: 293

Lo que indican estos datos, es que el mensaje fue distribuido por el CATA, aunque enviado desde una dirección diferente (desde una línea de usuario). Es importante aclarar que de ningún modo podría decirse con esto que la lista de usuarios sea vulnerable o haya quedado en manos de terceros, ya que como dice el Centro, la misma está lo suficientemente protegida. Pero un error de configuración pudo hacer que un mensaje enviado por un usuario haya sido distribuido como si se tratara de un mensaje normal.

De todos modos, debemos recordar que existen muchos gusanos que simulan ser enviados por remitentes falsos, que en realidad nada tienen que ver, y que ni siquiera deben estar infectados.

Lo que usted debe recordar, es que NUNCA debe abrir adjuntos de NADIE que no haya solicitado antes. Y mucho menos en un boletín de seguridad.

No es el caso del CATA, pero existen algunos boletines sobre estos temas que son enviados con formato (incluye gráficos adjuntos por ejemplo), o aún con archivos adjuntos (como documentos de Word). Esto es una PESIMA costumbre, más grave aún por el hecho de que son boletines donde se suele explicar al lector las mejores opciones para asegurar sus sistemas.

NUNCA abra adjuntos que no pidió.


Más información

Centro de Alerta Temprana Antivirus
http://www.alertaantivirus.es

Envío de un virus desde el Centro de Alerta Temprana Antivirus
http://www.hispasec.com/unaaldia/1924

W32/Sober.C. Muestra mensaje de "unknown error"
http://www.vsantivirus.com/sober-c.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS