Magistr.b. ¿Lo protege realmente su antivirus?

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 424 - Año 5 - Miércoles 5 de setiembre de 2001
Informe actualizado el 7 de setiembre de 2001

Magistr.b. ¿Lo protege realmente su antivirus?
Por José Luis López

Mientras algunas casas antivirus catalogan esta nueva versión del Magistr como de bajo riesgo o riesgo medio, sobre todo debido a los pocos reportes recibidos, debemos apuntar que a nuestras casillas de correo nos han llegado más muestras (enviadas para su examen por usuarios cautelosos) y mensajes infectados, que las de otros virus similares en las primeras 12 horas de su descubrimiento (medianoche del 4 de setiembre, Kaspersky Antivirus). En realidad, solo el SirCam superó esa cantidad en sus primeros días.

Para Kaspersky Antivirus, los primeros en reportarlo e identificarlo, este virus incluso podría ser en poco tiempo una seria competencia al SirCam.

Con estos datos, creímos interesante realizar un pequeño examen, para sacar algunas conclusiones.

Hasta el momento (medianoche del 5 de setiembre), hemos recibido 14 mensajes con archivos infectados.

Siete de esos mensajes nos fueron enviados por usuarios cautelosos que sospechaban de un supuesto virus, pero cuyos antivirus no habían detectado nada. Incluso al menos 2 de esas 7 personas, nos confesaron haber ejecutado el archivo, sin haber notado nada extraño, (por supuesto, esas personas se infectaron), y recién luego de esa acción decidieron consultarnos.

El consuelo es que al menos 5 de esas 7 personas hicieron lo correcto, primero que nada, NO EJECUTARLOS, y luego preguntar.

Además de ellos, recibimos 7 mensajes más de personas infectadas, o sea que fueron enviados a nuestras casillas de correo, sin saberlo sus remitentes, al estar infectadas sus computadoras.

Nos parece que 14 reportes directos de un virus recién detectado, es suficiente como para ponerlo en un nivel de advertencia alto. Sin embargo, no todos piensan lo mismo. Mire por ejemplo los resultados que obtuvimos de nuestras pruebas con diferentes antivirus.

En concreto utilizamos los siguientes productos, en todos los casos con las últimas actualizaciones:

Dr. Web
F-Prot para DOS
Inoculate
Kaspersky Antivirus (AVP)
Norton Antivirus
Panda Antivirus
Sophos
VirusScan de McAfee

De las 14 muestras recibidas, desde el primer momento la versión actualizada del Kaspersky Antivirus (AVP) las detectó a todas como I-Worm.Magistr.b (fue el único que a una de ellas la identificó diferente, en concreto lo hizo como I-Worm.Magistr.b.poly).

Norton Antivirus no detectó ninguna muestra hasta cerca de 24 horas después. Aún así, con su último update (0904I32.EXE y 0904I16.EXE), solo detectó 5 de las 14 muestras como W32.Magistr.39921@mm.

Actualización 7 de setiembre de 2001
Luego de una fallida actualización (0905Ixx.EXE) del 6 de setiembre que seguía detectando algunas muestras, no todas, recién con la actualización 0906Ixx.EXE (7/set/01), identifica correctamente todas las muestras.

Panda Antivirus no detectó ninguna muestra hasta casi 24 horas del primer reporte del virus. Pero con su pav0905.zip conteniendo su última base de datos (el PAV.SIG del 5/9/01), detectó las 14 muestras como W32/Magistr.B.

F-Prot para DOS con su SIGN-DEF del 3/9/01 y su SIGN2.DEF del 4/9/01 (últimos al momento de este artículo), no detectó ningún virus en ninguna de las muestras.

Actualización 7 de setiembre de 2001
La versión 3.10c con los SIGN.DEF y SIGN2.DEF del 6/set/01, detecta todas las versiones del virus.

Dr. Web con su último DRWTODAY.VDB, detectó las 14 muestras como Win32.Magistr.29188, 12 horas antes que otros antivirus, y 12 después que Kaspersky.

Inoculate, no detectó ninguna de las 14 muestras.

VirusScan de McAfee con su último DAT (4157 del día de hoy 5/9/01), no detectó ningún virus. Tampoco pudimos conseguir un EXTRA-DAT con la posible actualización para esta versión del Magistr. En su sitio, se advierte que el Magistr.b será incluido recién en su DAT-4158.

Actualización 7 de setiembre de 2001
Un EXTRA-DAT del 6 de setiembre (actualizado a su vez el 7 de setiembre), detecta todas las muestras del virus.

Sophos por su parte, tampoco detectó ninguna muestra del virus, no existiendo un IDE de este virus en su página, al momento de este artículo.

Actualización 7 de setiembre de 2001
El IDE del 5/set/01 detecta todas las variantes del virus. En el mismo día, se publicaron dos actualizaciones debido a un falso positivo dado por la primera actualización.

Algunos de los usuarios que nos consultaron, nos dicen haber actualizado sus antivirus. Al menos 5 de ellos aseguraron tener el AVP, y 2 de estas personas nos dijeron no haber detectado el virus, por lo que suponemos que no lo han actualizado correctamente, o simplemente no supieron como hacerlo.

Otros usuarios, con antivirus como McAfee por ejemplo, sin dudas están en problemas, si es que ejecutaron los archivos conteniendo el virus, pensando estar protegidos.

En conclusión, solo los usuarios de Dr. Web y de Kaspersky Antivirus, y los registrados de Panda, estuvieron protegidos 100% de este virus dentro de las primeras 24 horas desde el primer reporte (tomando en cuenta solo los productos testeados), el cuál ha sido catalogado como de riesgo medio o bajo. Sin embargo, hemos recibido una cantidad apreciable de ejemplos y de mensajes infectados, como para tener en cuenta un nivel más alto de alerta.

Si se supone que el virus (esta versión) está creada en España, podríamos pensar que existan muchos más usuarios infectados de habla hispana, que de países anglosajones.

Saque usted sus conclusiones, pero por supuesto, jamás abra adjuntos que no pidió, aunque crea tener al día su antivirus.

Ver también:
05/set/01 - A fondo: W32/Magistr.b, de la raza de las grandes plagas
10/set/01 - ZoneAlarm no es desactivado por el Magistr.B

(c) Video Soft - http://www.videosoft.net.uy