Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Un virus del 99 retorna por más víctimas
|
|
VSantivirus No. 916 - Año 7 - Jueves 9 de enero de 2003
Un virus del 99 retorna por más víctimas
http://www.vsantivirus.com/09-01-03.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
En junio de 1999, el gusano "ExploreZip", también conocido como "ZippedFiles", era reportado por primera vez en Israel, en un archivo adjunto llamado "zipped_files.exe", del cuál los laboratorios antivirus tomaron el nombre para bautizarlo.
"ExploreZip" era capaz de destruir los datos de una máquina infectada en cuestión de segundos, al mismo tiempo que se propagaba sigilosamente por todo Internet. No importó lo cercano que estaban los recuerdos de virus como el "Melissa" y el destructivo "CIH". Su propagación se convirtió pronto en una pesadilla, a pesar de que el usuario debía abrir el adjunto
para iniciar la propagación.
Además, el "ExplorerZip" tenía mucho que ver con ambos, porque mezclaba sus características más peligrosas: la propagación masiva a través del correo del "Melissa", y la destrucción de datos del "CIH".
Tal fue el caos a raíz de la gran cantidad de mensajes generados por el gusano, que empresas como General Electric debió cerrar su sistema de correo electrónico en un esfuerzo por aislar el virus de sus computadoras.
Microsoft, la NBC y otras empresas, reportaron miles de casos en pocas horas, mientras las perdidas económicas provocadas por el virus treparon a cifras millonarias en poco tiempo.
Tres años y medio después, el "ExploreZip" vuelve por más...
Según F-Secure, en esta primer semana del 2003, el ExploreZip retorna en una variante que el fabricante identifica como "E", mientras otros (cómo no), lo identifican hasta con la letra "M".
Del ExploreZip original surgieron en su momento otras versiones con la única diferencia de tener su ejecutable comprimido con algunas herramientas que muchos antivirus tenían dificultad de examinar.
Esta vez, la primera variante del 2003, está comprimida con la herramienta UPX, un compresor de ejecutables ampliamente utilizado, y que prácticamente todos los productos actualmente pueden examinar.
A pesar de ello, se ha propagado en pocas horas a cientos de usuarios en todo el mundo, a través del correo electrónico, mediante adjuntos infectados.
"ExplorerZip" utiliza la interface MAPI para conectarse al cliente de correo de la víctima, buscar mensajes no respondidos en la bandeja de entrada y responderlo él, pero con mensajes infectados. Esta técnica, es la que le permite tener más éxito en su propagación. Imagínese la situación. Usted envía un mensaje a algún conocido. Al poco tiempo esa persona parece responderle, pero en realidad es el gusano que lo ha hecho. Y la respuesta trae un adjunto relacionado. ¿Ud. lo abriría, aunque no lo haya solicitado?.
En esa simple pregunta se basa todo el esfuerzo que personas responsables deberán hacer, para evitar ser infectados.
Además, el gusano es capaz de propagarse a través de redes locales, por lo que una vez dentro de una empresa, puede causar estragos.
En concreto, puede destruir literalmente archivos con extensiones .DOC (Microsoft Word), .XLS (Microsoft Excel), .PPT (Microsoft PowerPoint), .ASM (fuentes en Assembler), .CPP (fuentes de C++), .C (fuentes de C) y .H (cabezales de C).
Y una vez en memoria, el propio gusano intentará contestar a todo nuevo mensaje que llegue.
La pregunta es... ¿Habremos aprendido la lección?...
Más información:
W32/ExploreZi-N. "Nueva" versión de destructivo gusano
http://www.vsantivirus.com/explorezi-n.htm
Virus: W32/ExploreZip.worm.pak (Neolite, MiniZip)
http://www.vsantivirus.com/zipped3.htm
I-Worm.ZippedFiles
http://www.vsantivirus.com/zipped.htm
I-Worm.ZippedFiles 2
http://www.vsantivirus.com/zipped2.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|