Controlado desde el
19/10/97 por NedStat
|
Palyh no debería haber supuesto ningún tipo de peligro
|
|
VSantivirus No. 1048 Año 7, Miércoles 21 de mayo de 2003
Palyh no debería haber supuesto ningún tipo de peligro
http://www.vsantivirus.com/fdc-palyh.htm
El virus Palyh no debería haber supuesto ningún tipo de peligro
Por Fernando de la Cuadra (*)
Fdelacuadra@pandasoftware.com
[Nota VSA: El virus Palyh, originalmente llamado W32/Palyh.A, es conocido también como
W32/Sobig.B, y así lo llaman numerosos antivirus. Panda le sigue dando su nombre anterior, y así figura en este artículo.]
Uno de los aspectos a los que no suele prestarse demasiada atención en los antivirus corporativos es la capacidad de filtrado de ficheros que suelen incorporar, y que, por otra parte, constituyen un elemento básico de los antivirus para servidores de correo electrónico. Un buen uso de estos sistemas pueden evitar una catástrofe en la seguridad de la información almacenada en la red.
Uno de los últimos códigos maliciosos aparecidos es el gusano Palyh, que se propaga a través de correo electrónico utilizando su propio motor SMTP. El objetivo de este virus, no es solamente la libreta de direcciones del ordenador infectado sino también las direcciones de correo que pueden estar contenidas en archivos con extensiones .TXT, .EML, .HTM*, .DBX, y .WAB. De esta manera, Palyh consigue una capacidad de propagación mayor que la de otros gusanos.
El mensaje de correo en el que Palyh llega al ordenador lleva adjunto un fichero con extensión .PIF que es el encargado de llevar a cabo la infección. La extensión PIF proviene de "Program Information File" (archivo de información de programas). El origen de estos archivos es la necesidad de establecer parámetros especiales de ejecución para algunos programas, tales como directorios especiales, variables de entorno, etc. Pero el peligro de este tipo de archivos es que puede estar (y en este virus de hecho lo está) enmascarando un peligro adicional. Esta técnica no es nueva, y ya ha sido empleada por más virus. Desde los peligrosos y veteranos Badtrans o MTX, el enmascaramiento de virus en ficheros PIF ha resultado muy efectiva.
Los antivirus, como ya hemos comentado en un principio, pueden evitar este tipo de infecciones simplemente filtrando determinadas extensiones en los mensajes de correo electrónico. O, por lo menos, analizándolas. De algunos estudios realizados por Panda Software se obtiene que cerca del 20% de las empresas no tienen activado el análisis de determinadas extensiones que pueden resultar peligrosas, como, tales como *.{*. Esta extensión corresponde a los códigos CLSID, los "identificadores de clase", Class ID. Desde estos códigos, que se almacenan en el registro de Windows, se pueden registrar componentes nuevos en el sistema, controles ActiveX, etc. Su peligro es evidente, ya que registrar un determinado elemento sin haberlo comprobado antes puede causar graves problemas de seguridad.
Ante esta situación, se debe establecer una política segura de filtrado de contenidos en la que no solamente se analicen o eliminen los elementos considerados tradicionalmente peligrosos (ficheros .EXE, .COM, .VBS, etc.), sino todos aquellos en los que se hayan detectado vulnerabilidades en los programas que ejecuten esos ficheros.
Para ayudar en esta tarea, Panda Software pone a disposición de los administradores de red interesados en la seguridad de los contenidos el documento "Estrategia de Filtrado de contenidos", en los que se detallan claramente los elementos que pueden representar un peligro para los equipos de la red y cómo poder filtrarlos. Puede ser descargado desde:
http://www.pandasoftware.es/descargas/documentos/whitepapers.asp
A pesar de que se pueda llegar a implantar una política de filtrados que pueda ser considerada óptima, el virus Palyh tiene otra característica que lo hace muy efectivo: la ingeniería social. Los usuarios abren confiados el fichero adjunto puesto que proviene, teóricamente, de una fuente tan fiable como "support@microsoft.com". Desde muchos ámbitos se ha hecho hincapié en no abrir correos electrónicos de fuentes poco fiables, ni de direcciones que no sean de nuestra confianza. Evidentemente una dirección acabada en "microsoft.com" es de plena confianza para cualquier usuario, pero siempre que esa dirección sea real.
No creo recordar desde hace mucho tiempo que Microsoft envíe correos electrónicos que no sean en texto plano, y mucho menos con ficheros adjuntos. Esto se debe a que el correo no lo envía Microsoft, sino que es una estrategia más del virus para engañar al usuario.
Tras una gran política de seguridad no deben esconderse puntos tan importantes como la formación de los usuarios. No hay firewall ni sistema de filtrado que no sea vulnerable ante técnicas de ingeniería social como la empleada por Palyh. Si de verdad queremos que la seguridad sea un hecho, todos los administradores de red deberán incluir en sus políticas de seguridad la formación de los usuarios. Ello eliminaría en gran medida los riesgos que nos acechan tras mensajes de correo aparentemente inocentes..
(*) Fernando de la Cuadra es Editor Técnico Internacional de Panda Software
(http://www.pandasoftware.com)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|