|
VSantivirus No. 724 - Año 6 - Lunes 1 de julio de 2002
Los virus más reportados en VSAntivirus (junio 2002)
http://www.vsantivirus.com/virus-report-jun-02.htm
La historia se repite
El ranking de este mes lo continúa liderando el Klez.H, con un porcentaje exageradamente alto en comparación con quienes lo siguen en la lista de incidencias.
El segundo lugar lo ocupa nuevamente el Hybris, que prácticamente se ha mantenido en los primeros puestos desde su aparición en noviembre de 2000.
Y como una amenaza con claros síntomas de aumentar su presencia en el transcurso de los próximos días, se presenta ya en un tercer puesto, el Yaha.E (Lentin), que ha atacado una gran cantidad de computadoras, sobre todo en España, desde donde nos llega la casi mayoría de mensajes infectados por este gusano.
El 6 de julio, fecha crítica
Sin embargo, la observación más importante para este mes, es la advertencia de ejecución de una de las rutinas más destructivas de una de las variantes del Klez el próximo 6 de julio (en realidad provocada por el W32/Elkern, el virus que el Klez copia en un sistema infectado).
En dicha fecha, el virus es capaz de borrar todos los archivos de todas las unidades de disco locales y las compartidas en red.
El Klez (o el Elkern), posee una complicada rutina maliciosa, que realiza un chequeo constante de la fecha del sistema.
Si el mes actual es impar (1, 3, 5, etc.) y la fecha es igual a 6 (como el 6 de mayo), el gusano puede borrar todos los archivos con extensión TXT, HTM, HTML, WAB, DOC, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, y MP3, sobrescribiendo los mismos con datos al azar, haciendo imposible su recuperación.
Pero dentro de estas fechas, el 6 de enero y el 6 de julio precisamente, la capacidad de borrado es mucho más peligrosa e irreversible la mayoría de las veces. Hasta ahora no se ha ejecutado esta variante (el 6 de enero aún no se había propagado como lo está hoy). No todas las versiones del Klez poseen esta capacidad destructiva.
Teniendo en cuenta que aún hoy son frecuentes las consultas ante el borrado de archivos de uso muy frecuente como documentos de Word (.DOC), Excel (.XLS), música (.MP3), libretas de direcciones (.WAB), páginas Web (.HTM) y textos (.TXT) entre otros, la posibilidad de que la destrucción de todos los archivos del sistema sorprenda a un gran número de usuarios es importante.
Nuevamente debemos insistir en que la acción destructiva del Klez es muy crítica en redes corporativas o pequeñas empresas, ya que una sola computadora infectada, conectada en red a otras, puede acabar con el trabajo de cientos de horas.
En todos los casos, los archivos son irrecuperables, debido a que son sobrescritos por ceros o basura, sin ninguna referencia a la información anterior que permita su recuperación o reparación.
Cómo protegernos del Klez
La única protección efectiva para este gusano, es actualizar el Internet Explorer con el parche al que Microsoft se refiere en su boletín MS01-020 (o MS01-027) (ver referencias al pie de este artículo).
El gusano llega en un mensaje con formato, generalmente con un tamaño de 100 y pocos Kb, con texto y asunto seleccionados al azar, y un adjunto (no visible con el clásico clip), también variable. El remitente puede ser un usuario infectado, o puede figurar cualquier dirección conocida, usurpada por el virus, sin que el remitente esté infectado.
Valiéndose de una vulnerabilidad en las extensiones MIME, el Internet Explorer (quien ejecuta por defecto todos los mensajes con formatos HTML del Outlook, aunque esto pase desapercibido, debido a que no se abre una pantalla del IE), abre y ejecuta el archivo binario adjunto al correo, pensando se trata de uno de música por ejemplo. MIME (Multipurpose Internet Mail Extension) es un sistema que permite integrar dentro de un mensaje de correo electrónico archivos de imágenes, sonido, programas ejecutables, etc., específicos para determinadas aplicaciones o archivos multimedia. El error consiste en hacer pensar al IE que se trata de un sonido o una imagen y abrirlo sin comprobar. En ese caso, el archivo con el gusano (un EXE), se ejecuta sin advertencia alguna.
Son vulnerables usuarios con Internet Explorer 5.0x y 5.5 sin los parches mencionados.
También puede afectar a usuarios con otros navegadores, aunque en ese caso al abrir el adjunto con un doble clic.
El gusano opera independientemente del cliente del correo, usando sus propias rutinas de SMTP para extenderse, de modo que también son afectados los usuarios que no usen Outlook u Outlook Express (aunque se requiere abrir el adjunto).
Cómo limpiar un sistema infectado
Tanto para limpiar un sistema infectado, como para asegurarnos de que el virus no esté en nuestro sistema, siga las instrucciones del siguiente artículo:
VSantivirus No. 654 - 22/abr/02
Guía rápida para limpiar un sistema infectado con el Klez
http://www.vsantivirus.com/faq-klez.htm
El ranking de junio de 2002
Estos son los datos obtenidos por VSAntivirus en el período comprendido entre el 1 y el 30 de junio de 2002.
Total de mensajes monitoreados: 7.987
Total de virus reportados: 3.526
W32/Klez.H ................ 2197
I-Worm.Hybris.b ........... 502
W32/Klez.E ................ 387
W32/Yaha.E ................ 155
W32/SirCam.A .............. 102
W32/Magistr.B ............. 60
W32/Magistr.A ............. 50
W32/Sircam.C .............. 36
W32/Badtrans.B ............ 14
VBS/Haptime.B ............. 6
W32/Yaha.C ................ 5
JS/Fortnight.A ............ 3
W32/Gibe .................. 3
Otros ..................... 6
Cómo obtenemos estas estadísticas
Los datos de incidencia de virus reportados por Video Soft, son capturados en una red de monitoreo que incluye desde casos reportados directamente en nuestro servicio técnico, hasta mensajes con muestras enviadas para su evaluación a nuestra dirección especialmente creada para ello
(virus@videosoft.net.uy), además de los mensajes infectados llegados a nuestros buzones de correo electrónico.
Se incluyen además de nuestras direcciones conocidas, un sistema de monitoreo permanente implementado por Video Soft desde setiembre de 2001, consistente a la fecha en más de 100 casillas de correo testigo, con varios dominios, que reciben mensajes de varias listas de correo, páginas de ofertas, y simple correo basura. Estas cuentas son filtradas y solo se tiene en cuenta la existencia o no de código vírico o potencialmente peligroso.
Puede obtener más información de los virus aquí reportados en nuestro sitio, utilizando el buscador incorporado.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|