Los virus más reportados en VSAntivirus (mayo 2003)

VSantivirus No. 1060 Año 7, Lunes 2 de junio de 2003

Los virus más reportados en VSAntivirus (mayo 2003)
http://www.vsantivirus.com/virus-report-may-03.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy

Ya no resulta novedad encontrarse con el Klez encabezando nuestras estadísticas. Y tal vez pecamos de inocentes sorprendernos por ver en las mismas a gusanos como el Sobig.B. Identificado al principio como Palyh (o Mankx), dependiendo del fabricante de antivirus, se trata de un gusano que se propaga simulando ser un mensaje auténtico enviado por Microsoft (support@microsoft.com).

Y una vez más debemos afirmar algo que debería ser evidente. Ni Microsoft ni ninguna empresa responsable, enviaría adjuntos no solicitados a nadie. Y aún más, hoy día cualquier mensaje con adjunto que no haya sido solicitado, VENGA DE QUIEN VENGA, debería ser borrado inmediatamente.

Curiosamente, esta segunda variante del Sobig (por cierto, la primera también figura en las estadísticas), venía con fecha de vencimiento. Según su código, no se propagaría más allá del 31 de mayo, porque así lo decidió su autor.

Sin embargo, ya tiene relevo. En las últimas horas del sábado 31, empezó a circular otra variante conocida como Sobig.C. Según los primeros informes, su remitente parecía ser siempre el mismo (como en los casos anteriores). Sin embargo su rutina ha evolucionado con respecto a la versión B, y detrás de un código sumamente encriptado, todavía esconde varias sorpresas. Una de ellas, es que puede propagarse tomando varias direcciones (todas falsas) como remitente, a pesar de que las descripciones de algunos fabricantes aún no lo mencionan.

La otra, es que también figura en su código una fecha, en este caso 8 de junio. Aunque la mayoría de los laboratorios antivirus que han examinado el código, afirman que esta fecha sería de vencimiento, al menos uno dice lo contrario, o sea que a partir de esa fecha podría activar su rutina de propagación vía recursos compartidos en redes. Seguramente la confusión se debe a lo apresurado por sacar las primeras descripciones y actualizaciones, y a que el código del gusano, como ya dijimos, está altamente encriptado, dificultando su correcto análisis dentro de todos los escenarios y condiciones posibles.

De todos modos es curioso que el autor fije fechas de vencimiento. Seguramente lo hace para experimentar nuevas técnicas, y ésta estrategia le permita usar el "mundo real" como conejillo de India. Lo de las fechas podría permitirle que sus diferentes creaciones no se "pisen" en el tiempo. Cómo sea, hasta el momento de cerrar nuestra estadística (el sábado 31), ya teníamos como 6 ejemplos del virus (en poco más de 6 a 8 horas del primer reporte). Fuera de ese periodo, nuestra red de monitoreo ya ha recibido algunos más, por lo que seguramente esta versión del gusano, también tendrá su "cuarto de hora".

Más allá de ello, el resto de las estadísticas no muestran otras sorpresas. Incluso sigue por allí el Hybris. Sin dudas, la más sencilla de las trampas (un enano "con algo especial"), tiene más éxito que sofisticadas técnicas de propagación.

Hasta el próximo mes...

El ranking de mayo de 2003

Estos son los datos obtenidos por VSAntivirus en el período comprendido entre el 1 y el 31 de mayo de 2003.

  Total de mensajes monitoreados:  4.158
  Total de virus reportados:       2.537

       W32/Klez.H ................ 1002
       W32/Sobig.B (Palyh.A) ..... 452
       W32/Lovgate.H ............. 257
       W32/Yaha.E ................ 152
       W32/Fizzer.A .............. 101
       W32/Bugbear.A (Tanatos) ... 87
       W32/Sobig.A ............... 86
       W32/Elkern.C .............. 73
       W32/Sobig.A ............... 51
       W32/Magistr.B ............. 41
       W32/SirCam.A .............. 39
       W32/Lovgate.J ............. 38
       W32/Funlove.4099 .......... 29
       W32/Hybris.B .............. 21
       W32/Avril.B ............... 18
       W32/Yaha.K ................ 15
       W32/Avron ................. 14
       W95/Spaces.1445 ........... 11
       W32/Lovgate.C ............. 9
       W32/Avril.C ............... 8
       W32/Brid.A ................ 6
       W32/Sobig.C ............... 6
       W32/Gibe.B ................ 5
       W32/Winevar.A ............. 5
       JS/Fortnight.C ............ 4
       W32/Klez.C ................ 4
       W32/Duni (Kitro) .......... 2
       W95/CIH ................... 1

Cómo obtenemos estas estadísticas

Los datos de incidencia de virus reportados por Video Soft, son capturados en una red de monitoreo que incluye desde casos reportados directamente en nuestro servicio técnico, hasta mensajes con muestras enviadas para su evaluación a nuestra dirección especialmente creada para ello (virus@videosoft.net.uy), además de los mensajes infectados llegados a nuestros buzones de correo electrónico.

Se incluyen además de nuestras direcciones conocidas, un sistema de monitoreo permanente implementado por Video Soft desde setiembre de 2001, consistente a la fecha en más de 100 casillas de correo testigo, con varios dominios, que reciben mensajes de varias listas de correo, páginas de ofertas, y simple correo basura. Estas cuentas son filtradas y solo se tiene en cuenta la existencia o no de código vírico o potencialmente peligroso.

Puede obtener más información de los virus aquí reportados en nuestro sitio, utilizando el buscador incorporado.