[hackmeeting] Fw: I.Worm.Magistr
|X-Tasy|
xmayoral en worldonline.es
Vie Nov 2 18:21:02 CET 2001
He recibido esto hace unos dias. Espero que a alguien le sirva.
----- Original Message -----
From: Luisito
To: Me
Sent: Wednesday, October 31, 2001 7:29 PM
Las más peligrosas alimañas informáticas: los virus manuales
por Ignacio M. Sbampato(*) - 17 de Mayo del 2001
Desde hace tiempo viene circulando por internet un mensaje de broma en el que se habla del "primer virus gallego" cuyo contenido es el siguiente:
"Soy el primer virus gallego.
Como los Gallegos no tenemos experiencia en programación, este virus
trabaja basado en un sistema de HONOR.
Por favor: Borre todos los archivos de su disco duro manualmente y envíe
este mensaje a todos los miembros de su lista de correo.
Gracias por su cooperación.
Manolo."
Como pueden ver se trata de una excelente broma, que aquellos que no somos de Galicia disfrutamos mucho, y que introduce el concepto humorístico de un virus "manual".
Pero esto, que parecía algo imposible que sucediera, se hizo realidad gracias a la aparición del virus al que haciamos referencia en la introducción de este artículo: el W32/Magistr.
Este prolífico virus tiene una característica muy especial que logra confundir a los usuarios: envia por correo electrónico mensajes tomados de textos del equipo infectado con uno o más archivos adjuntos infectados que también son tomados tal cual del sistema.
Es por ello que es posible recibir, en un mensaje enviado por él, archivos como SULFNBK.EXE, CFGWIZ32.EXE o MSOOBE.EXE, todos propios de Windows en la mayoría de sus versiones.
El MSOOBE.EXE es un programa propio de Windows que permite restaurar el componente "MSN, The Microsoft Network", y está presente, al menos, en las versiones 9x y Millenium de este sistema operativo.
Por su parte, el archivo CFGWIZ32.EXE es un componente del MSDUN (Microsoft Dial-Up Network) y permite configurar conexiones ISDN.
Y, como hemos desarrollado en un artículo hace unas semanas, el programa SULFNBK.EXE, por defecto en Windows 98, permite restaurar los nombres de los accesos directos del Menú Inicio si los mismos se ven, por ejemplo, como Acceso~1 en lugar de Accesorios.
Gracias a que el Magistr parece tener cierta simpatía por estos 3 programas y los envía infectados como archivos adjuntos, como también lo hace con muchos otros, a mensajes de correo electrónico, muchos usuarios comenzaron a creer que los mismos eran virus, se encontrara el Magistr en sus sistemas o no.
Intencionalmente o no, comenzaron a circular por internet alertas del tipo:
"¡AVISO URGENTE!
Un virus está llegando a través de los mails de modo oculto. Gracias a un aviso pude detectarlo (lo tenía sin saberlo) y eliminarlo. No lo detecta ninguno de los antivirus actuales!!!!! Por las dudas fíjense.
Buscarlo del siguiente modo:
1) Ir a Inicio (Start)
2) Luego: Buscar (Find)
3) Archivo o carpeta (folder)
4) Tipear el archivo: sulfnbk.exe
5) Eliminar (NO ABRIRLO) (delete)
6) Eliminar de la papelera de reciclaje. (empty recycle bin)"
A simple vista, para cualquier persona que no tenga conocimiento del accionar del Magistr, este mensaje es similar a las decenas de alertas de virus falsos (hoaxes) que los usuarios reciben y reenvian diariamente. Pero, lo peligroso de esto es que, mucho de estos usuarios que reciben este alerta, buscan el archivo en su sistema y lo eliminan sin saber si el mismo es importante o no, si se trata realmente de un virus, o si el mensaje es tan sólo una broma. Lo que puede llamarse, definitivamente, un virus manual: un simple mensaje de texto que no puede realizar ninguna acción por sí sólo pero que hace que los usuarios sean quienes lleven a cabo la acción dañina para su ordenador ¡ellos mismos! Esto es un claro ejemplo de un buen trabajo de Ingeniería Social, un término sobre el cual Pablo M. Caruana, colaborador de Virus Attack!, nos daba ciertas nociones en su reciente artículo.
¿Qué pasaría si circulara un mensaje que dijera que el EXPLORER.EXE es un virus e incitara a que los usuarios lo eliminen? Para aquellos que no lo saben, este archivo es *VITAL* para el sistema operativo y sin él, Windows no podrá arrancar. Un mensaje bien redactado, en el que se detallaran los pasos para borrarlo, causaría cientos (o quizás miles) de equipos sin poder funcionar correctamente.
Hemos recibido decenas de mensajes de usuarios que nos consultan sobre la veracidad o no de estos mensajes, y muchos de ellos lo hacen luego de haber eliminado el archivo. Y lo eliminaron tan sólo "porque lo decía en el correo electrónico que recibí". Sinceramente, por más vuelta analítica que uno quiera buscarle a esto, la única conclusión a la que llego puede reducirse en una sola palabra: ¡INCREIBLE!.
Lo que en realidad deberían hacer es chequear su sistema con un antivirus actualizado, sea local o aquellas soluciones online que proveen varios desarrolladores de antivirus para confirmar si el mismo se trata de un virus o no y en caso de que el archivo se encontrara realmente infectado, utilizar el antivirus para desinfectar el sistema.
Y si el antivirus no detecta nada y siguen teniendo alguna duda, lo mejor que pueden hacer es consultar la veracidad del mensaje en algún sitio como Virus Attack! o VSAntivirus antes de eliminarlo directamente sin siquiera la veracidad de la fuente que envia el mensaje. Porque aunque lo reciban de un amigo, éste lo recibió de otro, y aquel de otro más, y nunca se sabe quién envió el primer eslabón de esta cadena de mensajes sobre un virus falso.
Teníamos los virus, luego los troyanos, gusanos y backdoor, más tarde aparecieron los macrovirus, y ahora, por fin, tenemos una nueva especie: LOS VIRUS MANUALES, aquellos en los que el usuario lleva a cabo todo el trabajo.
Más información
Un nuevo hoax confunde a los usuarios
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=48
Acerca del CFGWIZ32.EXE
http://support.microsoft.com/support/kb/articles/q194/4/77.asp?FR=0
Acerca del MSOOBE.EXE
http://support.microsoft.com/support/kb/articles/Q229/2/34.asp
Descripción del W32/Magistr
http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=235
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.sindominio.net/mailman/private/hackmeeting/attachments/20011102/20e53015/attachment-0001.htm
Más información sobre la lista de distribución HackMeeting