Afortunadamente ha pasado un buen tiempo sin que ocurra ningún virus nuevo de importancia. Hasta la fecha los virus mas activos son nuestros ya viejos conocidos. Hibris, Magister, y Sircam, con Nimda tratando de entrar.

Afortunadamente la amenaza pasada de que Sircam activaría una carga destructiva, no se materializo, pues el virus tenia un error en la rutina destructiva. Aun así, sigue entre los virus activos mas difundidos.

Entre las amenazas nuevas esta una nueva falla descubierta en Office. Normalmente Office debe avisar si existe un macro antes de ejecutarlo y en Office 2000 si se pone el nivel de seguridad en Máximo o alto (lo mas recomendable), los macros no registrados son desactivados. Esto es muy importante hasta la fecha la mayor parte de los virus y gusanos que se escriben son virus de macro y este aviso es la primera línea de defensa de muchos usuarios. Sin embargo se descrubrio que se pueden alterar los archivos de Office para que los macros se ejecuten sin avisar, lo que puede ser aprovechado por cualquier autor de virus, o cualquiera que desee enviar código malicioso.

Existen parches disponibles, pero la protección no es completa, la única protección es mantener su software antivirus actualizado. Deben configurar que su software se actualice la menos una ves por semana.

Por otra parte hay un virus nuevo (o mejor dicho gusano) que aprovecha de las ya conocidas fallas de Outlook para lanzar mensajes pacifistas sobre la situación actual en Afganistán. Este gusano es extremadamente complejo y gracias a una vulnerabilidad de Outlook, se activa con leer o ver el correo, aun no se a esparcido mucho pero por su forma de infección puede ser un peligro en los próximos días.

Y finalmente, hay un rumor insistente de que el próximo día 28, grupos terroristas atacaran EU colocando cocodrilos en las cañerías así que recomiendan no ir al WC en esa fecha… No creo que haga falta decir que hay no que tomarlo en serio, pero como humor me parece bastante divertido

Javier Delgado

1. Problemas de seguridad en Office
2. W32.Toal.A@mm, gusano sobre Afganistán

Problema: documentos malformados en Excell o PowerPoint se saltan las opciones de seguridad de macros de Microsoft.

Resumen:

Normalmente Office contiene una opción para avisar antes de que se ejecute un macro, y en Office 2001, incluso se tienen niveles de seguridad relacionados con los macros. Sin embargo es posible crear documentos malformados que evitan que Office active sus medida de protección contra macros no autorizados. Esto significa que se pueden enviar documentos con código malicioso que se ejecutaría automáticamente al ver o activar el documento.

Los programas afectados son:
Microsoft Excel 97 para Windows
Microsoft Excel 98 para Macintosh
Microsoft Excel 2000 para Windows
Microsoft Excel 2001 para Macintosh
Microsoft Excel 2002 para Windows
Microsoft PowerPoint 97 para Windows
Microsoft PowerPoint 98 para Macintosh
Microsoft PowerPoint 2000 para Windows
Microsoft PowerPoint 2001 para Macintosh
Microsoft PowerPoint 2002 para Windows

Además las versiones de las suites de Office 98 para Mac.

Este problema fue reportado por los ingenieros de Symantec, para mayores detalles sugiero consultar la pagina de Symantec.

La mejor solución consiste en aplicar los parches de seguridad de Microsoft MS01-034, y el MS01-050.

Sin embargo Microsoft ya no da soporte a versiones de Office anteriores al 2000. En estos casos la única solución es escanear los documentos con un antivirus actualizado.

También existe un problema similar con Microsoft Word, que también es eliminado con el parche MS01-034

         Nombre:W32.Toal.A@mm,W32/antiwar
         Tipo Gusano, virus
         Descubierto 23 octubre  2001

Resumen

El gusano w32.Toal.A@mm es un gusano que hace envíos masivos de correo. Llega en un archivo adjunto con el nombre Binladen_brasil.exe , el mensaje tiene un nombre al azar relacionado con la situación actual en Afganistán y puede estar en varios idiomas. EL cuerpo del mensaje esta vacío.

Detalle

Este gusano explota una vulnerabilidad en Microsot Outlook y Microsoft Outlook Express que le permite intentar ejecutarse cuando el mensaje se abre o se ve en la vista previa.

La única forma de evitar infectarse es usando otro programa de correo distinto o instalar el parche que se encuentra en http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Al activarse crea Invictus.dll, que contiene las rutinas para infectar archivos ejecutables en el sistema y en las unidades compartidas de la red. El gusano además comparte la partición C.

También crea un archivo con un nombre de 3 letras al azar. Luego modifica el archivo system.ini para activar el gusano la próxima ves que renicia la maquina.

Despues cambia la línea:

Shell=Explorer.exe

Por

Shell=explorer.exe xyz.exe

Donde xyz son 3 letras escogidas al azar.

El gusano explora las unidades de la red y trata de infectar los archivos en esas maquinas, utilizando técnicas polimorficas para tratar de esconderse de los antivirus. Especificamene trata de infectar el archivo Hh.exe que es parte del sistema de Windows.

Para infectar, el gusano trata de buscar en Internet, en el directorio de paginas blancas del ICQ. Luego envía copias de gusano, enviando una línea relacionada con la situación de Afganistán, en el lenguaje en tenga el sistema operativo de la maquina infectada.

El gusano trata de localizar los passwords de la red.

El gusano además intenta desactivar el software antivirus de la maquina infectada. Por esto es importante que tenga su antivirus actualizado, para que el gusano sea detectado antes de ser activado.

Y finalmente el gusano muestra su presencia mostrando mensajes al azar con fondo de colores, relacionados con la situación en Afganistán.

Después el gusano "descansa" 5 minutos y repite el proceso de infección.

Eliminación:

El gusano requiere del archivo Invictus.dll, y no puede funcionar si el. Después borre la línea que agrega en System.ini.

Para desinfectar los archivos se requiere de un antivirus actualizado. Es conveniente realizar una comprobacion de los archivos del sistema. En herramientas del sistema hay que ejecutar el programa "informacion del sistema" y ahi seleccionar la opcion de comprobacion de archivos del sistema. necesita tener a la mano el CD rom de windows, si no tiene una copia en disco duro, para poder restaurar archivos dañados,