Comienza un nuevo año, y es buen momento para recapitular lo acontecido en el 2001.

Este año se caracterizo por dos tipos de amenazas. La mas seria proviene de virus y gusanos mas sofisticados. La tendencia es hacer gusanos que atacan simultáneamente en varios puntos vulnerables del sistema y a su ves tratan de crear puntos débiles.

Las amenazas mas importantes como badtrans, magister e Hibris, todos se han aprovechado de fallas de seguridad dentro de Windows y del software de Microsoft. Además estas fallas, no solo compromete y ponen en peligro computadoras individuales, sino compromete la seguridad de las empresas al abrir y difundir información interna.

No solo aparecieron ya los virus que se activan con solo leer el correo, sino gusanos que vagan por la red buscando fallas de seguridad en los sistemas para introducirse en ellos de manera oculta.. También los gusanos que pueden introducirse dentro de paginas de Internet son parte de una nueva moda, gracias a las nuevas opciones que se han introducido a Explorer 5.0 en adelante.

También el año se caracterizó por algunos virus muy poco sofisticados, pero diseñados para actuar de forma rápida, causando infecciones generalizadas que tomaron por sorpresa a muchos usuarios, pero que fueron rápidamente detectadas y eliminadas.

Para el usuario que trabaja en su casa o tienes pocas computadoras esto significa tener un antivirus moderno, que es cada ves mas sofisticado (y consume mas recursos de la maquina). También se tiene que actualizar de manera periódica, lo que no forma parte de la cultura informática de la mayor parte de la gente. En especial están en mayor peligro los usuarios conectados ala red por las conexiones de alta velocidad, pues usualmente estos usuarios están conectados mucho mas tiempo a la red, y por ello mas expuestos a ataques.

Para las empresas , significa que se debe proteger sus equipos, no solo con antivirus, sino con la instalación de Firewalls, y desactivar de los equipos todo el software que no sea necesario para el trabajo. También se debe inculcar una cierta , digamos paranoia, entre sus empleados con respecto a todo el software que sea ajeno a su trabajo. Por ejemplo los programas de IRC, los programas de intercambio de archivos, sucesores de Napster, e incluso Messenger, que tiene fallas de seguridad muy serias, que lo hacen peligroso para usar donde exista información confidencial.

En especial los usuarios de Windows 2000 en todas sus versiones, deben ser conscientes que por default se instalan opciones que muchos no usan, como el servidor de paginas de Windows (ya sea personal Server, o IIS2) que constituyen un punto muy vulnerable. También se instala el servidor SQL, que por default crea un password de acceso de alto nivel, que debe ser eliminado.

Aunque todo esto suene muy negativo, hay que protegerse para poder disfrutar y aprovecharse de la gran colectividad que nos da Internet y que se ha vuelto indispensable en la actualidad.

Por ello repito de nuevo estas recomendaciones:

1. Tenga su antivirus Actualizado. Todos los antivirus tiene la opción de actualizarse periódicamente vía Internet. Hágalo al menos una ves cada dos semanas, o programe al antivirus para que avise automáticamente.
2. Pique con regularidad (al menos una ves al mes) el botón de Windows update en el menú de inicio y baje todos los parches críticos que este reportados. Muchos de los últimos virus se están aprovechando de estas fallas de seguridad.
3. Nunca pique a un archivo adjunto, si no sabe de antemano que es lo que contiene, si recibe un archivo que no ha solicitado, nunca lo abra hasta que verifique que es para usted. Incluso si viene de alguien conocido.
4. Si es posible, le sugiero que busque un programa de correo distinto a Outlook, muchos de los virus utilizan características de Outlook, ya que es el programa de correos mas popular.
5. Si su red esta conectada de manera constante a Internet, instale un firewall.

Finalmente las novedades.

El año empezó ya falsos avisos, ya reciclados. ¿Recuerdan el engaño del sulfbnk?, ya esta de vuelta. Así que ignórenlo, y no borren ningún archivo. También circulan de nuevo los avisos de para a un niño con cáncer. También es falso.

Y también malas noticias. Apareció un archivo capas de infectar los archivos flash. Flash es el formato de animación mas popular en Internet, y existen innumerables animaciones que las personas se envían unas a otras, como felicitaciones y bromas. El primer virus de este tipo, es inocuo y casi nadie se ha infectado, pero es apenas un ejercicio. Ya tenderemos noticias por este lado

Javier Delgado

• Dider, el espía.
• Sulfbnk.exe, no es un virus
• Salven a un niño con cáncer, el engaño
• .x97.Brep, uno de Excell
• Oblivion, Una puerta trasera.
• SWF/LFM-926

Después de los problemas de Napster, aparecieron varios servicios de intercambio de archivos alternos, como BearShare, LimeWire, Kazaa y Grokster, que para patrocinarse ponen anuncios y promociones.

Se encontró recientemente que una de esas promociones, ClickTillWin (pique hasta ganar..) incluye un caballo de Troya, W32.Dider.Troyan diseñado para enviar información de los usuarios a la compañía de publicidad.

Según la firma de seguridad F-Secure, Dider registra las direcciones de Internet que visita el usuario y las envía a una dirección especifica. Además abre un agujero de seguridad, que permite que la computadora reciba y ejecute programas sin ningún aviso.

Greg Bildson, el oficial técnico de Limewire, comento que se le había informado que la compañía Cydoor le habia enviado el instalador de ClickTillWin y simplemente habian asumido que era seguro.

A su ves Bob Regular, vicepresidente de Cydoor, dijo que invetigaria el programa, pues dice que su politica es informar de todas las funciones que tiene un programa…!!

Hasta la fecha las compañias de antivirus siguen discutiendo si el programa es peligroso o no, pero ya fue corregido.

Nombre: sulfbnk.exe
Tipo:	engaño

A principios del año pasado circulo un aviso donde se pedia que buscara un archivo. Sulfbnk.exe, un peligroso virus que se activaria en Junio. Invocando como de costrumbre que el aviso venia de alguna gran compañía. Ahora ese engaño esta de vuelta, corregido y aumentado.

El éxito de este engaño, es que el archivo sulfbnk.exe si existe. Es un programa que utiliza windows para reparar los nombres largos de archivo, si se llega a corromper un directorio. No es un virus, asi que no hay que borrarlo.

Los avisos falsos (hoax) se reconocen, ademas del lenguaje sensacionalista, porque insisten que alguna compañía grande lanzo el aviso (Aol, microsoft, zymantec, etc) pero no prooveen ningun link al aviso. Estas compañias no hace este tipo de avisos.

El origen de este aviso, tal ves se deba a que el virus magister, en ocasiones llega a infectar este archivo y lo envia por correo. Pero entonces hay que buscar a Magister.

"SI ANULA ESTO SINCERAMENTE NO TIENE UN CORAZON!!!!!!"

Con este mensaje o uno parecido , comienzan variso correos, que piden ayuda para salvar a un niño con cancer.

Según estos mensajes, por cada mensaje que se envie, el mensaje sera detectado y alguna gran compañía (Aol, IBM, Zdnet etc…) hara una donacion para slavar a un niño o nolña con cancer.

Desgraciadamente este mensaje es falso, empezando porque no se tiene forma de detectar cuantos mensajes se envian, y ninguna compañía hace promociones de este tipo.

Y por el lado malo. Sin darse cuenta, al enviar este mensaje a sus conocidos, esta enviando todas las direcciones de sus amigos inlcuidas en el correo.Estas direcciones se aprovecha para enviar Spam, o virus.

Asi que mejor borre este tipo de correos. Si desea ayudar, mejor haga una donacion directa a aguna asociacion reconocida.

   Nombre: X97M.BrepDescubierto:      
   Diciembre 12, 2001Tipo: Virus      
   Macro de Excell

La gran cobertura de prensa que se le dio a Red Code, Magister, Hybris y nimda, no hace olvidar que los virus mas comunes siguen siendo los virus de macro. Este es un virus de Macro de Excell. No es particularmente importante, pero sirve para que no nos olvidemos de este tipo de virus.

El virus, X97M.Brep es un virus de macro, que infecta los libros (workbooks) de Excell. Consiste de un solo modulo macro. Cuando el usuario abre un archivo de Excell infectado, el sistema pide permiso de ejecutar el macro. Si el usuario le da permiso, crea un libro infectado, en el folder Xlstart, con el nombre de Xlsatart.exe. De esta manera, cuando se carga Excell, también se ejecute el virus. También infecta todos los demás libros que no estén protegidos.

Y por supuesto, apaga el aviso de protección contra macros.

Este virus no causa daños. Pero como todos los virus, puede alterar los datos. Cualquier antivirus actualizado de be poder removerlo.

   Nombre: Oblivion
   Tipo: Puerta trasera
   Descubierto: octubre  23 / 2001.

Para los que son nuevos a este boletín. Se conoce como "puerta trasera" a un programa que esta diseñado para facilitar que un intruso pueda entrar a nuestro sistema.

Cuando un intruso quiere entrar a nuestro sistema, puede enviarnos el archivo, que originalmente se llama ZipLoader32.exe, pero le puede poner cualquier nombre (además es posible esconderlo dentro de otro programa, como las animaciones flash que a veces se envían como bromas.)

Una ves que se ejecuta, el programa se copia al directorio de Windows, y se incluye en el registro de Windows, para que se inicie automáticamente al encender la computadora.:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Así, el programa, espera hasta que alguien se comunica con el. Entonces el intruso tiene acceso a todo nuestro sistema y nuestros archivos.

Este tipo de programas, no son virus, no se reproducen, si aparecen es que es que se esta intentando hacer un ataque deliberado contra nosotros.

Eliminación:

Busque y elimine toda referencia a ZipLoader32.exe.. tanto en el registro, como en win.ini y sys.ini.

Nombre: SWF/LFM-926
Infección: archivos flash .swf

Este virus es innocuo y apenas funciona, pero es el primero de una familia. Los virus que infectan las animaciones flash. Que es uno de los archivos mas comunes en Internet.

Cuando un ve una animación en flash, se activa el virus y muestra el mensaje "Loading Flash Movie…" después comienza a infectar todos los archivos .swf que encuentra en el área.

Este virus aprovecha una de las nuevas habilidades de los archivos de shockwave para ejecutar scripts. En este caso ejecuta un script DOS y a través de la línea de comandos ejecuta unscript debug llamado V.com. Este archivo automáticamente infecta los demás archivos .swf que se encuentren el directorio actual

No causa ningún daño. El programador se ve que esta apenas probando esta tecnica, por lo que se le llama "virus concepto"

Ya que la animaciones flash ejecutan automáticamente al desplegar una pagina de Internet, esta familia de virus presenta grandes riegos de seguridad.

Recomiendo a todos los que desarrollan paginas que revisen de ahora en adelante todos sus archivos flash, para evitar infecciones. Hay que modificar su antivirus para que revise los archivos .swf.. Las compañías de antivirus ya han actualizado sus productos.