|
|
||||||||||||||||||||||||||||||||||||
Un nuevo gusano que se está esparciendo rápidamente
a través de Internet amenaza a los sistemas basados en Linux. El
virus se llama Lion (León), y es capaz de robar contraseñas
y eliminar algunas medidas de seguridad, dejando el servidor preparado
para ataques posteriores.
Según los expertos en seguridad que descubrieron el gusano Lion, esta aplicación es capaz de cambiar los programas de la red empresarial, robando las contraseñas y eliminando los sistemas de seguridad. De esta forma, el sistema dañado queda desprotegido y al alcance de cualquier hacker que quiera atacarlo posteriormente. Lion tiene la habilidad de autopropagarse a través de una aplicación denominada "randb", que afecta a los sistemas basados en Linux que cuentan con la versión 8 del software BIND (Berkeley Internet Name Domain) DNS, famoso en los últimos meses por los numerosos fallos de seguridad que los expertos han descubierto en sus mecanismos. Lion explota una de las cuatro vulnerabilidades encontradas en el software de código abierto DNS, el pasado mes de enero, de las que ya se ha dado cuenta con sus correspondientes parches. Se trata de un gusano muy difícil de extirpar, por lo que las víctimas tienen que depurar todos sus discos duros para deshacerse de él. "Va a ocasionar que los usuarios deban limpiar completamente la máquina e instalar de nuevo el sistema operativo", estimó Allan Paller, director de investigación del Instituto Norteamericano de Administración de Sistemas, Networking y Seguridad (SANS). "Ni siquiera creemos que pueda ser eliminado por completo", añadió Paller. El Instituto SANS aseguró haber recibido al menos cinco denuncias confirmadas de infecciones de Lion, en cuatro empresas y una universidad. Según parece, este virus es la mutación de otra aplicación maligna conocida como Ramen, que fue descubierta en enero y que infecta sólo a servidores que utilizan la distribución Red Hat de Linux. Puertas traseras
SANS ha desarrollado una utilidad capaz de detectar (aunque no de borrar) el gusano. Independientemente del daño potencial que Lion puede ocasionar, los expertos en seguridad afirman que el nuevo gusano actúa de una forma bastante obvia: "Es muy escandaloso y realiza muchas operaciones, por lo que creo que cualquier administrador de Linux competente debería ser capaz de detectar su presencia", indicó Dan Ingevaldson, investigador de la compañía Internet Security Systems. Ingevaldson agregó que, aunque los errores del software BIND han sido ampliamente difundidos y existen versiones actualizadas del software, muchos sitios web no han arreglado el problema, ya que la solución requiere mantener el servidor DNS fuera de conexión durante un largo periodo de tiempo. Internet Security Systems: www.iss.net
NUEVO VIRUS PELIGROSO: El virus ‘político’ Injustice defiende la causa palestina. Diversas compañías han sufrido en los últimos
días el ataque de un nuevo virus llamado Injustice que, aunque no
es dañino para los sistemas informáticos, hace que el ordenador
infectado envíe mensajes en favor de la causa palestina a más
de 25 organismos relacionados con el Gobierno israelí.
El virus aparece como un archivo adjunto en un mensaje de correo electrónico con el título RE: Injustice y el siguiente mensaje: Dear…. Did you send the attached message, I was not expecting this from you! . (Querido…Enviaste el mensaje adjunto, no esperaba eso de ti). El gusano, denominado INJUSTICE.TXT.VBS, está desarrollado en lenguaje Visual Basic y una vez abierto, presenta en una ventana un mensaje en favor de la causa palestina con el siguiente texto: "Por favor, acepte mis disculpas por molestarle. Recuerde que algún día usted podría encontrase en esta situación. Necesitamos toda la ayuda posible". El resto del mensaje describe la muerte de un niño palestino de 12 años. Seguidamente, el virus se autoenvía a través del correo electrónico a las 50 primeras direcciones de la libreta del Outlook, junto a 18 direcciones pertenecientes a diferentes departamentos del Gobierno israelí, ocho organizaciones israelitas y al webmaster del sitio oficial de Israel. Por último, Injustice usa el programa Internet Explorer de Microsoft para abrir seis ventanas en varios sitios web, incluyendo una petición electrónica a la Comisión de Derechos Humanos de la Organización de Naciones Unidas. Los virus como medio para la lucha política
Aunque la aparición de este tipo de virus ‘político’ no es ninguna novedad, Injustice está empezando a ser considerado como el más efectivo de todos los aparecidos hasta la fecha. "En alguna ocasión he recibido correos de gente que me pide que firme una petición", dijo Susan Orbuch, portavoz de Trend Micro, "pero nunca he visto un virus que trate de hacer que la gente firme una petición". Computer Associates: www.ca.com
Trend
Micro: www.trendmicro.com
NUEVO VIRUS PELIGROSO : Alerta sobre W32/Disemboweler, alias "W32/Magistr@mm" FICHA DEL VIRUS :
CARACTERÍSTICAS PRINCIPALES : W32/Disemboweler se manda a sí mismo en un fichero que se adjunta dentro de un e-mail cuyo asunto y cuerpo del mensaje son aleatorios, los genera copiando parte del texto de un fichero del disco duro. Las direcciones de envío las busca, al azar, entre los mensajes que hay en el equipo que ha infectado. W32/Disemboweler infecta cualquier fichero de Windows en formato PE (EXE, DLL, OCX, SCR, CPL, etc.) que se encuentre en el disco duro. Frente a otros gusanos de Internet que han obtenido gran propagación, como VBS/LoveLetter -alias "Iloveyou"- o el más reciente VBS/SST.A -alias "Kournikova"-, W32/Disemboweler tiene un código muy elaborado y bastante largo para estar escrito en ensamblador. Esto indica que su autor tiene grandes conocimientos de programación y que ha debido dedicar bastante tiempo a diseñarlo, tal y como ponen de manifiesto las características que se detallan a continuación. - Además de autoenviarse a otros sistemas, y a diferencia de otros gusanos informáticos, en W32/Disemboweler destaca su capacidad para infectar ficheros, lo que lo convierte también en un virus. Esto aumenta el riesgo de infección, ya que a la posible entrada de este código malicioso a través del correo electrónico debemos sumar las vías comúnmente empleadas por los virus tradicionales como aplicaciones ya infectadas que se encuentren en CDs, disquetes u otros dispositivos, así como el riesgo de propagación a través de las unidades compartidas en las redes corporativas. - De las técnicas utilizadas por W32/Disemboweler resultan especialmente interesantes las destinadas a dificultar su análisis y detección. Para lograrlo contiene unas rutinas que lo dotan de polimorfismo en la fase de infección de ficheros. La primera se encarga de cifrar el grueso del virus para que cambie su aspecto y lo sitúa al final del fichero a infectar. Por su parte, la segunda rutina polimórfica se sitúa al principio del fichero y su función consiste en pasar el control al cuerpo principal del virus cuando se intente ejecutar el fichero infectado, para que así éste se situe en memoria y desde allí pueda infectar a otros ficheros. - Contiene técnicas anti-debug para entorpecer la labor de estudio y análisis de los antivirus (en concreto, "camufla" su código con algunas utilidades cuando se escanéa su código). - Su capacidad para variar continuamente el nombre de fichero, asunto y el cuerpo del mensaje donde se adjunta y distribuye a través de correo electrónico. De esta forma evita ser reconocido por su aspecto externo e impide que puedan aplicarse filtros en los servidores de correo atendiendo a los tres aspectos anteriormente citados del e-mail en el que se envía. Esto demuestra que dichos filtros no son suficientes, y que la vía más segura para no ser infectados por los virus y gusanos es tener instalado un antivirus eficaz y convenientemente actualizado, capaz de detectarlos antes de que lleguen al sistema. ¿COMO DEFENDERSE? Lo peor está aun por llegar, en su interior contiene varios efectos que se disparan pasado un tiempo de la infección, entre los que destacan el sobrescribir todos los discos duros y unidades de red a las que tiene acceso, así como el borrado de la CMOS y la Flash BIOS en los sistemas Win9x. En España ya se han detectado las primeras infecciones. ¿Como podemos detectar que llega a nuestro ordenador? Cuando de i-worms (gusanos de Internet) se trata, en muchas ocasiones podemos avisar bajo que nombre de fichero se esconde o el texto que aparece en el asunto del mensaje donde se adjunta y autodistribuye a través del correo electrónico. En esta ocasión el reconocimiento a primera vista resulta algo más complicado, ya que Magistr utiliza varias técnicas para cambiar su aspecto más superficial. En primer lugar tanto el asunto como el cuerpo del mensaje lo construye como dijimos, de forma aleatoria buscando palabras y frases en documentos (.DOC) y ficheros de texto (.TXT) del sistema infectado (incluyendo todos los discos duros y unidades de red). Además posee una lista interna de posibles asuntos en español, francés e inglés que puede escoger al azar. El nombre de fichero donde se esconde también cambia ya que puede ser uno cualquiera de los que se encuentren en el sistema y haya infectado, por lo que la única pista que podemos tener es que se trata de un ejecutable (.EXE). Por si fuera poco, el gusano también tiene la habilidad de adjuntar otros ficheros (.DOC, .TXT o .JS) del sistema junto con el ejecutable infectado. De esta forma puede confundir aun más al que recibe el mensaje y, además, implica que puede estar enviando información sensible del usuario infectado de forma indiscriminada. La cosa no acaba aquí, Magistr también tiene la capacidad de modificar la dirección de respuesta del remitente, añadiendo o eliminando caracteres, por lo que si recibimos el gusano y lo detectamos tal vez no podamos avisar al remitente de que está infectado. En cuanto a las direcciones de e-mail a las que se envía, el gusano es capaz de recolectarlas de las libretas y bandejas de varios clientes de correo. Además de la vía de propagación masiva que supone el autoenvío a través del correo electrónico, no debemos olvidar que Magistr puede llegar a nosotros a través de la red local o infectarnos como si de un virus tradicional se tratara al ejecutar aplicaciones desde CDs o discos ya contaminados. Medidas a tomar En primer lugar seguir la regla básica que siempre debemos tener presente: no abrir los ficheros adjuntos en mensajes de correo electrónico que no hayamos solicitado, en caso de duda confirmar con el remitente antes de abrirlo. En segundo lugar, recordamos a los usuarios de antivirus que deben mantenerlos actualizados de forma permanente, de forma especial aconsejamos que lo hagan cuando lean estas líneas, ya que la mayoría de las casas antivirus dispondrán para entonces de la pertinente actualización para detectar a Magistr. Puedes chequear gratis tu PC desde esta dirección (Cortesía de Trend Antivirus) :
Fuentes consultadas : Panda Antivirus,
http://www.pandasoftware.es
|
||||||||||||||||||||||||||||||||||||
