TEMA DE PORTADA Antivirus

Mejor prevenir
que luego sufrir
Consejos prácticos para mantener a los virus a raya

Las medidas de seguridad pasiva y una serie de sencillos hábitos se fico: «Un antivirus funciona como si sólo
convierten en la mejor fórmula para mantener una profilaxis efectiva y a dejaras entrar a tu casa a las personas que no
nuestro equipo lo más alejado posible de una infección cantada. Ya han sido fichadas por la policía, por lo que
surgen las siguientes preguntas: ¿Qué pasa
sabemos que no hay un sistema 100% seguro, pero, al menos,
con los delincuentes no fichados? ¿Y si no
podremos dormir con la conciencia bien tranquila. tengo la última lista de delincuentes ficha-
Javier Renovell dos? La solución heurística propuesta por
algunos antivirus sería como decir: bueno, si
tiene mala pinta, no le dejo entrar. Ahora, si
odos los consultores, desarrollado- tamente para su actualización automática. viene de traje, le dejo. Creo que nadie fun-

T res y técnicos especializados en la

lucha antivírica coinciden en una
cosa: la mejor solución reside en tener un
A su vez, hay muchos sitios web especiali-
zados, portales centrados en la seguridad
informática, que, además de consejos úti-
ciona así en su casa. Uno deja pasar a la
gente que conoce (aunque fuese un chorizo).
El ejemplo es simple para ilustrar por qué los
antivirus activo en cada sesión, y lo más les y servicios de alerta, ofrecen escáneres antivirus no funcionan, aunque más bien lo
actualizado posible. Con un ritmo medio de on-line para el chequeo de una máquina que realmente no funciona es el modelo de
20 nuevos códigos malignos diarios in the sospechosa. confiar en lo que no se conoce».
wild, esta actualización se recomienda que Pero la realidad a menudo demuestra Para este consultor especializado, que se
sea incluso diaria. Por suerte, la mayoría de que esto no es suficiente. A medida que se ha curtido en el Ministerio de Defensa
las casas fabricantes de vacunas y antídotos extiende el uso de Internet y se multiplican español, la solución extrema sería no conec-
es consciente de esta necesidad, y tienen dis- la recepción de mensajes vía correo electró- tarse a Internet y no tener correo electrónico.
ponibles sitios de descarga incluidos en el nico, el riesgo de infección se acrecienta, Pero el usuario los requiere, y prefiere asumir
soporte postventa de sus especialmente porque hay un puñado de ese riesgo. Sería como no salir de casa por si
paquetes al que se mentes «malpensantes» dedicadas a forzar te cae una maceta en la cabeza. Ahora bien,
conectan direc- la cerradura y poner en evidencia al más si hace vendaval, vigila por dónde vas... o
pintado. Carlos Jiménez, experto en el ponte casco. Por eso, además del antivirus
tema y director general de Secuwa- actualizado y actualizable, conviene ir un
re, pone el siguiente ejemplo grá- poco más allá y contar con un filtro en esa
puerta trasera que es Internet. Como señala
Mónica Prieto, directora de Marketing de
Symantec Ibérica, «hay que partir de la base
de que nunca se va a tener una
garantía cien por cien de seguridad
porque siempre se buscan y se
exploran nuevas maneras de hacer
mal. Desde el momento que
accedemos a Internet con una IP
fija, como es en el caso de con-
tar con una línea ADSL, nuestro
ordenador es vulnerable a ataques exter-
nos, por eso es imprescindible la instala-
ción de un firewall personal. Tampoco hay
que olvidarse de las soluciones de detec-
ción de intrusiones, que nos avisan de
cualquier ataque y que son capaces de
reaccionar en tiempo real ante los mismos».

■ Ántrax virtual
Abundando en el tema, el
director general de Trend Micro
España, Mario Velarde, señala
que con ello podemos reducir los
 TEMA DE PORTADA Antivirus

Direcciones de socorro en caso de apuro

[Link]/enciclopedia. Una completa web para [Link]/virus. Completa página de Jorge Machado
saber todo lo relacionado con patógenos informáticos. desde Lima (Perú).
[Link]. Página oficial del Centro de Alerta [Link]/criptonomicon. Consejos prácticos para una nave-
Temprana, servicio ofrecido por el Ministerio de Ciencia y Tecno- gación invisible.
logía español. [Link]. Revista argentina on-line con
[Link]. Página oficial de la Asociación de Inter- múltiples enlaces.
nautas dedicada expresamente a temas de seguridad antivírica. [Link]/mundopc/noticias/virus/[Link]. Pági-
[Link]. Consultores especializados en seguridad. na especial sobre virus que ofrece este portal.
[Link]. Portal dedicado a analizar el funcionamiento [Link]/cgibin/t30/!URNREDIR?tema=monograf&dir=
de los antivirus. mono183. Página especial sobre virus de este portal.
[Link]. Distribuidora hispanoargentina pionera en temas [Link]. La revista más consultada en el mundillo, está
de seguridad en inglés.
[Link]. Audita todo lo relativo a la seguridad, desde el [Link]/cert. Servicio de respuestas e incidencias depen-
acceso físico hasta el control de sistemas informáticos. diente también del Ministerio de Ciencia y Tecnología.
[Link]. Portal con numerosos servicios de consulta. [Link]. Centro pionero dependiente de la Universidad
[Link]. Portal que permite descargas y actualizaciones. Politécnica de Cataluña.

casos de infección hasta en un 80%. Pero Como lo peor que puede pasar es per-
además del antivirus y el firewall, «es muy der la información alojada en el disco
conveniente la higiene en el manejo de los duro del ordenador, muchas veces irrecu-
correos electrónicos, incluso de aquellos perable, lo ideal es tener la costumbre
usuarios que conocemos, porque los virus adquirida de hacer regulares copias de
aprovechan las libretas de direcciones que seguridad, tanto del sistema como de los
consiguen infectar; por eso, hay que ser archivos más preciados. Estas copias
muy cautos, intentando no abrir archivos deberían estar almacenas en distinto
que no estemos esperando recibir». La otra equipo (incluso hay sitios especializados
medida fundamental sería tener el saluda- en Internet que sirven como perfectos
ble hábito de irse actualizando de vez en «guardamuebles»), así como en los típi-
cuando los programas instalados de mayor Zona Virus es uno de los múltiples portales que cos sistemas removibles de disquetes,
uso, especialmente el sistema operativo, el permiten descargas en línea para escanear el equipo. discos compactos, cintas magneto-ópti-
navegador y el de correo electrónico «con cas, discos duros portátiles, tarjetas de
todos sus parches publicados para evitar que inseguras, sino que actúan como verdade- memoria, microdrives, etc.
los virus entren por un fallo de seguridad, ras plantas carnívoras, primero engatu- Es la lección que ha aprendido Enri-
especialmente el Outlook de Microsoft, ya sando al incauto internauta con promesas que Solaesa, usuario informático y presi-
que los virus están aprovechando en un tanto de descargas gratuitas de programas, can- dente del club CELCE, que reúne a más
por ciento muy elevado sus vulnerabilidades» ciones o vídeos, y luego atrapándole con de 500 coleccionistas españoles de obje-
Y no sólo eso, también ser muy cauto formularios y cookies dándose de alta en tos cerveceros y «breweriana» y reciente-
por los sitios por donde se navega, pues servicios que luego se pueden convertir mente vio comprometida toda su libreta
no faltan multitud de páginas no sólo en una pesadilla. de direcciones. «La pérdida ocasionada,
más que económica, ha sido principal-
mente de tiempo. Y las molestias ocasio-

¡Cuidado dónde «cliqueas»! nadas a todos aquéllos que han recibido

mis e-mails contaminados, claro. Tenía
Panda Software, empresa española de representar una amenaza si se hace por pági- instalado un antivirus, pero no detectó un
reconocido mérito internacional en este nas no seguras». virus que a veces, no siempre, se adjun-
campo, fue pionera en el servicio activo Pero no sólo de patógenos vive el ciber- taba a mis correos enviados en forma de
24 horas x 365 días al año. Su directora terrorista. La extensión de bulos u hoaxes otro e-mail con mi remite, con el asunto
de producto, Mª Victoria Restrepo, acon- también supone un riesgo que puede poner
seja además de prevenir con «un buen sis- en peligro la integridad del sistema. Es el
tema antivirus instalado que permita caso del famoso mensaje que invita a elimi-
actualizaciones diarias contra los nuevos nar el archivo «[Link]» o cualquier
virus que cada día van apareciendo (como otro similar. «Es muy importante que el
media, entre 10 y 15), no abrir mensajes usuario haga caso omiso a este mensaje, ya
de correo no solicitados, aunque sean de que es un archivo que forma parte del siste-
una persona conocida, ya que hoy por hoy ma operativo Windows, y por lo tanto «no»
el método de propagación más utilizado debe ser borrado. De hecho, la eliminación
por los virus informáticos (con un 87%) del mismo podría causar problemas en el
es autoenviarse utilizando las listas de equipo. A su vez, no debería ser reenviado
direcciones. También hay que tener muy a nadie con el objeto de no prolongar inne-
El Ministerio de Ciencia y Tecnología ha creado un
presente que navegar por Internet puede cesariamente la cadena de mensajes». Centro de Alerta Temprana para coordinar la lucha
antivírica.
 TEMA DE PORTADA Antivirus

Las quince reglas

de oro del oso panda
1.- Utilizar un buen antivirus y actualizarlo frecuentemente.
2.- Comprobar que el antivirus incluye soporte técnico local, resolución urgente de nuevos
virus y servicios de alerta.
3.- Asegurarse de que el antivirus esté siempre activo en memoria.
4.- Verificar, antes de abrir, cada nuevo mensaje de correo electrónico recibido.
5.- Evitar la descarga de programas de lugares no seguros en Internet (especialmente freewa-
Virus Attack es una de las revistas más completas en re, música MP3, 906, tarot, sexo...).
lengua española referidas a temas de seguridad. 6.- Rechazar archivos que no hayan sido solicitados cuando se esté en chats o grupos de
noticias (news). No basta con tirarlos a la Papelerea, hay que eliminarlos.
en blanco y archivos para abrir con dife- 7.- Analizar siempre con un buen antivirus los disquetes que vayan a ser usados en
rentes nombres (en inglés: «Gana el ordenador.
$100.000», «Viaja al Caribe», «Conoce a 8.- Retirar los disquetes de las disqueteras al apagar o poner en marcha el ordenador.
Bill Gates»...), y a pesar de hacer varias 9.- Analizar y escanear el contenido de los archivos comprimidos y los «macros».
inspecciones completas del PC no 10.- Mantenerse alerta ante acciones sospechosas y síntomas de posible infección.
encontró nada. Un amigo me dejó Panda 11.- Añadir o activar las opciones de seguridad de las aplicaciones que se usan nor-
Titanium, y éste sí detectó varios archivos malmente. De igual manera, desactivar las opciones de Script en navegadores y pro-
infectados, y alguno que no pudo limpiar cesadores de texto.
lo renombró». 12.- Realizar periódicamente copias de seguridad.
13.- Mantenerse informado sobre las últimas alertas producidas por recientes ataques y con-
tagios colectivos.
Una medida saludadable 14.- Utilizar siempre software legal.
es actualizar de vez 15.- Exigir a los fabricantes de software, proveedores de acceso a Internet y editores de
publicaciones que se impliquen en la lucha contra los virus.
encuando los programas
instalados de mayor uso
Por su parte, Blas Simarro, director téc-
Lo que demuestra que, por muy bueno nico de McAfee Ibérica, abunda en este tipo
que sea el antivirus, sino está actualizado de procedimiento: «El escenario ideal sería
no sirve de mucho. «Ahora, una vez com- que las medidas preventivas no diesen lugar
prado el paquete, la actualización la realizo a la necesidad de tomar medidas de emer-
cada semana. Pienso que debido al uso gencia, lo que se consigue instalando un
cada vez mayor que se hace del ordenador antivirus y manteniéndolo permanentemente
como instrumento de comunicación, un actualizado. En el caso de que, por desgra-
buen antivirus es un elemento de serie que cia, hayamos sido infectados, tenemos que
se hace indispensable en todo equipo, al actualizarlo e intentar limpiar bajo demanda
igual que el sistema operativo». nuestro PC. Si no es posible realizar la
limpieza de este modo, habrá probable-
■ En caso de contagio mente que utilizar un disco de emer-
«Lo primero es no asustarse. Un virus no es gencia o alguna utilidad especial, cre-
nada más que un programa informático con El mejor remedio hoy ada para la desinfección del virus.
por hoy es disponer de un
ciertas características especiales», señala antivirus perfectamente actualizado. Debemos tener en cuenta que los daños
Alberto Román, director técnico de Axioma que pueden provocar los virus no siempre
Sistemas. «Nunca hay que apagar el orde- urgente a tomar es aislar total- se pueden restituir, por tanto, el mejor
nador, se ha de intentar primero desinfec- mente el ordenador, desconectándolo de la remedio es la prevención».
tarlo instalando un antivirus o actualizando red y no permitiendo el intercambio de dis- Pero el más crítico en este aspecto es
el existente para que reconozca las nuevas cos a otros sistemas». Carlos Jiménez: «En caso de contagio ya
firmas. Ya que a veces algunos antivirus no Y quien dice desconectarse de la red es demasiado tarde. Si el virus está bien
detectan bien los virus si éstos quedan resi- local, también equivale a cortar la conexión hecho, es posible que no lo elimines
dentes en memoria, sería conveniente rea- con la red de redes. Este consejo, por nunca. Y desde luego, para ser eliminado,
lizar después la detección/desinfección supuesto, lo mismo vale para una red mul- tiene que ser descubierto y analizarse lo
arrancando con unos discos de emergencia tiusuario como para un equipo monopues- que es capaz de hacer. Como resultado,
(que todo antivirus suele traer), y cheque- to. Se trata de no extender más la difusión nos encontramos que no se puede prevenir
ando el sistema desde ahí. El problema del virus, pues a menudo se mantiene ocul- esta situación sólo con un antivirus. La
viene cuando la partición es NTFS, ya que to, sin ofrecer síntomas notorios al usuario única forma de corregir el problema es uti-
los sistemas actuales no pueden corregir de que está infectado su equipo, y éste lizar «únicamente» el software en el que
errores en ellas. Se puede solucionar aprovecha la libreta de direcciones para confiamos. Y evitar el resto. Es el modelo
conectando los discos sospechosos a otro irse autoenviando o agazaparse en los reco- que usamos en la vida real y nos va mejor.
ordenador, y arrancando un sistema «lim- vecos del sistema. Y en consecuencia, no Es bueno que existan policías antivirus,
pio» para proceder a escanear el disco volver a conectarse hasta no estar seguro de pero es mejor que cada uno sepa los ries-
infectado. Por supuesto, la medida más haberlo deshabilitado. gos que corre». ¿Habéis estado atentos?
 TEMA DE PORTADA Virus del 2001

La amenaza
cáustica
Revisamos algunos de los virus que actuaron en el 2001

Internet abrió la puerta a la información, rompió las publicar periódicamente las casas de
fronteras naturales y puso en contacto a millones de antivirus han provocado epidemias
congéneres de un extremo a otro del planeta. Pero de carácter explosivo, como el
caso de Badtrans, para ir
por desgracia, igual que lo bueno, se extendió lo
disminuyendo con el
malo, dando alas a los desarrolladores más perniciosos para transcurso del tiempo. Sin
mandar sus creaciones de ordenador a ordenador. embargo, otros como Hybris
(el enanito sátiro) o MTX mantienen unas
nualmente, existe una serie de virus social, destacan los nombres de Anna Kour- cifras casi constantes mes a mes, en lo

A que entran en el ranking de los más

populares, no necesariamente por
su capacidad destructiva, sino más bien por
nikova, [Link], HomePage, Jennifer-
Lopez_Naked, W32/SirCam y [Link].
La última amenaza del año detectada por
que a frecuencia de aparición se refiere.
A continuación, vamos a diseccionar
los «bichitos» más activos durante el pri-
su difusión. En este caso, vamos a examinar el CAT (Centro de Alerta Temprana, organis- mer año del siglo XXI para saber cómo se
aquéllos que saltaron a la palestra durante el mo dependiente del Ministerio de Ciencia y reconocen, cómo actúan y cómo se puede
pasado año 2001 y que utilizaron a la Red Tecnología) fue el W32/Zoher@mm, con acabar con ellos.
como principal medio de trans- mensajes en italiano. Por su parte, el 2002
misión. Podemos observar que se estrenó con el primer virus para Flash, tec- ■ [Link].A
de cada código maligno apa- nología tradicionalmente considerada segura: Al estar escrito en Visual Basic,
recido suelen surgir más el SWF/LMF-926. Asimismo, la flamante pla- para que surta efecto su acción
variantes que, normalmente, taforma para desarrolladores en Internet de dañina, es necesario que
cambian en los archivos Microsoft, .NET, ya conoce su primer adver- en el sistema esté pre-
modificados los efectos pro- sario, W32/Donut, bastante inocuo, eso sí, sente la versión 6.0 de
ducidos (payload) e incluso el pero que señala el camino a seguir. las librerías de este lenguaje
método de infección. Algunos de los códigos maliciosos que for- de programación. Se propaga vía correo
Entre los virus que durante man parte del peculiar hit parade que suelen electrónico, modifica los archivos de comien-
2001 consiguieron sus días de gloria aprove- zo del MIRC (el conocido programa de chat
chando algún agujero o puerta tra- IRC) y crea algunos VBS (Visual Basic
sera del sistema operativo, del Script).
navegador o del cliente de Como casi todos los protagonis-
correo, cabe reseñar W32/Die- tas de estas páginas, tiene carac-
semboweler, Code Red, Nimda, terísticas de gusano en cuanto al
Magistr.B y W32/Badtrans.B. tipo de propagación que utiliza.
Muchos de ellos, además, consi- Además, para evitar que los recep-
guieron mutar y reaparecer con tores de un correo electrónico
nuevas fuerzas. Fue el caso del infectado sospechen, cambia el
gusano Código Rojo, original- asunto del mensaje por una serie
mente diseñado para extinguirse de cadenas predefinidas en inglés,
en un mes, pero que comenzó a como puedan ser: «What women
esparcirse de nuevo como resul- wants!» («¡Lo que las mujeres quie-
tado de ordenadores infectados ren!»), «I wish u like it» («Deseo
que tenían errores en la fecha. que te guste»), «I have got this file
De esta forma, Code Red II se for you» («Tengo este archi-
diseminó más rápido e instaló vo para ti») o «Surprise!!!»
una puerta trasera en las («¡¡¡Sorpresa!!!»).
máquinas que las dejaban vul- Estos cebos tan atracti-
nerables para futuras intrusio- vos, si vienen de una per-
nes informáticas. sona fiable, pueden incitar
Mientras, de los que emplea- al usuario a ejecutar el
ban la «desinteresada colabora- adjunto, denominado
ción» del usuario a través de «[Link]». En ese
rudas técnicas de ingeniería momento, busca en la
 TEMA DE PORTADA Virus del 2001

Los «Óscar» más perniciosos

Aunque todavía no tienen su propia sala, algunos virus merecen un buen pre-
mio. Éstos los hemos otorgado nosotros:
Al más frecuente: SirCam, un gusano de correo electrónico que utiliza la
denominada «ingeniería social» para hacer picar al usuario desprevenido.
Al más dañino: Disemboweler (o Magistr.A), con el código malicioso que más
problemas provoca en los equipos afectados, ya que puede alterar incluso la CMOS.
Al más novedoso tecnológicamente, ex aequo : Nimda, que aprovecha una vul-
nerabilidad del navegador Internet Explorer para autoejecutarse simplemente con la
vista previa del mensaje de correo en el que llega incluido; Cod Red, que no borra o
Libreta de direcciones de Outlook y en las sobrescribe ficheros, pero que, gracias a su transmisión masiva a través de Internet,
páginas web de la caché los e-mails existen- se aloja en la memoria de forma que sí llega a bloquearlos.
tes para proceder a reenviarse a todos ellos. Al más sugerente: Kournikova, inocuo, pero con capacidad para propagarse
Asimismo, realiza un borrado de los principa- de forma explosiva al emplear alusiones a contenidos sexuales más o menos
les antivirus del mercado para evitar su explícitos. Con él, Naked Woman (que aunque fuera la esposa anónima de alguien)
detección posterior (aunque la persona afec- provoca daños y borra archivos.
tada seguramente sospechará en cuanto des- Al más veterano: el polifacético virus/gusano/troyano MTX, que desde
cubra que su protección ha desaparecido agosto de 2000 ha ido actualizándose adoptando un gran número de nom-
misteriosamente). También elimina los fiche- bres atractivos.
ros que tengan unas extensiones determina- Al más persistente: el incansable gusano Hybris, también conocido
das, con lo que la gravedad de su actuación popularmente como «enanito», aludiendo a una versión muy poco orto-
aumenta. doxa del cuento de Blancanieves.

■ Nimda
Probablemente, éste sea uno de los da privilegios de administrador. Express a las versiones
ataques más conocidos y sufridos por Seguidamente, comparte todo el 5.01 y la 5.5, acusaremos
los administradores de redes (nótese disco C como C$, de manera un grave agujero de segu-
que su nombre es Admin al revés). El que sea accesible a otros siste- ridad por donde puede
motivo es que, aparte de sus capa- mas de la red y pueda copiarse entrar este intruso. Una
cidades de infección, copián- mediante recursos compartidos. de sus características
dose en todos los archivos Para evitar este proceso, es preciso más peligrosas es que
que se vayan ejecutando, parchear el servidor adecuadamen- obvia la intervención del
puede expandirse a te, quitar el acceso a los recursos usuario para lanzarse,
través de una red de forma autónoma, lo que existentes y eliminar al guest. bastando; con que se
le confiere una grandísima difusión. encuentre activa la vista
Este gusano intenta explotar, entre otras, ■ SirCam previa de los docu-
una debilidad conocida de los web servidores Programado en Delphi, también recu- mentos.
de Microsoft, los IIS, siendo su primera tarea rre al correo para difundirse. Al igual que Asimismo, es
lograr subir a la máquina víctima un archivo el resto, tuvo una enorme dispersión gracias capaz de recopilar
llamado «[Link]» mediante Trivial File al empleo de un lenguaje coloquial. Se pre- información de las contraseñas y mandarla
Transfer Protocol (TFTP). Después, modifica sentaba en castellano o en inglés con una después a una dirección determinada. La
las páginas web con el fin de que cualquier frase del tipo «Te mando este archivo para técnica utlizada para la captura de datos es
puesto que no esté actualizado quede inme- que me des tu punto de vista». curiosa, ya que hace uso de otro troyano para
diatamente infectado al acceder a cualquiera La aplicación adjunta tenía una doble sus propios fines, al cual identifican algunas
de ellas. También se reproduce a través del extensión para evitar que se viese la verdade- casas especializadas como un virus distinto.
correo electrónico, adjuntando un archivo ra y provocar que los incautos pensaran que Probablemente, el autor no esperaba la enor-
«[Link]» que se muestra como si fuese estaban ejecutando algo inocuo. Para añadir me repercusión que tuvo, ya que de otra
un mensaje de sonido. Así, el programa de confusión, el archivo enviado era una copia forma seguramente habría diseñado un siste-
correo interpreta que es una secuencia de aleatoria de uno de los de la Papelera de ma de recolección mucho más eficaz, con
audio e intenta reproducirla, Reciclaje del equipo infectado. varias direcciones o utilizando diferentes
por lo que entra en funciona- Su maniobra consiste en manipular métodos, como FTP o WebDAV, además del
miento nada más previsuali- varias entradas en el Registro del siste- correo ordinario.
zar el mensaje con el ma para contaminar todos los «.exe» Como la ponzoña proviene desde la propia
cliente Outlook, sin necesi- que se ejecuten. Igual- dirección del usuario y utiliza el
dad de ejecutarlo explícita- mente, realiza una bús- mismo servidor SMTP, los desti-
mente. queda en archivos HTM natarios pueden creer con facili-
Una vez que un servidor del disco duro para hallar dad que el emisor es una perso-
corporativo ha sido contagia- direcciones válidas y auto- na de confianza y llegar a
do, la limpieza es sencilla; enviarse a todas ellas. activarla aunque estén a salvo de
aunque, salvaguardarlo de la ejecución automática.
futuros ataques requiere algo ■ BadTrans
más de trabajo. Nimda crea un Si no tenemos actualizados Micro- ■ Sulfnbk
usuario guest (invitado) y le soft Internet Explorer y Outlook Pese a ser uno de los más divulga-
 TEMA DE PORTADA Virus del 2001

dos, Sulfnbk es lo que se llama con características que se

un hoax o falso veneno. Se trata asemejan a una puerta tra-
de mensajes de correo que aler- sera. Modifica el
tan de supuestos virus y su a r c h i v o
motor es la propia buena «[Link]»,
voluntad o la falta de informa- encargado de las comunicacio-
ción de los usuarios, que, al nes en Windows, para que, cada vez
ver esa advertencia en sus que se manda un correo, reenvíe otro
buzones, la envían a toda su a la misma dirección con el fichero
lista de contactos contribuyen- infectado. Tiene un detalle curioso, y
do a difundir el pánico. La es que bloquea el acceso a las páginas
tónica general es simular que web de ciertas compañías de antivi-
la noticia viene de una fuente rus; por ejemplo, deniega la visita a
autorizada (IBM, Microsoft, los sitios que contengan palabras
etc.) para darle más credibili- como nai, avp, AVP, F-Se, mapl, pand
dad, llegando a inventarse o soph, entre otros.
incluso detalles técnicos. Nor- También evita que se puedan
malmente, sus efectos suelen dirigir correos a una lista de domi-
mostrarse como destructivos, El portal CiudadFutura ofrece páginas especiales de atención a este mundillo con nios predefinidos. Con esto, intenta
incluso algunos afirman que innumerables enlaces de interés. eludir que el usuario se ponga en
puede dañar el hardware. esos adjuntos. Es muy dañino, ya que eli- contacto con las compañías antivirus, de
De él se habló mucho el año pasado y, mina ficheros o sobre-escribe su conteni- manera que no pueda bajarse actualiza-
aun así, a principios de enero del 2002 hubo do con la cadena «YOUARESHIT» («Eres ciones, solicitar ayuda por e-mail o infor-
un nuevo brote que dispararó las alarmas. una caca», como veis, nada diplomático). marse de problemas víricos. Así, se ase-
Concretamente, en el mensaje se explica- Los clientes de correo que utiliza para gura una detección más tardía y
ba que había aparecido un nuevo enemi- buscar a sus futuros objeti-
go de acción retardada y no controlado vos son Outlook y Eudora.
por ningún antivirus. Además, añadía Un detalle a atender es
que, para comprobar si lo que las rutinas de infección
teníamos, no había más llevan una codificación senci-
que buscar «[Link]» lla, a base de operaciones
en la ruta XOR. Éstas modifican los
C:\Windows\command. ficheros que infectan, de
Curiosamente, dicho modo que sólo están operati-
fichero existe representado vos en el ordenador afectado,
por un icono que difiere del ya que para codificarlos utili-
resto y que ayuda a la creencia zan el nombre de la máquina
de que es un virus. Pero, al eli- en combinación con la fun-
minarlo, el sistema operativo deja de funcio- ción XOR. Recordemos que
nar correctamente. Cuidado pues. dos operaciones iguales XOR
sobre una cadena de datos la
■ Magistr dejan en su forma original. La Asociación de Internautas está especialmente preocupada por extender la
Este gusano con capacidades polimórfi- Es por ello que los archivos costumbre del uso de antivirus actualizados en sus campañas preventivas.
cas obtiene aleatoriamente, de forma se pueden codificar/descodi-
parecida al SirCam, archivos con exten- ficar sin problemas con la misma opera- dificultosa. Para acabar con él, dadas las
sión WAB (Libreta de direcciones), DBX, y ción, lo que simplifica ligeramente el códi- modificaciones realizadas en el Registro y
MBX (bases de datos de mensajes), y go del virus. en una serie de archivos, no basta con
envía correos a las listas de contactos con En un momento dado, al ejecutarse uno ejecutar un antivirus. Es necesario tam-
de sus múltiples payloads, inserta bién arreglar a mano ciertos ficheros,
un programa troyano en el siste- aunque generalmente todas las com-
ma de arranque de los Windows pañías suministran herramientas especia-
basados en NT, NTLDR, y llena de les para su desinfección.
basura el sector 1, cilindro 0,
cabeza 0 del disco duro, siendo ■ Ramen
imposible que arranque posterior- Se reproduce en Linux aprovechándose de
mente. dos buffer overflows existentes por defecto en
ciertas distribuciones. Es el caso de Red Hat
■ Apology 6.2, en la que explota un fallo en wu-ftp;
Este agente, pese a tener ya más o Red Hat 7.0, donde utiliza otro des-
de un año, ha conseguido mante- bordamiento en LPRng. Emplea una
nerse en las primeras posiciones técnica de banner grabbing (grabado
de la lista In the Wild. Su prin- de banners o del mensaje que se
cipal cualidad es que se muestra al conectarse vía Tel-
Panda Software pone a disposición del curioso internauta esta trata de una mezcla de net) en los puertos de esas
enciclopedia vírica con multitud de documentación. gusano y troyano, aplicaciones, de forma
 TEMA DE PORTADA Virus del 2001

NTOSKRNL. Con ello, logra que, a partir del

siguiente arranque, cualquier usuario que
acceda al sistema tenga privilegios de admi-
Conclusión
nistrador. Asimismo, muestra un texto en Como hemos podido comprobar, gran
pantalla (~Fun Loving Criminals~), reinician- parte de los virus más activos hacen
do posteriormente el ordenador. uso de las características de los pro-
ductos de Microsoft; entre ellos, IIS,
■ Hybris Internet Explorer y Outlook Express.
El ya famoso virus del enanito de cuento de Por tanto, siempre hay que tener ins-
Blancanieves sigue expandiéndose pese a taladas las últimas actualizaciones de
que todo el software especializado lo detecta. estos productos.
Esto nos da una idea de la cantidad de per- También se podría pensar que una
sonas que no tienen antivirus o bien no lo solución a algunos de estos problemas
han actualizado desde hace mucho tiempo. pasa por cambiar radicalmente de tec-
que busca datos concretos. Por ejemplo, al Como recomendación, nos gustaría decir que nología. En vez de IIS, por ejemplo, uti-
conectarse al puerto 21 del FTP comprueba de nada vale tener un programa de este tipo lizar algún otro servidor web; en lugar
si la fecha está entre «Mon Feb 28» y «Wed si no se renueva periódicamente. del Internet Explorer, Netscape u Opera;
Aug 9», guardando el resultado en cada caso o sustituir Outlook Express por cual-
para aprovecharse más adelante de una ■ KAK quier otro gestor de correo como pueda
vulnerabilidad u otra. No es un Una vez más, he aquí un vete- ser Calypso, Pegasus, etc. Temporal-
método que pueda ser conside- rano que se mantie- mente podría ser un remedio, ya que
rado muy elegante, ya que ne en las listas de los programadores de virus general-
no se podrá difundir en sis- los más reportados a mente se fijan más en las plataformas
temas que hayan sido pesar de haber cum- más universales. Pero, cuando hubiese
recompilados o a los que plido algo más de dos años. Su una afluencia masiva de usuarios a
se les haya cambiado el banner de principio activo es parecido al que estas aplicaciones, el ciclo volvería a
bienvenida, pues no podrá saber qué usaba uno de los primeros gusanos, el comenzar, desarrollándose nuevas pon-
offset usar para abusar de la debilidad. Bubbleboy. Está programado en Visual Basic, zoñas cuasi-específicas para Netscape,
El gusano instala una versión mínima de con lo que su modificación resulta sencilla y, Calypso, etc. Por ello, la respuesta defi-
un servidor web para HTTP/0.9 en el puerto por ello, tiene determinadas variantes. Al nitiva no pasa por cambiar y comenzar
27374, con el objeto de servir copias de sí igual que otros, se ejecuta sin necesidad de a emplear un producto nuevo o desco-
mismo. Además, cierra de una forma peculiar que el usuario active nada, con lo que basta nocido (que estará sujeto a fallos aún
los servicios por los que ha atacado. Elimina con la vista preliminar para conseguir una por descubrir), sino mantenernos alerta
«[Link]» en Red Hat 6.2, y «lpd» en Red infección plena. y actualizados en materia de antivirus.
Hat 7.0. Igualmente, añade una entrada en A grandes rasgos, guarda en el Registro de
la ruta /etc/ftpusers con los nombres ftp y Windows la información precisa para que los
anonymous para que nadie lo descubra. El días 1 de cada mes se reinicie el ordenador a ples creadores de virus
motivo de introducir esos usuarios se debe a las 5 en punto de la tarde. Al mar- automáticos que existen y el
que el exploit empleado necesita un acceso gen de esto, modifica la configu- propio autor reconoció que
anónimo para entrar y añadiéndolo ahí lo ración de Outlook para enviar el no tenía ni idea de progra-
habilita permanentemente. virus camuflado como firma digital mación y que por eso había
con todos los mensajes de correo que sal- recurrido a un generador
■ FunLove gan. automático. De hecho, ni siquiera había
Lo que dio alas a FunLove no fue una distri- modificado las cadenas que se insertaban en
bución que acompañaba a una revista o la ■ Anna Kournikova el Registro, introduciéndose una que decía
publicación en foros de news, sino algunas A principios del año pasado, este desarrollo «Worm made with Vbswg 1.50b».
actualizaciones de la mismísima Microsoft. corrió como la pólvora. Simulaba ser una foto-
Prácticamente todas las que se bajaron grafía de la conocida tenista rusa, aunque ■ Sadmind
desde el 6 al 20 de abril desde los sitios web realmente escondía un código en Visual Basic La mayor peculiaridad de Sadmind es que
de Microsoft Premium Support y Gold Certi- Script. Para evitar su identificación a primera arremete contra sistemas Solaris y Windows.
fies estaban infectadas y, en consecuencia, vista, mandaba el adjunto «ANNAKOURNI- Se compone de varios archivos cogidos de
quienes confiaron ciegamente en [Link]» para aparecer como un diferentes sitios, puesto que no todo el códi-
ellos fueron contagiados. simple archivo de imagen valiéndose go pertenece a un solo autor, con lo que no
El veneno, residente en de que, por defecto, Windows oculta está constituido por un único ejecutable.
memoria, se ejecuta cada la extensión en los nombres de En Windows, se apoya en la conocida vul-
vez que el sistema arranca. ficheros conocidos. La misiva se nerabilidad de Unicode que permite ejecutar
Adjunta al final de los acompañaba de una frase en comandos en sistemas con el IIS (el servidor
archivos infectados (EXE, inglés «Here you have» («Aquí tie- web de Microsoft) sin el correspondiente par-
SCR y OCX) su cadena, nes») seguida de un guiño de com- che. De otro lado, para encontrar servidores
modificando el Entry Point plicidad. Solaris frágiles, escanea de una forma ale-
de la víctima para saltar a la Como ya viene siendo habitual, se atoria un rango entero de una clase B hasta
sección vírica posteriormente. Es redirecciona a todos los contactos de la que los localiza. Es decir, por cada máqui-
un problema porque, en sistemas deri- Libreta de direcciones, borrándose después na infectada, el gusano escaneará y bus-
vados de NT, modifica el archivo NTLDR para para no dejar huella. Como anécdota, valga
Alberto Román, director técnico de Axioma
deshabilitar el control de accesos que da decir que fue elaborado con uno de los múlti-