Visita el Blog de Virus Attack!
 Hacer página de inicio  Agregar a Favoritos  Recomendar a Amigo  Contacto  Ayuda

Usuario: 
Clave: 

  Portada
  Alertas
  Hoaxes
  Scams
  Ránking
  Parches
  Antivirus
  Sorteos
  Webmasters
  Base de datos
  Scan on line
  Herramientas
  Download
  Enviar Ejemplo
  Boletín de Noticias
  Listas de correo
  Anuario
  Noticias
  Artículos
  Entrevistas
  Documentos
  FAQ´s
  Acerca de
  Publicidad
  Links
  Sitios Afiliados
  Colaborar
  Contáctanos
  Enlázate
  Ayuda
  Menciones



¡Afiliate YA!

  -:[ Webinterk ]:-
  Bleend Entertainment
  DM Corporate
  La buhardilla
  Mondo Kronhela Literatura
  Mundo-IRC
  PortalhacK
  Revista Trash!
  Sistemas Jóvenes
  XousLAB

¡Afiliate YA!




BUSCAR:
 
  ULTIMAS NOTICIAS
W32/Mapson (W32/Lorra), un gusano con poco futuro
08/06/2003
Ayer alertábamos sobre este nuevo gusano, ante la gran cantidad de reportes recibidos inicialmente, pero una de sus funcionalidades nos hace pensar que pronto dejará de reproducirse.
Versión para imprimir 4076 lecturas de esta noticia
Enviar a un amigo Publicar comentario

Parece estar convirtiéndose en costumbre que los virus de mayor propagación comiencen a ser detectados los sábados, como sucedió ayer con el nuevo gusano W32/Mapson (antes llamado W32/Lorra o W32/Renalo). A mediados del día de ayer comenzamos a recibir varios reportes de éste por lo que tras hacer un análisis rápido de los ejemplos recibidos, enviamos un alerta preventiva a nuestro boletín de noticias.

Uno de los principales ganchos de este gusano que se reproduce por correo electrónico y redes de aplicaciones de intercambio de archivos P2P son los múltiples mensajes en los que puede llegar a variar, todos ellos en Español. Esto provocó que inicialmente se reprodujera rápidamente en Latinoamérica y, en menor proporción, España.

Algunos de estos mensajes hacen referencia a importantes sitios de seguridad informática, como HispaSec y VSAntivirus.com, simulando provenir de ellos, lo que pudo engañar a gran número de usuarios. Además, otros mensajes mencionan temas como programas de televisión, estrellas de la música y alertas sobre nuevos virus, distintos trucos de ingeniería social para lograr que el usuario ejecute el archivo adjunto.

Funcionalmente, tras un análisis más exhaustivo, el gusano no tiene funcionalidades fuera de lo común. Para reproducirse por correo electrónico recolecta todas las direcciones de los contactos del MSN Messenger del usuario infectado y se envía a ellos en un mensaje simple de correo, sin ninguna técnica para ejecutarse automáticamente.

De esta manera, todos los mensajes infectados tienen como objetivo llegar a direcciones de correo electrónico de Hotmail, y también provienen de éstas, pero no siempre de la del usuario infectado. El gusano se envía desde y hacia cualquiera de las direcciones recolectadas, provocando cierta confusión sobre si quien aparece como remitente es realmente quien está infectado.

Pero esta funcionalidad es con la que el gusano ha firmado su propia sentencia de muerte. Al utilizar exclusivamente el servicio de correo electrónico de Hotmail para enviarse, ni bien el antivirus que se utiliza en él (McAfee VirusScan) sea actualizado, el gusano será detectado en todos los mensajes que genere, y los usuarios serán advertidos, cuenten, o no, con un antivirus en sus equipos.

Lamentablemente, pese que durante la tarde de hoy Network Associates, responsable del producto, publicó una descripción del gusano (uno de los pocos fabricantes antivirus importantes que lo hizo) y ya existen actualizaciones para detectarlo, el servicio de Hotmail sigue sin contar con las últimas definiciones del antivirus y, por lo tanto, no reconoce el virus en los mensajes infectados que reciben sus usuarios.

Charlando sobre el tema con José Luis López, experto uruguayo y responsable máximo del sitio VSAntivirus.com, nos hizo recordar que esto no es nuevo, y es ya una costumbre que el antivirus de Hotmail no sea actualizado rápidamente en algunos casos. Pero, ni bien lo haga, el gusano ya no podrá reproducirse por correo electrónico y las pocas copias que sigan en la calle lo estarán en los equipos infectados que utilicen aplicaciones de intercambio de archivos.

Un tema curioso respecto de este gusano ha sido la lentitud con la que algunas casas antivirus han reaccionado. No puede decirse que la razón sea que el gusano haya aparecido durante el sábado dado que con el Sobig.B, Sobig.C y Fizzer los antivirus reaccionaron rápido, por lo que si debemos buscar un motivo en este retraso prolongado en las actualizaciones debemos buscarlo en el hecho de que los textos que el gusano utiliza estén en español y no en inglés.

Las casas antivirus que más rápido reaccionaron fueron PER Antivirus y HackSoft (ambos de Perú), y Symantec (responsables del Norton Antivirus). Recién unas 8 horas después del segundo reporte que realizamos, notificando que el gusano se encontraba activo y siendo bastante reportado, otras casas como Kaspersky Labs., Network Associates (McAfee) y Panda Software, y un poco después, NOD32, cuya versión 2.0 Beta 5 lo detectaba heurísticamente en su módulo IMON desde el principio.

El hecho de que los principales antivirus no sean de origen hispano o latinoamericano (salvo el caso de Panda Software) y que sus laboratorios antivirus sean principalmente manejados en Estados Unidos, Europa o Asia, provoca que cuando la amenaza recae solamente en el mundo hispanohablante, como en este caso, la respuesta sea más lenta.

En un mundo tan globalizado como el actual, sobre todo en lo que a la informática se refiere, donde productos antivirus de Japón son usados hasta en Guatemala, es importante que los productos de seguridad respondan rápidamente tanto en epidemias de origen europeo como en las de origen latinoamericano, porque el hecho de que no afecte a Europa o Estados Unidos no implica que sea menos peligroso. 

Quizás, para los responsables comerciales de algunas casas antivirus el mercado latinoamericano sea chico y menos importante y por ello sucedan este tipo de cosas, donde todavía existen varios antivirus, algunos muy importantes, que no detectan este gusano, el cual aún sigue siendo reportado. Esto nos hace pensar si es bueno contar con un producto extranjero o mejor sería utilizar alguno cuya localización sea lo más cercana a nuestro hogar o empresa.

Pasadas más de 24 horas desde su aparición, empresas de renombre como Sophos (con laboratorios en Estados Unidos y Gran Bretaña), Trend Micro (responsable del PC-cillin y con laboratorios en Filipinas y Estados Unidos) o Computer Associates (desarrollador del eTrust InoculateIT y con principal presencia en Estados Unidos) aún no detectan el gusano. Extraño es el caso de Trend Micro, compañía con importante presencia en Latinoamérica que aún no tiene una forma de detectar el W32/Mapson.

Lo mismo sucede con el BitDefender (ex AVX), de origen rumano, y con el AVG, gratuito y de mucho uso, de origen checo, pero puede justificarse con que no cuentan con un amplio mercado en los países de habla hispana. Curioso es el caso de AVAST! 4, también de la República Checa, que ya detecta el gusano, antes que otras empresas con presencia mundial. Obviamente que allí poco español es el que se habla pero su respuesta ha sido óptima.

Volviendo al gusano en sí, y dejando planteado que las compañías antivirus deberían tratar cada amenaza por igual, como decíamos al principio, tiene los días contados, pero esto no implica que no debamos tener mayor precaución con aquello que recibimos por correo electrónico. Adjuntos no solicitados, aunque provengan de una fuente confiable, no deben ser nunca ejecutados sin antes corroborar que nos lo haya enviado quien dice ser el remitente y haberlo analizado con uno o dos antivirus actualizados.

En esta oportunidad, el gusano no parece ser malicioso, pero ¿qué hubiera pasado si hubiera tenido rutinas para dañar seriamente los equipos infectados? Hay que estar siempre alerta, porque la única línea de defensa en la que podemos confiar 100% somos nosotros, y si fallamos, puede que no tengamos otra forma de proteger nuestra información cuando la necesitemos.

Más información

Virus Attack! - Alerta: Nuevo gusano en la calle
http://virusattack.virusattack.com.ar/noticias/VerNoticia.php3?idnotas=352

VSAntivirus.com – Hotmail vulnerable a los virus
http://www.vsantivirus.com/30-01-01a.htm



  COMENTARIOS   Agregar comentario 
 Solo se muestran los últimos 5 comentarios
 Referente al W32/Mapson
 por lu3cm el 6-/-0/2003 11: 0

Mediante las indicaciones efectuadas en esta nota, he podido desactivar el virus que entro el día 09 de junio en mi ordenardor en un mensaje generado vía hotmail.
El Norton 2003 lo detecto, pero nada pudo hacer al respecto, tampoco el Panda en linea que ni lo habia detectado.
Gracias a la gente de Virus Attack
 
BOLETIN DE NOTICIAS:
  
ALERTAS  
W32/Cuydoc: Solo infecta versiones en Español de Windows. Es capaz de eliminar todos los archivos .doc de Mis documentos y copiarse a la unidad A: si algún disquete es encontrado.
W32/IRCBot.B: Se trata de una variante de la familia SDBot. Fue detectado propagándose a través del correo electrónico, como spam, pero no tiene ninguna rutina para propagarse por ese medio. En cambio, puede ser distribuido a través de los canales de IRC.


ENCUESTAS  
¿Qué antivirus utiliza?
Ver todas las encuestas
HOAXES  
  InMoRtALLeTtEr666   
  Matrix.pps   
  Aflino   
Ver nuestro listado de falsas alarmas
RANKING  
Virus más reportados en los últimos 30 días:
 
PARCHES  
Parche acumulativo para Internet Explorer  
Vulnerabilidad en Visual Basic para Aplicaciones permite ejecución de código arbitrario   
Vulnerabilidad permite que Macros se ejecuten automáticamente en Microsoft Word  
Ver nuestro listado de parches
WEBMASTERS  
Podés incorporar nuestras noticias y alertas en tu sitio:
VAIYS: ¡gratis y sin programación adicional!
ACTUALIZACIONES  
AVAST y AVAST32
AVG
BitDefender
CSAV
Dr. Solomon's AVTK
ESafe
Eset NOD32
F-Secure
IBM Antivirus
InnoculateIT
Kaspersky Antivirus (AVP)
McAfee VirusScan
Norman Virus Control
Norton Antivirus
QuickHeal
Panda Antivirus
PcCillin
Sophos Antivirus
0