W32/SirCam
y Red Code :Peligrosos virus atacan los e-mails
Alerta ha causado
el aparecimiento y propagación de dos virus computacionales
que utilizan el correo electrónico como plataforma de infección.
En nuestra universidad el tema tampoco ha estado ausente.
No
es secreto que en Internet abundan los
virus y que cada día nacen o se activan decenas de ellos.
Pero en las últimas semanas 2 de estos pequeños demonios
han hecho de las suyas alrededor de todo el mundo. Se propagan por
medio del correo electrónico, implemento diario de trabajo
y esparcimiento de millones de personas tan sólo en Chile.
De
hecho, la Dirección de Tecnología de Información
(DTI) de la Universidad de Chile ha alertado a toda la comunidad
sobre los cuidados que se debe tener al abrir archivos de las cuentas
de e-mail "abello" e "icaro", de académicos
y alumnos respectivamente. Ello, para que no ocurra lo sucedido
en la Facultad de Ciencias Sociales, donde la casilla de correo
de un profesor desinformado infectó la mayoría de
los PCs de sus colegas docentes.
Si
bien es cierto que gran parte de los virus computacionales están
hechos para destruir las aplicaciones más famosas de la empresa
Microsoft, Word y Outlook, (y a partir de allí pueden incluso
acabar con el sistema completo), la posibilidad de contraer estas
enfermedades virtuales es la misma si utilizas o no estas herramientas.
La
novedad en este asunto es que la inteligente distribución
de uno de ellos (W32/Sircam) hace imposible desconfiar del mensaje
en el cual llegan. El receptor del virus sin darse cuenta al momento
de infectarse envía a toda su lista de contactos una copia
del mail con simples datos que pasan perfectamente como de su autoría,
de esa forma el nuevo destinatario abre el correo y el archivo adjunto
quedando así infectado por el virus y comenzando nuevamente
la cadena de infección ahora con su lista de contactos.
La
naturaleza de estos virus es de tipo gusano, uno de los más
dañinos y peligrosos que existen. Concurridas tan sólo
9 horas desde su aparición el 19 de Julio se ha registraron
miles de usuarios infectados, por lo que autoridades y expertos
en el tema recomendaron una extrema precaución ante correos
no solicitados o con archivos adjuntos de dudosa o poco común
naturaleza (extensión) y una constante actualización
de los dispositivos antivirales.
Los
protagonistas de esta amenaza son:
Red
Code (Código Rojo)
Virus que ataca exclusivamente a aquellos computadores que utilizen
como sistema operativo Windows NT y Windows 2000 Server o Advance.
Su
método de propagación es aprovechando una falla en
el sistema de microsoft. Ante ésto el coloso de la computación
creó de inmediato un "patch"
que repara este error y asegura la invulnerabilidad de la máquina.
Su
efecto en Chile es limitado debido al reducido universo de computadores
operando con esos sistemas operativos, pero debido a que ataca precisamente
aquellas máquinas que sirven de servidores, la navagación
por internet puede que se haga más lenta o incluso los sitios
a los que desees ingresar si han sido infectados aparecerán
desconectados, o en su defecto aparecerá este mensaje:
Welcome
to http://www.worm.com
!
Hacked
By Chinese!
W32/Sircam
Este virus es un gusano que se propaga a través del correo
electrónico enviándose a los contactos de la libreta de direcciones
de Outlook. El gusano escoge un archivo del equipo afectado
para enviarse a sí mismo y le añade otra extensión. De este
modo, el archivo adjunto aparecerá con doble extensión. Una
vez que el gusano se ha instalado en el sistema, modifica
el registro de Windows para asegurar su presencia cada vez
que se ejecute un archivo con extensión EXE. En ciertas ocasiones
el gusano crea un archivo y comienza a escribir texto en él
hasta ocupar todo el espacio disponible en el disco duro.
Adicionalmente, otra de las acciones que puede llevar a cabo
este virus es la eliminación de información del disco duro.
Método de infección
Este
gusano utiliza el correo electrónico para enviarse a los contactos
que se encuentren en la libreta de direcciones de Outlook.
El
texto de los mensajes enviados es una combinación de varios textos:
Asunto: [Nombre archivo adjunto sin extensión]
En
la primera línea podemos ver la siguiente frase:
Hola como estas ?
El
texto intermedio puede ser cualquiera de estos:
- "Te mando este archivo para que me des tu punto de vista"
- "Espero me puedas ayudar con el archivo que te mando"
- "Espero te guste este archivo que te mando"
- "Este es el archivo con la informacion que me pediste"
Por
último la última línea del texto es la siguiente:
Nos vemos pronto, gracias.
Un
ejemplo
El
archivo adjunto al mensaje tendrá doble extensión. En concreto,
el gusano escoge un archivo del equipo afectado al que añade una
segunda extensión. De este modo, el archivo adjunto aparecerá con
extensión doble.
El
virus en tu sistema
Cuando
el gusano es ejecutado, crea dos copias ocultas de sí mismo en el
directorio C:\Recycled. La primera de ellas llevará el nombre del
archivo adjunto en el mensaje, pero eliminando la extensión añadida
por el gusano. La segunda de ellas llevará por nombre SIRC32.EXE.
Por
otra parte, el gusano se copia a sí mismo en el directorio del sistema
de Windows con el siguiente nombre nombre SCAM32.EXE. Adicionalmente,
en ciertas ocasiones el gusano crea un archivo llamado SYRCAM.SYS
y comienza a escribir texto en él hasta ocupar todo el espacio disponible
en el disco duro.
Otra
de las acciones que puede llevar a cabo este virus es la eliminación
de información del disco duro. Esta acción tendrá lugar en una de
cada 20 ocasiones en las que se ejecuta el gusano.
Cómo
eliminarlo
Si
fuiste infectado por el Sircam o abriste el mail y no sabes si entró
o no a tu sistema, puedes descargar el programa PQREMOVE
que Panda Software ha creado para eliminar el virus. Otra empresa
de Antivirus, McAfee también ha creado un programa para eliminar
esta amenaza. Lo puedes descargar desde aquí.
Éste es un archivo comprimido que debes extraer a una nueva
carpeta en tu disco duro llamada SCREMOVE y una vez hecho eso ejecutar
la aplicación REMOVE.BAT
Si
una vez realizado el análisis resulta que estás infectado,
ve a esta dirección y sigue las instrucciones desde el paso
5.
http://www.123.cl/servicios/protegete/antivirus/noticias.htm
Fuente y más información:
http://www.123.cl
http://www.symantec.com
http://www.mcafee.com
Wilson Arancibia |
Viernes
03 de agosto de 2001
|
|