Mesa redonda: Privacidad y gestion de los datos en el mundo digitalt


Archivado en Noticias, Seguridad

La verdad sobre el VBS/Antrax


Anda que hay alertas de Virus que ... :(
Reproducimos un articulo de VirusAttack sobre lo que ha "ocurrido" con este virus.




El sábado se agregó a nuestra base de datos un análisis preliminar de este gusano, también denominado VBSWG.AF, VBSWG.AG, VBSWG.AH o VBSWG.AL, según la variante de la que se hable, que luego fue corregida para notar que, debido a un error en tiempo de ejecución no era capaz de ejecutarse correctamente.

Esta primer variante fue recibida en los laboratorios de Virus Attack! a través de un correo electrónico enviado manualmente desde el webmail del portal UOLMAIL, por lo que se supuso que el origen de este envío era España. Tras este envío, unos días después se recibieron otras dos variantes, muy similares, también desde cuentas de correo electrónico del mismo portal.

El Centro de Alerta Temprana del Ministerio de Ciencia y Tecnología de España se hizo eco en su web del reporte de Virus Attack! e inmediatamente publicó la descripción, lo que dio lugar a que diversos medios de ese país tomaran y publicaran esta información en sus páginas rápidamente.

La principal razón de la gran difusión obtenida por este gusano, es los mensajes en los que intenta difundirse, cuyo tema principal es acerca del virus biológico Ántrax (o Anthrax, en inglés), muy famoso en estos momentos debido a lo que está sucediendo en el mundo tras los atentados a EE.UU. Esto hizo que ante la aparición de un gusano que utilizará información de este virus para instar al usuario a ejecutarlo, los medios aprovecharan rápidamente la ocasión para informar de ello.

Pero lo que casi ninguno de estos medios informó es que las variantes conocidas del gusano, en principio eran 3, no son capaces de propagarse por correo electrónico debido a fallas en su programación, y que no se registraron casos de personas afectadas por este gusano debido a esta razón.

Y con esto la desinformación comenzó a ser moneda corriente en los medios hispanos: que se reproducía por correo electrónico como un archivo adjunto con extensiones como .jpg y .doc (según PCWorld España), que existían variantes en español e inglés (PCWorld Internacional) y que era capaz de propagarse por correo electrónico (casi todos los medios no especializados), todas informaciones completamente erróneas.

Las variantes conocidas del VBS/Antrax, como se lo conoce "extraoficialmente", si pudieran reproducirse por correo electrónico, cosa que son incapaces de hacer, lo harían con archivos de extensiones .jpg.vbs, .doc.vbs y .vbs, y es importante recordar que no existen virus capaces de utilizar la extensión .jpg para ejecutarse hasta el momento. 

Los mensajes de correo electrónico en los que este gusano podría ser recibido si realmente funcionara se encuentran en español y no existen versiones en inglés hasta el momento.

Y, por último, ninguna de las variantes analizadas por el momento es capaz de propagarse por correo electrónico debido a problemas de programación.

¿Y el anuncio de Panda?

El pasado 16, cuando la información publicada en el Centro de Alerta Temprana, acerca de este gusano, ya había alcanzado las primeras planas de casi todos los medios de habla hispana, la empresa española Panda Software anunció el descubrimiento de una cuarta variante de este gusano, que más tarde denominó VBWG.L (o VBSWG:AF), capaz de propagarse por correo electrónico en un mensaje con el texto "Como ahorita esta de moda hablar sobre el antrax aquí les mando una foto de un enfermo terminal" y un archivo adjunto de nombre Antrax, con las mismas extensiones posibles que las anteriores.

Este anuncio causó cierta sorpresa en el resto de los laboratorios antivirus debido a que la misma sólo fue recibida por dicha empresa, cuando las anteriores muestras habían sido enviadas manualmente por su autor a más de un destinatario. Debido a esto, comenzaron a correr rumores de que esta nueva variante había sido creada especialmente para atraer la atención de la empresa.

Igualmente, posteriores análisis de otros laboratorios antivirus como F-Secure, a través de su analista Katrin Tocheva, aclararon que tampoco la cuarta variante era capaz de propagarse correctamente por correo electrónico debido a que fallaba en el momento de adjuntar el archivo infectado al mensaje de salida. En sí, esta cuarta variante nada difiere de las anteriores, salvando el mensaje en el que intenta enviarse.

¿Antrax o Anthrax?

Otra de las confusiones causadas por este gusano se relaciona con los distintos nombres que recibió desde su descubrimiento. Bautizado inicialmente como VBS/Antrax, debido a la relación del contenido del mensaje con dicho virus biológico, al comprobarse que había sido generado con la herramienta VBS Worm Generator, se le asignó un nombre correspondiente, como VBSWG.AF, dado que este tipo de gusanos es llamado de esta manera.

Pero algunos medios, e incluso algunas compañías antivirus como Central Command, denominaron en algún momento a este gusano como Anthrax. Ya existe, desde 1990, un virus residente en memoria denominado de esta manera, por lo que denominarlo de esa manera es claramente un error.

Entonces, ¿qué hace este gusano? 

Esa es la pregunta que casi todos nos hacemos tras la gran cantidad de información distinta que circuló estos días por internet. Ninguna de las variantes conocidas del VBS/Antrax son capaces de propagarse por correo electrónico ni se han recibido reportes de usuarios que indiquen que haya casos de infección por este gusano.

Mientras que la primer variante descubierta, denominada VBSWG.AH.intended, no es capaz siquiera de ejecutarse debido a problemas en su programación, por las mismas razones el resto de las variantes no son capaces de de enviarse por correo electrónico, por lo que las posibilidades de que alcancen gran propagación son bajas. 

Lo que si pueden llegar a hacer estas variantes que si funcionan es reproducirse, en algunos casos, utilizando los clientes de IRC basados en mIRC o Pirch, y en caso de infectar un equipo, sobreescribir con su propio código archivos cuya extensión sea .vbs o .vbe. 

Es importante que no se genere gran alarma por este gusano, al menos hasta que se conozca alguna variante que funcione correctamente, debido a que sus capacidades no le permiten alcanzar un nível de gravedad medio o alto y es seguro que no alcanzará gran propagación. Pero esto no quiere decir que deba bajarse la guardia: cualquier mensaje de correo electrónico sospechoso que sea recibido por un usuario debe ser inmediatamente eliminado o remitido a algún laboratorio antivirus, y es importante que se actualicen periódicamente los antivirus para poder detectar los nuevos virus que sean detectados día a día.

Y algo más debe quedar claro: que hoy no exista un virus que funcione correctamente y que sea capaz de enviarse por corre electrónico con un mensaje relacionado con el Ántrax, no quiere decir que mañana no lo haya. Es importante que se esté alerta y se sigan los consejos básicos de seguridad para evitar problemas con éste o cualquier futuro virus relacionado con cualquier otro tema.

Más información

Virus Attack! - Descripción del VBS/Antrax
http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=338

VSAntivirus - Virus Antrax no puede propagarse, pero cambia de nombre
http://www.vsantivirus.com/17-10-01.htm

Alerta Antivirus - VBS/Antrax
http://www.alerta-antivirus.es/detalles/virus.php?cod_virus=994

Kaspersky Labs. - An Outbreak of Anthrax on the Internet?
http://www.avp.ru/news.asp?tnews=0&nview=1&id=242&page=0 PCWorld.com - Anthrax Worm Fails to Spread
http://www.pcworld.com/news/article/0,aid,66423,00.asp

PCWorld España - Anthrax: virus letal y virus informático: VBS/Antrax
http://www.idg.es/pcworld/noticia.asp?idn=19046

Symantec - VBS.VBSWG:AF
http://www.sarc.com/avcenter/venc/data/vbs.vbswg.af.html

Reproducido de VirusAtackk