Derecho informáticos derecho nuevas tecnologías
artículos estafas fraudes Servicio legal derecho informático nuevas tecnologías asesoría problemas legislación
Derecho informáticos derecho nuevas tecnologías
Derecho informáticos derecho nuevas tecnologías
 Artículos de Actualidad
  • ¿Infectado por "Klez.x"? Hora de cambiar de antivirus [28-04-02]  



    La última variante del gusano "Klez" está causando furor desde la semana pasada, alcanzando unas cifras de infecciones muy significativas. Antes de que viera la luz esta nueva versión ya existían técnicas para detectarlo de forma genérica, sin necesidad de actualizaciones de última hora. Si aun teniendo un antivirus se vió infectado por "Klez.x" de forma automática, tal vez sea hora de plantearse un cambio de producto.

    Puede llamar la atención de algunos lectores la "x" que he utilizado en el "apellido" de esta versión de "Klez", pero ante la diversidad de criterio de las casas antivirus, en lo que a nomenclatura se
    refiere, he preferido no decantarme por ninguna de las letras utilizadas. Es decir, cambie la "x" por "G", "H", "I" o "K", al fin y al cabo, el nombre es lo de menos.

    Aunque a día de hoy cualquier antivirus actualizado lo detecta, no sucedió lo mismo en los primeros momentos de propagación, como suele ocurrir cuando aparece un virus de nueva creación o variante. Dejando a un lado la detección heurística, capaz de lo mejor y lo peor, existe una forma muy fácil de reconocer e impedir la acción de este tipo de gusanos.

    ¿Qué tienen en común, entre otros, gusanos tan extendidos como BadTrans, Nimda o el propio Klez.x? Todos aprovechan vulnerabilidades para forzar la ejecución, y por tanto infección, automática, sin necesidad de que el usuario abra o ejecute un archivo, sin duda la característica que los ha dotado de mayor poder de propagación.

    Más curioso aun resulta que los tres gusanos nombrados, protagonistas de verdaderas epidemias, explotan la misma vulnerabilidad para forzar la ejecución automática en el cliente de correo Outlook Express (Nimda, además de ésta, aprovecha otras vulnerabilidades para infectar servidores IIS).

    La cosa se agrava si tenemos en cuenta que la vulnerabilidad en cuestión data de marzo de 2001, y que es muy fácil de detectar analizando el mensaje de correo electrónico. Basta con mirar si una cabecera MIME hace referencia a un programa ejecutable que simula ser un formato confiable, por ejemplo un archivo de audio.

    Aunque para los menos iniciados pueda sonar complicado, vamos a ver algunos ejemplos reales de las cabeceras utilizadas por estos gusanos para comprobar los elementos comunes, lo que convierte en trivial sudetección por cualquier antivirus para clientes, e incluso a través de un sencillo filtro en el servidor de correo:

    BadTrans-> Content-Type: audio/x-wav;
    name="news_doc.DOC.scr"

    Nimda-> Content-Type: audio/x-wav;
    name="readme.exe"

    Klez.x -> Content-Type: audio/x-wav;
    name=200).exe


    En definitiva, desde marzo de 2001 todos los antivirus podrían haber detectado de forma genérica cualquier e-mail donde viaje un gusano que intenta explotar esta vulnerabilidad del Outlook Express, para lograr la ejecución de forma automática. Lo fácil de su detección y lo crucial que resulta para la seguridad del usuario convierten a este tipo de detección de ataques o "exploits" en un requisito exigible e imprescindible en un buen antivirus.

    Hay que decir que algún que otro antivirus ya cuentan con este tipo de detecciones, sólo cabe esperar que no detecten esta noticia como un gusano o intento de exploit por contener los anteriores ejemplos. Si bien, dejaremos la problemática de los falsos positivos para otra entrega.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldiacom.asp?id=1278

    Más información:

    Win32.Klez.H@mm (BitDefender)
    http://www.bitdefender-es.com/virusi/virusi_descrieri.php?virus_id=82

    Win32.Klez.H (CAi)
    http://www3.ca.com/solutions/collateral.asp?CT=65&ID=1705

    Klez.H (F-Secure)
    http://www.f-secure.com/v-descs/klez_h.shtml

    Klez.H is Capable of Revealing Confidential Information (Kaspersky)
    http://www.kaspersky.com/news.html?id=570164

    W32/Klez.h@MM (McAfee)
    http://vil.mcafee.com/dispVirus.asp?virus_k=99455

    W32/Klez.G@mm (Norman)
    http://www.norman.com/virus_info/w32_klez_g_mm.shtml

    W32/Klez.I (Panda Software)
    http://www.pandasoftware.es/enciclopedia/W32KlezI_SOLU.htm

    W32.Klez.H@mm (Symantec)
    http://www.sarc.com/avcenter/venc/data/w32.klez.h@mm.html

    WORM_KLEZ.G (Trend Micro)
    http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.G

    W32/Klez.h (VirusAttack)
    http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=451

    W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas! (VSantivirus)
    http://www.vsantivirus.com/klez-h.htm


    Bernardo Quintero
    bernardo@hispasec.com





    Artículos de actualidad ...
    Archivo de artículos ...
    •  
    Campaña Stop Pedofilia
    Gratis Servicio de noticias
    Suscribir Borrado
    Tus Sugerencias son bienvenidas
    Pincha Aquí
    ¡¡Lista de correo!!
    Introduzca su correo:




    www.delitosinformaticos.com . mailto:webmaster@delitosinformaticos.com . Delitosinformáticos

    © Copyright 2000-2002 Delitosinformaticos.com -.