Inicio de zonavirus, antivirus

Puntualizaciones al articulo de DIARIOTI sobre los 10 Virus mas peligrosos de los últimos años

msc hotline sat
Friday, August 28, 2009

Vemos en diarioti.com el artículo http://diarioti.com/gate/n.php?id=23766 sobre los 10 virus mas peligrosos de los últimos 20 años, que deja mucho que desear, por lo que aclaramos:



El Barrotes no fué el primer virus español, sino que antes, a finales de 1990, nos afectó el KAMPANA, que derivaba en el ANTITEL o TELECOM, y que sobreescribía cíclicamente toda la información del disco duro tras 333 arranques. Lo creó el grupo HOLOKAUSTO (unos estudiantes de ingeniería de Barcelona) para protestar contra las tarifas telefónicas, por ello rezaba:

"Virus Anti - C.T.N.E. v2.10a. (c)1990 Grupo Holokausto.

Kampanya Anti-Telefonica. Menos tarifas y mas servicio.

Programmed in Barcelona (Spain). 23-8-90.

- 666 -"


Tuvimos miles de afectados por dicho virus, aparte los que pudimos curar antes de su activación, cambiando el código del MBR, que es donde residía el virus en el disco duro y que, por tener técnicas stealth mostraba el sector 7 del cilindro 0, donde guardaba una copia del MBR original, cuando queríamos ver el sector 1 de dicho cilindro, donde está normalmente dicho sector MBR . Tardamos en darnos cuenta de la treta, incluso los de McAfee no nos creían cuando se lo explicabamos... Y no podemos olvidarlo. Además, como que infectaba el disco duro, bien por ejecución de un fichero infectado por el KAMPANA, o por arranque con un disquete con el BOOT infectado, al infectarse Hacienda y repartirlo en los disquetes del programa PADRE del año 91, muchas gestorias lo sufrieron, perdiendo irremisiblemente los datos de sus clientes, aparte de los usuarios, empresarios y particulares, que tambien se infectaron.



Dado que su método de transmisión era por disquete, su movilidad geográfica fué reducida, especialmente al no haber Internet por aquel entonces y no expandirse el fichero que generaba dicho cambio en los BOOT de disquetes/MBR del disco duro. Pero al igual que luego otro virus dañino creado por Cesar, alias "RASEK", un estudiante gallego de que protestaba contra el rector de la Universidad de La Coruña, Sr Meilán Gil, y que se propagaba igualmente de Boot de disquetes a MBR de discos duros, con los epicentros correspondientes a su origen, llegaron a todo el pais, y ambos destruyendo la información de los ordenadores. Este último fue llamado tambien HDKILLER por rezar :

HDKiller By Rasek.

0UT Meilan!


y al mes de su entrada en el MBR, sobrescribía parte del disco duro impìdiendo su recuperación. Su recuerdo es del 1994 , siendo dicho alumno expulsado de dicha Universidad, y segun noticias de usuarios afectados, enviado a la UVI por empresarios que perdieron sus datos, aunque esto último no está confirmado.



Y sobre el Barrotes que menciona el artículo, decir que se olvidan de lo mas importante, que no es solo la aparición de 8 barras verticales en pantalla, sino de la pérdida de los datos del MBR, impidiendo el posterior arranque del disco duro, si bien con intervención técnica podía ser restaurada, como asi hicimos en muchos ordenadores afectados, a los cuales les cambiamos la fecha fatídica del 5 de Enero, recuperamos el acceso, eliminamos el Barrotes y volvieron a la normalidad.



Y para anteriores Viernes13 (o Jerusalem) y para el primero que nos afectó, el PING o PING-PONG, que hacía aparecer en pantalla una bolita rebotando en sus contornos, ya, aun sin antivirus comerciales, lo solucionabamos con utilidades propias, de detección y eliminación, que incluíamos en los ordenadores que montábamos, ya que por aquel entonces eramos ensambladores de ordenadores al por mayor, para su distribución a través de tiendas de informática, con marcas como PECEMAN, PERCOM, etc.



Y sin que sea comentado por el artículo indicado, cabe recordar el STONED, otro virus de BOOT y MBR, que fue distribuido en España en los disquetes que llegaban de Taiwan y que otros ensambladores entregaban con los equipos que montaban, (no por nosotros) y que al darnos cuenta de lo que llegaba, en los que entregábamos los desinfectábamos, y puesto en contacto con el proveedor de Taiwan nos indicaron que allí estaban desbordados por dicho virus, y que si queríamos combatirlo, nos pusieramos en contacto con un ingeniero americano llamado John McAfee que sabían que era quien luchaba en dicho campo... De ahí pasamos a ser Agentes en España de McAfee, del que seguimos siendo mayoristas oficiales



Del virus Cascade decir que pasó sin pena ni gloria, y que era gracioso por su caida de letras de la pantalla :) , lo cual tambien hacen Jokes sin daño. No creemos que deba considerarse peligroso...



Otra cosa es el CIH, creado por un estudiante de Taiwan, Chen Ing-Hou, de quien lleva sus iniciales, y que nada tiene que ver con el desastre de Chernobil, solo la coincidencia aproximada de fechas, ya que los dias 26 de Abril de cada año sobreescribía los primeros 2048 sectores del disco duro, MBR y 1ª fat en los antiguos discos duros de entonces con FAT32, por lo que cabía recuperar el daño a partir de la 2ª fat, pero lo que no se menciona e hizo mas daño es que sobreescribía, si el hardware se lo permitía, los datos de las BIOS (en eprom) de las placas base y de los discos duros, por lo que la recuperacion de los ordenadores asi dañados debía pasar por la extraccion de dicha BIOS y la reprogramacion de la misma, y en los portátiles con las BIOS soldadas en placa base y de dificil acceso... ya se sabe la solución !



Del Melissa, decir que no se menciona lo mas importante y es que era un virus de macro, y la infección residía en las macros de los ficheros de word y de excel, y que fue el precursor de una moda de dicho tipo de virus. Además empezó con él la propagación por mail, en su caso a las primeras 50 direcciones de la carpeta de direcciones.



El "I love you" fue el primer virus "mundial" , que infectó a "todo el mundo", a través de mails que llegaban con el ASUNTO : I Love You (Te quiero), Era un virus de VBS. Se identificó como "VBS.LOVE LETTER". Dicho virus se propaga a todas las direcciones de la carpeta de direcciones, por lo que su distribución fue masiva en poco tiempo. Sustituía los ficheros de imagen y sonido por el gusano VBS , manteniendo el nombre de los ficheros iniciales y capturaba datos del ordebador infectado y los enviaba a una direccion de Filipinas.



Del Klez decir que el artículo tiene un error total. No infectaba solo los dias 13 de meses impares, infectaba todos los dias, lo que tenía un payload destructivo algunos dias, segun variante, pero infectaba todos los días ! Otras variantes borraban aleatoriamente ficheros los días 6 de los meses impares, y los 6 de enero y 6 de julio, borraban todos los archivos del disco duro. Y la propagacion era a las direcciones de todas las carpetas, tanto de Outlook como de Eudora como de ICQ. Comentar al respecto que con él empezó la tecnica spoofing, esto es, que la dirección que aparecía como remitente en los e-mails maliciosos, no era la del ordenador que los enviaba, sino una de las direcciones de las listas existentes en el mismo. Y con él empezó la moda de utilizarv el Exploit-MIME, que permitía la autoejecución del mail por solo preleerlo, en ordenadores no parcheados



Del Nimda (Admin al reves) decir que se propagaba por correo masivo y una vez infectado un ordenador, se propagaba al resto de la Red por recursos compartidos, y usa tecnicas MIME para infectar ordenadores no parchados de dicha vulnerabilidad. Fue costosa su desinfeccion en empresas con un parque numeroso de ordenadores, dada su infección en servidores y clientes.



Del SQL SLAMMER recordamos infeccion masiva, debido a la propagacion a traves de servidores Microsoft SQL, pero sin consecuencias mas que las denegaciones de servicio que podía provocar su infección. Pero a diferencia de los anteriores, se prpagaba por IP, a través del puerto 1434/udp a direcciones generadas aleatoriamente.



Del Blaster o LOVSAN nos acordamos por la movida del verano de 2003, cuando infectó miles de ordenadores y coordinó un ataque de denegación de servicios en los servidores de actualizaciones de Microsoft , asi como su principal característica que era la propagación vía RPC-DCOM, vulberabilidad que requirió la creación de parches para protegerse contra ella. Y esta vulnerabilidad ha sido usada por muchos otros virus, buscando ordenadores no parcheados. Con el ELITRIIP.EXE lo solucionamos



El Sobig fue otro virus de propagacion masiva a traves de mails que anexaban ficheros ZIP conteniendo otros con extensiones "inocentes" ".scr" (salvapantallas) o ".pif", pero que son tan ejecutables como los .EXE y asi propagab en virus al ejecutarlos. Lo interesante de dicho virus fue la captura de las direcciones a donde enviar los mails, ya que al contrario que los anteriores, este las busca en ficheros de extensiones HTM, .HTML, .TXT, .EML, .DBX, .HLP, .MHT y .WAB Con el ELISOBIA.EXE lo solucionamos



Del Bagle decir que aun lo sufrimos actualmente. Aparte de dejar corruptos los antivirus, instala un rootkit que dificulta su deteccion y eliminacion e impide arrancar en modo seguro. Si bien con nuestro ELIBAGLA.EXE lo vamos controlando (esta semana hemos implementado el control y eliminacion de mas de 40 nuevas variantes) es de los que mas perdura a lo largo de los años y el único que sigue en pie de guerra tras mas de 5 años de antigüedad.



Otra cosa es el NETSKY, ya exterminado, aunque esta semaña ha habido un rebrote, pero puede haber sido un caso aislado. Hubo muchas variantes, de las cuales la C fue la mas persistente, propagandose por correo electrónico y por ordenadores con P2P, a las direcciones que encuentra en ficheros ASP, DBX, DOC, EML, HTM, HTML, MSG, OFT, PHP, PL, RTF, SHT, TBB, TXT, UIN, VBS y WAB, pero que no contengan las cadenas abuse, antivi, aspersky, avp, cafee, fbi, f-pro, f-secur, icrosoft, itdefender, orman, orton, spam y ymantec. Con el ELINETSA.EXE lo solucionamos.



Y del Conficker, que entra por vulnerabilidad que ya parcheó Microsoft en Noviembre de 2008 con el MS08-067, temerle por su aun persistencia a pesar de los medios, aunque con el USB445.EXE y las instrucciones al respecto lo solucionamos, pero la infeccion de tantos millones de ordenadores y la descarga de nuevas instruciones en los ordenadores infectados, hace temer que cualquier día "nos cierren el grifo o nos corten el cable", que es algo a lo que inevitablemente dependemos en Internet



Simplemente hemos pretendido complementar y aclarar (corrigiendo al mismo tiempo) el informe en cuestión, cuyo link indicado al principio repetimos en http://diarioti.com/gate/n.php?id=23766





saludos



ms, 28-8-2009

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto