Gràcies Mercé. Sembla que els fabricants d'antivirus van passar de les llengües "minoritàries"...
Salut Jordi Manchon -----Original Message----- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of [EMAIL PROTECTED] Sent: miércoles, 24 de noviembre de 2004 23:55 To: [EMAIL PROTECTED] Subject: una-al-dia (24/11/2004) Comentarios sobre el gusano Pawur (Tasin/Inzae/Anzae) -----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------- Hispasec - una-al-día 24/11/2004 Todos los días una noticia de seguridad www.hispasec.com ------------------------------------------------------------------- Comentarios sobre el gusano Pawur (Tasin/Inzae/Anzae) ----------------------------------------------------- En Hispasec seguimos recibiendo mensajes de usuarios que han sido afectados por el gusano Pawur, alias Tasin, Inzae o Anzae, del que ya informamos en una entrega anterior. Básicamente los comentarios se dividen en dos grandes bloques, por un lado aquellos que se lamentan de las perdidas sufridas por la acción del gusano, mientras otros se quejan de las respuestas de determinadas casas antivirus. El foco de infecciones sigue localizado en Hispanoamérica, con especial incidencia en Chile. Desde allí recibimos gran cantidad de mensajes de usuarios afectados que han perdido fotografías, archivos de música MP3 y documentos de Office. Efectivamente, el gusano contiene una rutina que borra los archivos que contengan alguna de las siguientes extensiones: .asm, .asp, .bdsproj, .bmp, .c, .cpp, .cs, .csproj, .css, .doc, .dpr, .frm, .gif, .h, .htm, .html, .iso, .jpeg, .jpg, .mdb, .mp3, .nfm, .nrg, .pas, .pcx, .pdf, .php, .ppt, .rar, .rc, .rc2, .reg, .resx, .rpt, .sln, .txt, .vb, .vbp, .vbproj, .wav y .xls En los últimos tiempos, afortunadamente, los gusanos de propagación masiva no suelen incluir efectos dañinos directos, como es el borrado de archivos o formateos de unidades, que si eran más frecuentes en las primeras generaciones de virus. Tal vez por este motivo la concienciación sobre los daños que puede causar una infección se ha ido relajando, hasta el punto que muchos usuarios pueden percibir la amenaza de los virus y demás malware como un simple estorbo que puede retrasar o bloquear su trabajo de forma puntual, o crear cierto caos durante unas horas en la red de la empresa. Sin embargo el gusano Pawur es un vivo ejemplo del riesgo real que entraña no contar con una protección antivirus adecuada y, sobre todo, una formación básica en seguridad. No olvidemos que los antivirus, por definición, sólo pueden proporcionar una seguridad relativa, de momento es imposible una protección 100% segura contra los virus (pese a lo que digan en sus anuncios), y esta debilidad se muestra especialmente en los casos de nuevos especímenes. Por tanto, desde Hispasec recordamos que es fundamental que los usuarios sean conscientes de que ellos mismos son la mejor protección contra los virus, y que deben seguir unas reglas básicas de seguridad (no abrir archivos adjuntos no solicitados, etc.). Evidentemente esto es extrapolable a los entornos corporativos, donde las empresas deberían poner tanto o más interés en formar a sus empleados, como en dotar a sus sistemas de la protección antivirus adecuada. Hay dos opciones, o ver y tener a los usuarios como parte del problema, o formarlos y convertirlos en parte de la solución. También son muchos los que han mostrado su enfado por el retraso en las notificaciones y actualizaciones antivirus. En esta ocasión parece que la localización de la propagación, que se presentaba con textos en español y que sólo ha afectado de forma significativa en algunos países hispanoamericanos, ha condicionado que algunas casas antivirus no hayan prestado la atención que se merecía a juzgar por las incidencias que se están dando. Deben ser los usuarios afectados, y registrados legalmente, los que muestren su descontento y/o pidan explicaciones a sus respectivos proveedores. A continuación actualizamos los tiempos de reacción de cada solución antivirus en proporcionar la protección a sus usuarios contra el gusano. En primer lugar destacaría NOD32 por detectarlo mediante heurística antes de que se produjera su propagación: NOD32 :: probably unknown NewHeur_PE A continuación los tiempos en proporcionar la actualización específica para el gusano (hora española): Panda 19.11.2004 18:51:04 :: W32/Tasin.A.worm Kaspersky 21.11.2004 04:18:37 :: I-Worm.VB.w TrendMicro 22.11.2004 23:20:59 :: WORM_ANZAE.A eTrust-Iris 23.11.2004 00:54:50 :: Win32/Inzae.A.Dropper DrWeb 23.11.2004 07:02:49 :: Win32.HLLM.Pawur Sophos 23.11.2004 11:06:02 W32/Anzae-A BitDefender 23.11.2004 11:42:11 :: Win32.Worm.Pawur.A NOD32 23.11.2004 11:48:06 :: Win32/Pawur.A F-Prot 23.11.2004 15:40:32 :: W32/[EMAIL PROTECTED] ClamAV 23.11.2004 18:31:11 :: Worm.Pawur.A Symantec 23.11.2004 22:12:58 :: [EMAIL PROTECTED] Norman 24.11.2004 15:09:15 :: [EMAIL PROTECTED] McAfee 24.11.2004 18:14:27 :: W32/Anzae.worm.a Posteriormente a su primera firma, Kaspersky actualizó en dos ocasiones para modificar el nombre con que detectaba al gusano: Kaspersky 22.11.2004 04:05:02 :: I-Worm.Pawur.a Kaspersky 24.11.2004 11:05:35 :: Email-Worm.Win32.Pawur.a ¿Y Sybari? Aquellos que hayan utilizado el servicio de análisis de archivos sospechosos VirusTotal (http://www.virustotal.com) habrán observado que figura en los reportes una solución antivirus que no suele aparecer en los listados de tiempos de reacción. Antigen de Sybari es una solución de seguridad perimetral para servidores de correo, que permite utilizar varios motores antivirus de forma simultánea, si bien no puede ser utilizada por ejemplo en una estación de trabajo como un antivirus residente o para realizar análisis a demanda de unidades. Las peculiaridades del producto, diferente al resto de motores individuales integrados en VirusTotal, impiden de momento poder hacer análisis retrospectivos para conocer en que momento exacto detectó por primera vez una muestra determinada. Esta es la única razón por la que no aparece en los listados de tiempo de reacción. En el caso del gusano que nos ocupa Sybari lo puede detectar con diferentes nombres, dependiendo de los motores integrados en la solución. Panda TruPrevent Otro producto, cuyos resultados aun no puede ser reflejados en los tiempos de reacción, es Panda TruPrevent, que se basa en análisis del comportamiento en vez de análisis de código. En este caso la dificultad se encuentra en automatizar el proceso para obtener los resultados de reacción ante una muestra determinada, ya que requiere la ejecución real del espécimen en un sistema para poder determinar la respuesta de la solución. En breve dedicaremos una entrega de una-al-día para explicar todas estas peculiaridades e informar de las últimas novedades, funciones y noticias relacionadas con VirusTotal. Opina sobre esta noticia: http://www.hispasec.com/unaaldia/2223/comentar Más Información: una-al-dia (22/11/2004) Gusano Anzae, Inzae, Pawur o Tasin http://www.hispasec.com/unaaldia/2221 Bernardo Quintero [EMAIL PROTECTED] Tal día como hoy: ----------------- 24/11/2003: Versión en castellano de la metodología OSSTMM v2.1 y metodología para el análisis de redes inalámbricas http://www.hispasec.com/unaaldia/1856 24/11/2002: Opciones de seguridad en Linux a través de /proc (I) http://www.hispasec.com/unaaldia/1491 24/11/2001: Vulnerabilidad en el procesador de archivos asf de Windows Media Player http://www.hispasec.com/unaaldia/1126 24/11/2000: El gusano "Sonic", capaz de actualizar su código http://www.hispasec.com/unaaldia/761 24/11/1999: Corregida la vulnerabilidad en Lettera http://www.hispasec.com/unaaldia/393 24/11/1998: Netscape también permite leer ficheros http://www.hispasec.com/unaaldia/28 ------------------------------------------------------------------- Claves PGP en http://www.hispasec.com/directorio/contacto ------------------------------------------------------------------- Bajas: mailto:[EMAIL PROTECTED] Altas: mailto:[EMAIL PROTECTED] ------------------------------------------------------------------- (c) 2004 Hispasec http://www.hispasec.com/copyright ------------------------------------------------------------------- -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBQaURAXhEfcD7VnHhAQFA7gf/VUc7rC1WUaQIYPJOQSytqJEVbgPOCrG3 cgN+r0lFNsDmDr2JqffAP50U0XcKe5kva9gDj/vQ55DBekLIj7y6/l77rq+RWfbL 4cwTykp9aBN6YDgrUkPMHsnnxHyhFAdmwxgQVCcStADP/AfHfg1egWt2JBNFkYjS ixYAZwhQM2u+OoGDchFUByFp96wOJ2pUd16TzsZHq7T00mXHyBCo7UK2Zsa+Volz BdfYkXFYwqOGuF37WfaVlYPFxTCyVAUw9XZprHyJf98GHqzQ7kV543ion2qZNwCF aI8hPA1PJEi3xygYGr8zimdLbEQBmLsJpz29j6NM0cT3kssRr/9C8A== =R3+I -----END PGP SIGNATURE----- -----Original Message----- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Mercè Arderiu Sent: martes, 30 de noviembre de 2004 6:56 To: [EMAIL PROTECTED] Subject: Re: [Internauta] virus en castellà? On Tue, 30 Nov 2004 00:09:40 +0100, Jordi Manchón wrote: > > Un amic meu que te el XP Profesional diu que li ha entrat un virus… > Un nuevo virus se difunde en un mensaje en español: http://digital.telepolis.com/cgi-bin/reubica?id=276991&origen=EDTecnologia --> Navegante http://digital.telepolis.com/cgi-bin/reubica?id=276992&origen=EDTecnologia --> Iblnews http://digital.telepolis.com/cgi-bin/reubica?id=276993&origen=EDTecnologia --> Noticiasdot.com http://digital.telepolis.com/cgi-bin/reubica?id=276994&origen=EDTecnologia --> Diario TI A veure si hi trobes l'explicació que busques Mercè ;) _______________________________________________ llista de correu de l'Internauta [EMAIL PROTECTED] http://zeus.internauta.net/mailman/listinfo/internauta _______________________________________________ llista de correu de l'Internauta [EMAIL PROTECTED] http://zeus.internauta.net/mailman/listinfo/internauta
