El virus que destruyó nuestra credibilidad

El virus que destruyó nuestra credibilidad
por José Luis López(*)
25/03/2002

¿La conspiración del silencio?

Me extraña (o tal vez no), lo poco que he visto escrito, tanto en las notas de prensa, como en las descripciones de los propios fabricantes de antivirus, sobre una de las características del Klez-E, que con cierta triste y poco meditada ironía podríamos mencionar como "deliciosamente maligna".

Me extraña el silencio, porque es algo difícil de ocultar, siendo además una de las trampas más simples, y al mismo tiempo más pérfidamente destructiva que nunca antes, que yo recuerde, se haya visto. Y cuando hablo de destrucción, no me refiero solo a los archivos de nuestras computadoras (que también lo hace), sino a la destrucción de dos valores que me parecen muy importantes en la lucha contra el flagelo de los virus.

Primero, destruye la reputación de quienes nos dedicamos a mantener alertas a cientos de internautas en su viaje por las peligrosas autopistas de la información. Quienes nos empeñamos en abrir las mentes de usuarios inquietos y desaprensivos (sobre todo noveles), dándole elementos de juicio que le hagan valorar el peligro de descargar cualquier archivo, o hacer doble clic sobre cualquier adjunto recibido, ahora podemos ver como nuestra credibilidad puede irse al tacho de la basura.

Y segundo, y tal vez el punto más importante si logramos sacudirnos los restos de nuestro ego mortalmente herido por lo dicho en el párrafo anterior, es que se le ha dado una reverenda patada en los "cojones" a la credibilidad y a la confianza de muchos involucrados seriamente en la divulgación e investigación antiviral.

La sutil pero destructiva venganza de un virus

¿Y de que estoy hablando?. Pues, de una de las características del Klez-E, que hace que muchos de sus mensajes infectados, sean enviados por un usuario falso. Pero un usuario falso que puede ser cualquiera cuya dirección de correo haya sido capturada por el virus en alguna máquina infectada. De ese modo, usted podría recibir (si es que ya no le ha ocurrido), un mensaje de mi propia persona infectado, ¡que yo no le he enviado!.

¿Se imagina alertas de virus de empresas como McAfee, Kaspersky, Panda, etc., infectadas por el Klez?. La mala noticia es que ya las hay. Nosotros hemos recibido al menos tres de estos mensajes "enviados" por alguna de estas compañías. ¡E incluso hemos recibido mensajes de nosotros mismos infectados por el Klez!...

Conociendo algunas peculiaridades de la mayoría de los internautas, demostrada en la divulgación de falsos virus como el SULFNBK (ver en el área "Hoaxes"), o de tantos bulos similares, me extraña que no se hayan propagado historias sobre este tema. Pero de seguro lo habrán.

Por ello me resulta aún más extraño que no se haya publicado más información sobre esta forma de actuar del Klez-E, y que pocas (sino es que ninguna) de las descripciones de los principales fabricantes de antivirus, haya documentado debidamente este punto.

Nuestras únicas armas

Por lo pronto, solo nos queda un arma para luchar contra esta plaga (la cantidad de incidencias del virus ha aumentado en nuestros sistemas de monitoreo, casi un 100% en las últimas semanas, comparado con igual periodo del mes anterior).

Esa arma es la información. Mantener informado con la verdad a los usuarios, es la única herramienta para hacerlos menos vulnerables. Nos gustaría que los fabricantes de antivirus fueran conscientes de esto.

Mientras tanto, lo importante es que recuerde que cualquier conocido puede "enviarle" un mensaje infectado con el Klez.E, incluidos nosotros, sin que realmente el mensaje haya salido de nuestras computadoras, ni que estemos infectados.

Incluso usted mismo puede recibir las quejas de alguien, diciéndole que usted está enviándole mensajes infectados, cuando ello no es así (de cualquier modo, siempre asegúrese de no estar realmente infectado, haciendo un examen periódico de su sistema con uno o más antivirus actualizados).

Pero para estar realmente protegidos, solo nos queda desconfiar más que nunca, de todo mensaje recién recibido, sin importar de quien venga, además de tener los parches correspondientes de nuestro Internet Explorer y Outlook Express.

Cómo protegernos

La única protección efectiva para este gusano, es actualizar el Internet Explorer con el parche al que Microsoft se refiere en su boletín MS01-020 (o MS01-027) (ver Referencias al pie de este artículo).

El gusano llega en un mensaje con formato, generalmente con un tamaño de 100 y pocos Kb, con texto y asunto seleccionados al azar, y un adjunto (no visible con el clásico clip), también variable. El remitente puede ser un usuario infectado, o puede figurar cualquier dirección conocida, usurpada por el virus, sin que el remitente esté infectado.

Valiéndose de una vulnerabilidad en las extensiones MIME, el Internet Explorer (quien ejecuta por defecto todos los mensajes con formatos HTML del Outlook, aunque esto pase desapercibido, debido a que no se abre una pantalla del IE), abre y ejecuta el archivo binario adjunto al correo, pensando se trata de uno de música por ejemplo. MIME (Multipurpose Internet Mail Extension) es un sistema que permite integrar dentro de un mensaje de correo electrónico archivos de imágenes, sonido, programas ejecutables, etc., específicos para determinadas aplicaciones o archivos multimedia. El error consiste en hacer pensar al IE que se trata de un sonido o una imagen y abrirlo sin comprobar. En ese caso, el archivo con el gusano (un EXE), se ejecuta sin advertencia alguna.

Son vulnerables usuarios con Internet Explorer 5.0x y 5.5 sin los parches mencionados.

También puede afectar a usuarios con otros navegadores, aunque en ese caso al abrir el adjunto con un doble clic.

El gusano opera independientemente del cliente del correo, usando sus propias rutinas de SMTP para extenderse, de modo que también son afectados los usuarios que no usen Outlook u Outlook Express (aunque se requiere abrir el adjunto).

Herramienta para limpiar el Klez.E

CLARV es una utilidad creada por Kaspersky Labs para eliminar la infección del Klez (y otros virus, como se explica en el enlace a nuestro sitio).

Siga estos pasos para utilizar CLRAV (*):

1. Descargue CLRAV.COM (66 Kb) de nuestro sitio al escritorio de Windows (por ejemplo):

http://www.vsantivirus.com/util-clrav.htm

2. Haga doble clic sobre el archivo descargado (CLRAV) y siga las instrucciones.

3. Ejecute uno o dos antivirus actualizados

4. Reinicie su PC

5. Vuelva a ejecutar un antivirus actualizado escaneando todos sus discos

Nota: Si su PC está conectado a una red, desconecte cada PC de la red, y repita este proceso EN CADA PC.

(*) CLRAV es Copyright (C) Kaspersky Lab 2000-2002. All rights reserved.

Publicado originalmente en: VSAntivirus.com

NOTA DEL EDITOR: Si reciben algun archivo infectado por este virus (o cualquier otro) desde alguna dirección de Virus Attack!, les rogamos reenviarlo a ejemplos@virusattack.com.ar. Vale aclarar que bajo ningún punto de vista Virus Attack! ha estado distribuyendo este (o cualquier otro) virus, con o sin conocimiento de ello, y que ninguno de nuestros equipos se vió infectado por el W32/Klez.e (o cualquier otro virus)

(*)José Luis López es columnista de "Las Noticias en la ReD", colaboró en varias publicaciones sobre el tema virus, y en el libro "Virus en Internet de Panda Software - Anaya Multimedia", además de mantener un sitio dedicado a la actualización de antivirus, información sobre virus, trojans, hoaxes en http://www.vsantivirus.com , desarrollando actividades de consultoría de seguridad en su empresa Video Soft, en Uruguay.

VEA Y FIRME NUESTRO LIBRO DE VISITA
PARA ENTRAR DEBEIS TOCAR Y HACER UN CLICK AL
LIBRO QUE APARECE ABAJO

DELE CLICK PARA ENTRAR AL LIBRO DE VISITA