[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[escepticos] proteccion de virus de correo

To: <escepticos en dis.ulpgc.es>
Subject: [escepticos] proteccion de virus de correo
From: "juan angel" <juan.camacho@...>
Date: Sun, 28 Sep 2003 17:38:07 +0200
Importance: Normal
In-reply-to: <1064748249.3064.61.camel en localhost.localdomain>
Reply-to: escepticos en dis.ulpgc.es
Sender: owner-escepticos en dis.ulpgc.es
 Me ha llegado un articulillo interesante sobre los gusanos de correo que
creo que os interesara lo copio con la firma del autor , que os aproveche
;-)

______________________________


A mediados de 2001, comenzó a divulgarse un mensaje con las instrucciones
para un truco relativamente fácil de implementar, que pretendía evitar la
propagación de algunos gusanos de envío masivo que utilizan la libreta de
direcciones de Windows para propagarse.

El sencillo truco implicaba el agregar un nuevo contacto a la libreta con el
nombre "!0000", sin especificar dirección electrónica alguna.

La idea es que si un virus intenta enviarse usando la libreta de
direcciones, el programa de correo fallará ante la presencia de una
dirección inexistente (el tema del signo de admiración en el nombre es solo
para que el contacto quede ordenado alfabéticamente al comienzo de la lista,
y no importaría usar cualquier otro nombre que empiece con "!").

Una variante más reciente, (agosto-setiembre de 2003), cambia ligeramente
las instrucciones para este "truco", basándose en una entrada en la libreta
del tipo "AAAA". Existen otras variantes básicamente similares, como agregar
solo "0000", etc.

Sin embargo, ninguno de estos trucos deben ser recomendados como protección
para nuestras computadoras, como afirman quienes lo divulgan, ya que parten
de falsas e inconsistentes premisas, lo que significa generar la creencia de
una seguridad que no es tal.

En primer lugar, la supuesta "protección", solo funcionaría tal cómo se
plantea, con aquellos virus que pretendieran enviarse a todos los contactos,
o a los primeros X cantidad de contactos.

La mayoría de los gusanos actuales prefieren seleccionar en forma aleatoria
las direcciones, o tomar éstas de archivos encontrados en el sistema.

Actualmente, ni siquiera utilizan la libreta de direcciones, sino que muchos
coleccionan éstas de diferentes fuentes, como los temporales, o incluso
documentos o archivos HTML del usuario. También utilizan el almacén de los
propios mensajes enviados y recibidos, para extraer las direcciones a las
que serán enviados.

Incluso entre los que utilizan la libreta de direcciones, la mayoría
selecciona éstas al azar, y no precisamente desde el principio de la lista,
con lo que el truco es totalmente inútil.

Dicho de otra manera, el truco solo podría funcionar con un número muy
pequeño de gusanos. Cómo hoy día, la cantidad de virus que se propagan vía
e-mail supera ampliamente la de otros métodos, esto dejaría el sistema
"aparentemente" protegido, cuando en realidad no lo está. Y lo peor que
puede pasarnos, es confiarnos en "mágicas soluciones" que no son tales,
porque la confianza mata...

Cuando la aparición de la primera versión de este falso truco, en la
publicación colega, InfoGuerra, Hernán Armbruster, director de operaciones
de Trend Micro para América Latina, era categórico al afirmar que "la
información de que este procedimiento resuelve los problemas de los virus es
falsa".

En InfoGuerra, Armbruster citaba como ejemplo al virus LoveLetter
(ILOVEYOU), de amplia propagación en ese entonces, el cuál se propaga usando
la libreta de direcciones y que posee una gran carga destructiva (existen
innumerables versiones de este virus).

"En este caso, el LoveLetter habría ejecutado todas sus tareas, incluso la
de borrar archivos, y el desprevenido usuario solo sabría de su existencia
en el momento que el virus intentase utilizar la libreta de direcciones para
enviarse a otros usuarios. El daño ya habría sido hecho en ese punto. El
procedimiento descripto puede ayudar de forma limitada en las acciones
posteriores de algunos virus, pero no impediría las acciones anteriores",
explica Armbruster.

Virus como el Hybris, cada vez que un mensaje es enviado, intenta mandar una
copia de si mismo en otro mensaje separado, al mismo destinatario que el
mensaje normal. No utiliza para ello la libreta de direcciones.

El SirCam, y otros más recientes como el Sobig, o el Swen, que tanto se han
propagado, tampoco utilizan la libreta, simplemente consiguen las
direcciones de páginas y mensajes guardados en los archivos temporales de la
computadora del usuario infectado. Y además, muchos de estos gusanos se
extienden a través de las redes locales, sin utilizar ninguna dirección de
correo.

Por lo tanto, tanto para Armbruster, como para muchos otros expertos, la
técnica sugerida es totalmente inocua contra esta plaga.

Ya en ese momento, Armbruster llamaba la atención por otro hecho. Al
ubicarse al principio de la lista, el truco solo funcionaría con los virus
que usen las primeras direcciones, pero nada impediría que alguien
programara un virus que use las últimas entradas, cosa que ya existe. Es
más, también hay gusanos que escogen aleatoriamente las direcciones.

Y lo peor del problema con este tipo de "truco", es que generan un efecto
contrario a lo que se pretende. Como Armbruster mencionaba entonces, los
creadores de virus ya tienen en cuenta esta técnica para evitar usar las
primeras direcciones de la libreta al propagar sus creaciones.

Pero el problema más grande con este tipo de mensaje, es la falsa sensación
de seguridad que genera en el usuario, culmina diciendo Armbruster en
InfoGuerra.

Recetas "mágicas" como éstas, divulgadas en listas y grupo de noticias, sin
ningún fundamento, son simplemente bulos. Y muy peligrosos, porque terminan
creando una falsa sensación de seguridad en el usuario.

En lugar de reenviar estos consejos, deberíamos insistir con aquellos
realmente útiles... Cómo NO ABRIR NADA no solicitado, tener antivirus y
software actualizados, etc... etc...

Como dice InfoGuerra: si nada de lo que aquí mostramos es bastante para
convencerlo, tenga en mente una cosa: desconfíe siempre de cualquier mensaje
donde le pidan reenviarlo a todos sus amigos. Esta es la principal señal de
que se trata de una broma (HOAX).

La experiencia del SULFNBK, todavía presente en la mente de muchos usuarios,
debería ser suficiente para advertirnos de no creer todo lo que llega a
nuestro buzón, solo porque lo dice un supuesto "Dios de Internet".
--- Ejemplo 1 del HOAX ---

¡0000: nuevo truco para frenar virus en tu e-mail

La mayoría de los contagios electrónicos por virus corresponden al envío de
e-mails, sobre todo en bandejas como Outlook Express. Evita las
transmisiones virales. ¡Sigue estos fáciles truquitos !

Guía fácil para evitar virus:

Truco útil

Hay formas de evitar infecciones de virus de e-mail sin usar programas de
antivirus.

- Añadir: añade a tu agenda electrónica la dirección !0000. Este simple
truco trabaja contra algunos virus de e-mail.

* Funciona con Outlook 98 y sucesivos y Outlook Express. Afortunadamente,
estos programas de correo electrónico son los más afectados por virus. Los
usuarios de otros programas de e-mail, sin embargo, no se beneficiarán con
él.

- Abrir: abre la agenda de direcciones de tu programa.

- Seleccionar: "Nuevo contacto", tal como si estuvieras añadiendo un nuevo
destinatario a la lista de direcciones de e-mail. - Escribir: en el espacio
destinado al nombre de pila, escribe "!000" (signo exclamativo seguido por
cuatro ceros). Luego, en el espacio destinado a la dirección de e-mail
escribe WormAlert.

- Almacena: la nueva dirección cliqueando en Aceptar (OK). Ahora, la
"dirección" !0000 aparecerá en el primer lugar de la lista de direcciones,
puesto todas son ordenadas alfabéticamente.

Si un gusano trata de usar tu lista de direcciones para difundirse mediante
tu lista de contactos, fracasará, porque WormAlert, el falso destinatario de
email, no es válido. El gusano será incapaz de proliferar.

Reenvía este truco a todos tus conocidos.

--- Ejemplo 2 del HOAX ---

CÓMO PROTEGER TU AGENDA DE LOS VIRUS
Vacuna para el virus de auto envío

Este truco es realmente ingenioso por su simplicidad. Como sabrán, cuando un
virus-gusano se mete en tu computadora, se dirige directamente a tu Libreta
de Direcciones de e-mails, y se envía a sí mismo a todas las direcciones que
alli encuentra, infectando así a todos tus contactos y amigos.

Este truco no evitará que el virus se meta en tu computadora, pero evitará
que use tu agenda de contactos para desparramarse más allá, y te alertará
que el gusano se ha metido en tu PC.

He aquí lo que hay que hacer: abre tu agenda de contactos y haz click en
"nuevo contacto", como si estuvieras agregando un nuevo contacto.

En la ventana donde escribirías el nombre de tu amigo, escribe AAAA. Lo
mismo en el espacio titulado "apodo/nombre" para mostrar. Crea una dirección
de e-mail falsa como aaaaaa en aaaaaaaa.com

Ahora, he aquí lo que haz hecho y por qué funciona: El nombre AAAA se
ubicará como la entrada N° 1 de tu agenda. Aquí será donde el gusano,
comenzará en su esfuerzo por autoenviarse a todos los contactos de tu
agenda. Pero cuando trata de enviarse a AAAA, será imposible que se entregue
por la falsa dirección que tu haz consignado. Si el primer intento falla
(cosa que sucederá por la falsa dirección), el gusano no continúa y tus
amigos no se infectarán.

Aquí la segunda ventaja de este método: si un e-mail no puede ser entregado
tu serás notificado en tu bandeja de entrada casi inmediatamente. Por lo
tanto, si alguna vez recibes un aviso que dice que un mensaje tuyo a AAAA no
se pudo entregar, sabrás de forma rápida que tienes el virus gusano en tu
sistema. Puedes entonces tomar los pasos para deshacerte de él !

Si todos los amigos que tienes hacen esto, entonces no necesitas preocuparte
más por abrir los mails de tus amigos.

--- Final del Hoax ---



Jose Luis Lopez
videosoft en videosoft.net.uy


Información complementaria:

!0000 Trick. Does it really stop viruses?
http://antivirus.about.com/library/weekly/aa082801b.htm

Dica para evitar ação de vírus é "furada"
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid999099361,1994,


Temas relacionados en VSAntivirus:

W32/SirCam a fondo. Examen completo de este gusano
http://www.vsantivirus.com/sircam.htm

Virus: I-Worm.Hybris (hahaha en sexyfun.net)
http://www.vsantivirus.com/hybris.htm

Especial sobre el LoveLetter
http://www.vsantivirus.com/lovelet-esp1.htm

SULFNBK.EXE: LA VERDAD (o como matar mosquitos a cañonazos)
http://www.vsantivirus.com/27-05-01.htm


FUENTE : http://www.vsantivirus.com/hoax-0000.htm


wolfbcn
home : http://www.elhacker.net/noticias/
Follow-Ups:
- Re: [escepticos] proteccion de virus de correo
  - From: Borja Marcos <borjamar@...>
References:
- Re: [escepticos] Una firma menos
  - From: Eloy Anguiano Rey <eloyang@...>
Prev by Date: [escepticos] Re: [escepticos] Cómo molamos (de firmas y tal)
Next by Date: Re: [escepticos] proteccion de virus de correo
Previous by thread: Re: [escepticos] Una firma menos
Next by thread: Re: [escepticos] proteccion de virus de correo
Index(es):
- Date
- Thread