martes, 8 de enero de 2008
martes, 18 de diciembre de 2007
El próximo 4 de mayo se cumplen ocho años de la aparición del virus "I love you", el código malicioso que mayor impacto económico ha tenido en todo el mundo. En Oxygen3 24h-365d vamos a analizar las razones que propiciaron su gran difusión y a ofrecer recomendaciones básicas para proteger los equipos.
Según Computer Economics la infección protagonizada por I love you, en mayo de 2000, se tradujo en daños económicos por valor de 10.000 millones de euros. Ni siquiera Code Red y Sircam -que el pasado año tuvieron un impacto de 2.970 y 1.304 millones de euros, respectivamente- han logrado superar a este gusano que, sin duda, ocupa un lugar destacado en la historia de infecciones informáticas.
En tan sólo unas horas, I love you -también conocido como VBS/LoveLetter- y sus variantes se propagaron como la pólvora y consiguieron infectar más de 3 millones de ordenadores. Entre las razones que explican su alta distribución destacan:
- Éxito en la aplicación de la Ingeniería Social. Con el objetivo de que el usuario abriese el mensaje que lo contiene, I love you se servía de "ganchos" vinculados a las relaciones amorosas que consiguieron engañar a miles de personas. En concreto, se mandaba por correo electrónico en un mensaje cuyo asunto es "ILOVEYOU" e incluía un fichero denominado "LOVE-LETTER-FOR-YOU.TXT.VBS".
- La aparición, en muy poco tiempo y de forma sucesiva, de más de 30 variantes que contribuyeron a sembrar el desconcierto y, por extensión, a su difusión.
- Su gran capacidad de difusión, ya que se envía por IRC y correo electrónico a todos los contactos de la libreta de direcciones del ordenador al que afecta.
- La falta de concienciación, por parte de los usuarios, de la necesidad de contar con una protección antivirus eficaz y convenientemente actualizada.
Dos años después de la aparición de I love you siguen proliferando nuevos virus. A las artimañas empleadas por el famoso gusano (Ingeniería Social, capacidad de propagación) se suman el aprovechamiento de vulnerabilidades en los programas de uso habitual, y todo apunta a que en el futuro evolucionarán, en cuanto a la búsqueda de nuevas vías de infección se refiere. Por ello, es necesario no bajar la guardia ante esta amenaza y proteger los equipos mediante la adopción de medidas de seguridad, entre las que destacan:
- Analizar, antes de abrir, los e-mails recibidos. Es conveniente escanear con un antivirus eficaz todos los correos electrónicos que se reciban, aunque provengan de una persona con la que habitualmente se mantenga correspondencia.
- Utilizar un buen antivirus, que pueda actualizarse diariamente para así ser capaz de detectar y desinfectar los últimos virus aparecidos. Asimismo, el antivirus debe incluir: soporte técnico permanente (para resolver los problemas que puedan surgir relacionados con virus o con el funcionamiento del antivirus); resolución urgente de nuevos virus (capaz de eliminarlos en el menor tiempo posible) y servicios de alerta.
Según Computer Economics la infección protagonizada por I love you, en mayo de 2000, se tradujo en daños económicos por valor de 10.000 millones de euros. Ni siquiera Code Red y Sircam -que el pasado año tuvieron un impacto de 2.970 y 1.304 millones de euros, respectivamente- han logrado superar a este gusano que, sin duda, ocupa un lugar destacado en la historia de infecciones informáticas.
En tan sólo unas horas, I love you -también conocido como VBS/LoveLetter- y sus variantes se propagaron como la pólvora y consiguieron infectar más de 3 millones de ordenadores. Entre las razones que explican su alta distribución destacan:
- Éxito en la aplicación de la Ingeniería Social. Con el objetivo de que el usuario abriese el mensaje que lo contiene, I love you se servía de "ganchos" vinculados a las relaciones amorosas que consiguieron engañar a miles de personas. En concreto, se mandaba por correo electrónico en un mensaje cuyo asunto es "ILOVEYOU" e incluía un fichero denominado "LOVE-LETTER-FOR-YOU.TXT.VBS".
- La aparición, en muy poco tiempo y de forma sucesiva, de más de 30 variantes que contribuyeron a sembrar el desconcierto y, por extensión, a su difusión.
- Su gran capacidad de difusión, ya que se envía por IRC y correo electrónico a todos los contactos de la libreta de direcciones del ordenador al que afecta.
- La falta de concienciación, por parte de los usuarios, de la necesidad de contar con una protección antivirus eficaz y convenientemente actualizada.
Dos años después de la aparición de I love you siguen proliferando nuevos virus. A las artimañas empleadas por el famoso gusano (Ingeniería Social, capacidad de propagación) se suman el aprovechamiento de vulnerabilidades en los programas de uso habitual, y todo apunta a que en el futuro evolucionarán, en cuanto a la búsqueda de nuevas vías de infección se refiere. Por ello, es necesario no bajar la guardia ante esta amenaza y proteger los equipos mediante la adopción de medidas de seguridad, entre las que destacan:
- Analizar, antes de abrir, los e-mails recibidos. Es conveniente escanear con un antivirus eficaz todos los correos electrónicos que se reciban, aunque provengan de una persona con la que habitualmente se mantenga correspondencia.
- Utilizar un buen antivirus, que pueda actualizarse diariamente para así ser capaz de detectar y desinfectar los últimos virus aparecidos. Asimismo, el antivirus debe incluir: soporte técnico permanente (para resolver los problemas que puedan surgir relacionados con virus o con el funcionamiento del antivirus); resolución urgente de nuevos virus (capaz de eliminarlos en el menor tiempo posible) y servicios de alerta.
COMO ELIMINAR EL VIRUS I LOVE YOU
Desactivando restaurar systema, y con un antivirus actualizado en modo seguro, o uno online usando modo seguro con funcion a red, y limpiando el registro con regcleaner, Easycleaner. saludos
es necesario ejecutar el programa que constituye el antídoto del virus.
El virus crea las siguientes claves en el registro, que deberán ser borradas para evitar que el virus se ejecute de forma automática nada más iniciar el sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
También será necesario borrar los archivos:
WIN32DLL.VBS
ubicado en el directorio de Windows (por defecto \WINDOWS)
MSKERNEL32.VBS
LOVE-LETTER-FOR-YOU.VBS
ubicados en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
El gusano modifica la página de inicio de Internet Explorer con una de las 4 direcciones, que elige según un número aleatorio, bajo el dominio http://www.skyinet.net. Estas direcciones apuntan al fichero WIN-BUGSFIX.EXE, una vez descargado modifica el registro de Windows para que este ejecutable también sea lanzado en cada inicio del sistema y modifica de nuevo la configuración de Internet Explorer situando en esta ocasión una página en blanco como inicio.
Si el gusano ha conseguido realizar el paso anterior también deberemos borrar el archivo:
WIN-BUGSFIX.EXE
ubicado en el directorio de descarga de Internet Explorer y la entrada del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX
El gusano también detecta la presencia del programa mIRC, buscando algunos de los siguientes archivos: "mirc32.exe", "mlink32.exe", "mirc.ini" y "script.ini". En caso de que se encuentren en el sistema el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI donde podemos encontrar, entre otras líneas, las siguientes instrucciones:
n0=on 1:JOIN:#:{
n1= /if ( $nick == $me ) { halt }
n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM
n3=}
Las cuales provocan que el gusano se autoenvíe vía DCC, a través del archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de IRC que entren en el mismo canal de conversación donde se encuentre el usuario infectado. En este caso debemos de borrar los archivos:
LOVE-LETTER-FOR-YOU.HTM
ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM).
SCRIPT.INI (si contiene las instrucciones comentadas)
ubicado en el directorio de mIRC.
es necesario ejecutar el programa que constituye el antídoto del virus.
El virus crea las siguientes claves en el registro, que deberán ser borradas para evitar que el virus se ejecute de forma automática nada más iniciar el sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
También será necesario borrar los archivos:
WIN32DLL.VBS
ubicado en el directorio de Windows (por defecto \WINDOWS)
MSKERNEL32.VBS
LOVE-LETTER-FOR-YOU.VBS
ubicados en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
El gusano modifica la página de inicio de Internet Explorer con una de las 4 direcciones, que elige según un número aleatorio, bajo el dominio http://www.skyinet.net. Estas direcciones apuntan al fichero WIN-BUGSFIX.EXE, una vez descargado modifica el registro de Windows para que este ejecutable también sea lanzado en cada inicio del sistema y modifica de nuevo la configuración de Internet Explorer situando en esta ocasión una página en blanco como inicio.
Si el gusano ha conseguido realizar el paso anterior también deberemos borrar el archivo:
WIN-BUGSFIX.EXE
ubicado en el directorio de descarga de Internet Explorer y la entrada del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX
El gusano también detecta la presencia del programa mIRC, buscando algunos de los siguientes archivos: "mirc32.exe", "mlink32.exe", "mirc.ini" y "script.ini". En caso de que se encuentren en el sistema el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI donde podemos encontrar, entre otras líneas, las siguientes instrucciones:
n0=on 1:JOIN:#:{
n1= /if ( $nick == $me ) { halt }
n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM
n3=}
Las cuales provocan que el gusano se autoenvíe vía DCC, a través del archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de IRC que entren en el mismo canal de conversación donde se encuentre el usuario infectado. En este caso debemos de borrar los archivos:
LOVE-LETTER-FOR-YOU.HTM
ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM).
SCRIPT.INI (si contiene las instrucciones comentadas)
ubicado en el directorio de mIRC.
Suscribirse a:
Entradas (Atom)