monster    Nautopia    forum

  

ANILLO     CONTACTAR    CULTURALIA     DOWNLOADS    KIOSKO    FORO         HOME
 

 W98      W2000     Consejos     ¡Me mordió un gusano!     Ataque malintencionado               Translate 
 
 

por maty y coburn

 

ATAQUE ¿MALINTENCIONADO? Badtrans B

Con la colaboración de COBURN

Enlaces de Seguridad

 

He vuelto a recibir un nuevo correo ¿malintencionado? en mi cuenta pública que conoce tanta gente. En mis otras cuentas, si hubiese recibido correo de un destinatario desconocido lo habría borrado directamente en el servidor gracias al gestor de correo en castellano THE BAT.

 

Veamos los pasos seguidos por mí:

Tengo el AVP PLATINUM 3.5 133 (es el mismo que el GOLD, pero para Redes) y el viejo cortafuegos TINY (ahora KERIO 2.1.4 o KERIO 3) activados y BIEN CONFIGURADOS. Me conecto. Actualizo la base de virus. Visito la web VSAntivirus para conocer las últimas novedades.

Miro el correo NUEVO de mi cuenta pública en el servidor utilizando THE BAT. Hay un un remite sin nada Re:     , SOSPECHO. Pero lo bajo pues estoy protegido.


Imagen


El AVP PLATINUM me detecta un exploit! -bueno, sospecha-. Ha debido ser el motor heurístico tan famoso al escanear los ficheros adjuntos. Procedo a borrar la carpeta Inbox de la cuenta directamente, sin pasar por la papelera:

Manteniendo apretada una de las teclas de mayúsculas ( flecha ) aprieto SUPR/DEL y adiós. En otro tipo de carpetas sale el aviso de si ha de enviarse a la papelera. Le decimos que NO y volvemos a intentarlo y a la segunda vez ya podremos. En este caso sale a la primera. Si hubiese querido borrar directamente el fichero de su interior, no hubiese podido por seguir residente el AVP MONITOR ( tendría que deshabilitarlo ).


Imagen

 

Imagen

 

Como he perdido TODOS los mensajes entrantes, reinstalo la copia de seguridad que hice ayer al cerrar la sesión en internet, y selecciono sólo esa cuenta. Actualmente el AVP GOLD/PLATINUM o el KAV 4 tiene integración plena con THE BAT, con lo que se hubiese eliminado sólo el correo o el adjunto, no todo el buzón de la cuenta.

Tal vez no fuese un ataque malintencionado, después de todo. Me han hecho ver -por correo y en un foro- que podría ser perfectamente el reenvío automático del BADTRANS B.

 

CORREO ENVIADO POR COBURN:

Sobre el artículo publicado, cuya primicia tuvo el honor el viejo foro de Enlaces de Seguridad, estoy de acuerdo, pero tengo un comentario al respecto.

Discrepo de que sea un ataque malintencionado, es decir, todos los virus lo son, pero no creo que sea una jugada malintencionada contra tí concretamente, si te refieres a eso.

El exploit está claro que es utilizado por un gusano de última generación, en este caso no me queda duda de que es el BadTrans.B


El nombre del archivo adjunto lo genera a partir de tres listas:

1º: fun, Humor, docs, info, Sorry_about_yesterday, Card, SETUP, Stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, Images, Pics
2º: .MP3, .ZIP, .DOC,
3º: pif, scr
que en tu caso formaría fun.MP3.pif.

El asunto RE:

Sin más texto es otra de las características del BadTrans, es así cuando la dirección de correo ha sido extraída de documentos web en la caché del navegador, que es un inventito que está dando mucha guerra, pues en muchas páginas ( incluida la nuestra, en cuya cuenta ya hemos sufrido este tipo de exploits ) figura la dirección de correo.

El gusano se trasmite desde el ordenador infectado a direcciones que encuentre en la bandeja de entrada, pero también extrae esas direcciones de archivos *ASP ó *HT* ( HTML entre ellos) con lo cual, tu dirección pública, que conoce tanta gente, puede encontrarse en dichos archivos.

Respecto a la dirección del remitente, el BadTrans puede usar una dirección ficticia, extraída de un listado propio, o puede usar la dirección de la cuenta del ordenador infectado, lo que creo que es en este caso... con un "pequeño" matiz, y es que el virus puede modificar dicha dirección ( los que inventan estas cosas son realmente maquiavélicos ) añadiéndole a la misma un guión bajo al principio, provocando el error por dirección incorrecta si respondemos.

Bueno, espero haberte aportado algo de utilidad a este asunto, un saludo.

 

MIS DUDAS:

Desde luego parece que es el bichito dichoso. Lo que me hizo sospechar que era un ataque es que el AVP me mostrase esa primera ventanita de aviso y no la habitual en la que pide permiso para el borrado (tal como tengo configurado el AVP MONITOR, DIFERENTE A SU CONFIGURACION POR DEFECTO). Tal gusano/troyano hace tiempo que debe estar en la lista de virus del AVP, por lo tanto no debería sospechar, sino tener la certeza!.

En el caso del NIMDA, cuando me encontré con él un par de ocasiones al visitar ciertas webs con el INTERNET EXPLORER con JAVA, JAVASCRIPT Y COOKIES permitidos (con el OPERA, al no tenerlos permitidos no se cargaba la página, el problema era el JAVASCRIPT). Lo mejor es filtrar el navegador utilizado, OPERA o MOZILLA preferiblemente, desde el PROXOMITRON.

Imagen
 

Hubiese esperado una ventanita de ese tipo. Es más, días antes otro correo con adjunto *.doc contaminado creo recordar que era borrado automáticamente por el AVP MONITOR al ser descargado el correo -pero como seguía en el servidor, volví a bajarlo por curiosidad; también intenté ponerme en contacto con el remitente ( sin guión ) y fue rechazado el correo-. Motivos tenía para sospechar.

Era el AVP 3.5 PERSONAL PRO pero en W98 y no en W2000 -tiene distinta ventana de configuración el AVP MONITOR- ). Esta versión del antivirus NO SE INTEGRA CON THE BAT.

En W98:

Imagen

 

En W2000:

 

*En Scan compound files marqué las dos primeras casillas Archives a pesar del mensaje de aviso que ralentiza el ordenador. Aún desmarcando esta casilla en el KAV 4, sigue ralentizando si se inicia con el sistema.

 

O el fallo está en el AVP -W98-, que es donde probaba el soft- o en su configuración o es que el fichero adjunto era el BADTRANS B modificado, de forma tal que no lo identificaba en la lista pero sí hizo que saltase la alarma ( por el MOTOR HEURISTICO supongo ). Me decanté por esta última opción pero podría estar equivocado.

*Meses más tarde recibí otro bicho desde el correo de Meristation en la cuenta asignada a otra web, con el adjunto de una página web de EK COMPUTER, con toda la pinta de estar ideado para mí, por el tema de la coordinación de la denuncia pública de la "presunta" estafa. El remitente podría ser cualquiera, no creo que fuesen los administradores de la web. Por eso ahora han tomado  precauciones para evitar el spam y la infección de las cuentas de correo de sus foreros añadiendo QUITAESTO: QUITAESTO_nombrecuenta@proveedor.com.

 

 También podría haber probado a desinfectarme pasando el AVP SCANNER (a la carpeta del programa de correo \Archivos de programa\The Bat! en mi caso), que lo hubiese detectado, intentado desinfectar, y/o petición de borrado o tal vez la ventanita don la sospecha.

HERRAMIENTAS/RESTAURAR COPIA/AGREGAR. Los mensajes NUEVOS siguen estando en el servidor. Cada cierto tiempo hago limpieza.

Imagen

 

Los vuelvo a bajar, menos el infeccioso que borro en el servidor directamente. Pero antes he vuelto a bajármelo para demostrar que en ningún momento he estado en peligro por varios motivos.

Si el bicho hubiese estado en la base de virus/troyanos/gusanos, el AVP (en el módulo MONITOR está en DELETE) me habría avisado con una ventanita pudiendo borrarlo directamente. En este caso ha sido una sospecha, no una certeza, que al mirarlo con más atención he comprobado que sí que era un ataque.

Abro el correo. En THE BAT TENGO DESHABILITADA LA VISTA HTML POR DEFECTO (OPCIONES/PREFERENCES/GENERAL la casilla Display HTML está DESMARCADA) así que el mensaje no puede infectarme, al verse sólo en modo texto  los que usen el NEFASTO NEFASTO NEFASTO OUTLOOK DEBERIAN CONFIGURARLO IGUALMENTE). Además tengo desinstalado el WINDOWS SCRIPTING HOST y deshabilitado los SCRIPTS adicionalmente gracias a la utilidad gratuita NOSCRIPT.EXE de NORTON ( imprescindible, también puede pillarse en la sección DOWNLOADS de la web ).

Al abrirlo (sale el mensaje de aviso nuevamente) veo lo siguiente:

Imagen

 

No hay mensaje escrito! y el Asunto tan sólo es Re:    , lo que me había hecho recelar anteriormente cuando he mirado los correos NUEVOS en el servidor. Sólo adjuntos. El fichero MP3 tiene doble extensión!.

OPCIONES/PREFERENCES/WARNINGS. He añadido la extensión *.PDF ya que ahora puede infectarnos también. Así saldría un aviso si intentase abrirlo.

POR CIERTO, ES RECOMENDABLE QUE CONFIGUREIS EL EXPLORER DEL WINDOWS PARA QUE SE VEAN SIEMPRE LOS FICHEROS OCULTOS Y LA CASILLA: OCULTAR LAS EXTENSIONES DE LOS FICHEROS CONOCIDOS DEBE DEBE DEBE ESTAR DESMARCADA!!!

Ya puestos, le respondo el mensaje y, como la otra vez, es rechazado, pues ha utilizado un redireccionador. El nombre de la cuenta y el anteponer un _ ya lo hacía sospechoso en el servidor.

Imagen

 

Así que ya sabéis, los mensajes de destinatarios desconocidos a la papelera. SIEMPRE DEBE HABER UN REMITE. Y los adjuntos de texto deben enviarse en formato *.txt o *.rtf, NUNCA *.doc (salvo confianza plena). También es una buena norma avisar primero con un correo de que enviamos otro correo con adjunto.

Además, en mi caso, suelo firmar digitalmente mis mensajes para que nadie se haga pasar por mí (utilizo la clave GNU pública MATY, que puede obtenerse en: Anillos de Claves).

 

 

- ANTIVIRUS y BICHOS -             - Artículos Varios -

 
 

 
 
 

NAUTOPIA © 2002. Reservados todos los derechos.