| Asunto: | VSantivirus No. 1568 Año 8, viernes 22 de octubre de 2004 | | Fecha: | Viernes, 22 de Octubre, 2004 02:17:01 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1568 Año 8, viernes 22 de octubre de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Virus Bulletin: Reflexiones sobre detección heurística
2 - W32/Netsky.AG. Se propaga por correo electrónico
3 - Troj/Sens.A. Monitorea la red, envía datos
_____________________________________________________________
1 - Virus Bulletin: Reflexiones sobre detección heurística
_____________________________________________________________
http://www.vsantivirus.com/heuristica-comparativas.htm
Virus Bulletin: Reflexiones sobre la forma de examinar la
detección heurística en comparativas de productos.
Por Andrew Lee. Eset LLC, USA.
* Examinando la detección heurística en un escenario del mundo
real
"Llegará el día en que el pensamiento estadístico será tan
necesario para el ejercicio de una eficaz ciudadanía como la
habilidad para leer y escribir." H. G. Wells (1866-1946)
Los resultados publicados habitualmente sobre las pruebas
efectuadas con productos antivirus no poseen, en general, base
científica, tienen serios errores en la premisas de análisis o
utilizan una demostrable incorrecta metodología. Y en las
peores situaciones, algunos tienen todos estos errores a la
vez.
Desafortunadamente, esto es frecuentemente verdad en análisis
conducidos por populares publicaciones informáticas, cuyos
analistas parecen pensar que evaluando contra "unos pocos
ejemplos recolectados por Internet o a través de nuestro correo
electrónico", constituyen una evaluación válida sobre las
posibilidades de detección de un producto antivirus.
Lamentablemente, esto también ha sido cierto para algunas las
evaluaciones conducidas por reconocidos analistas de productos
antivirus, cuya interpretación de los resultados ha terminado
siendo salvajemente modificado, para su publicación por sus
respectivas revistas.
Las revisiones en las publicaciones para consumidores, son
extensamente más leídas que las publicaciones de la industria
antivirus y en general, dichos lectores no están
suficientemente capacitados para comprender el significado de
dichos resultados.
Como consecuencia de esto, la confianza pública en los
productos antivirus termina siendo el resultado de una
aventura.
Un clásico ejemplo ocurre cercano al año 2000 cuando CNET
evalúa productos utilizando unas infames herramientas
denominadas Rosenthal Utilities (RU).
Las utilidades Rosenthal generaban archivos benignos (léase no
víricos) con datos que contenían parcialmente código viral.
La sección elegida del ejecutable mostraba un mensaje en
pantalla.
Obviamente, debería haberse evaluado que la detección de
cualquier archivo generado con estas utilidades generaría lo
que se denomina un falso positivo ya que el mismo no era un
virus, sino una porción inofensiva del mismo.
Sin embargo, CNET evaluaba los productos de acuerdo con su
capacidad de detectar estos archivos generados con las
utilidades Rosenthal.
Dos años más tarde, CNET no sólo continuaba cometiendo el mismo
error [1] sino que complicando aún más esta situación, alteraba
virus reales, como VBS/Loveletter (con lo cual estaba creando
nuevos virus) para defenestrar aquellos productos que
"fallaban" en estas evaluaciones.
Eventualmente y parcialmente debido a la presión de la
industria [2, 3] CNET fue reduciendo progresivamente el uso de
estos archivos generados con las utilidades Rosenthal.
* Los indetectables
Particularmente mal explicada y consecuente y frecuentemente
malintencionada, resulta la interpretación que se efectúa sobre
las posibilidades de detección heurística de los productos
antivirus, cuya evaluación ha sido tristemente inadecuado en
casi todos los casos que el autor ha podido observar.
Este artículo tiene como finalidad la de discutir, sobre bases
científicas, las tecnologías heurísticas en que se asientan los
productos antivirus en escenarios del mundo real, pero
comenzaremos por describir más generalmente la metodología de
evaluación.
* 101 metodologías para el análisis científico
Una buena evaluación deberá probar una hipótesis, con total
definición de sus premisas y metodología de ejecución y deberá
registrar cualquier limitación y hecho relevante.
Cuando se comparan productos que tienen distintas
características, deberá aclararse específicamente cuáles serán
las características a analizar y comparar, así como cuáles y
determinadas funcionalidades o particularidades, son comunes a
todos ellos.
Tanto como sea posible, los examinadores deberán analizar y
comparar lo semejante contra lo semejante en otros productos.
Cuando la metodología de análisis está deseando tener un efecto
sobre el rendimiento del producto (por ejemplo, verificar los
"mejores parámetros" o valores predeterminados) esto debería
quedar indicado.
La puntuación, si existe, debería reflejar solamente las
características comunes analizadas y cualquier parámetro
adicional no debería ser incluido en la puntuación o, incluirse
por separado.
Cualquier carga adicional debería ser explicitada claramente de
modo que los resultados en bruto estén disponibles.
Al efectuar cualquier análisis comparativo, estos parámetros
deberían ser esenciales:
- Integridad de los datos estadísticos usando métodos
reconocidos.
- Documentación completa.
- Presentación de los resultados que deberían emanar desde el
análisis científico de los datos obtenidos alejado de miradas
subjetivas. (Asombrosamente, esto es lo que a menudo tiene
cierto parecido cuando se muestra el valor final dado a la
calificación de los datos obtenidos en los análisis).
- La disponibilidad de conjuntos completos de muestras de
productos de diversos fabricantes y entes independientes (esto
es lo último para quienes pudieran tener la habilidad para
verificar cualquier tipo de resultado después de realizado por
los examinadores).
Demasiado a menudo los ejemplos seleccionados están seriamente
dañados, llevando a resultados incorrectos de la comparación.
El peor error incluye el análisis contra archivos no
replicables, archivos alterados o con nombres cambiados (esto
más tarde será todo un asunto, por ejemplo, si el análisis por
extensión es un valor predeterminado y la comparativa se
realiza contra estos valores por defecto).
El tamaño de la muestra a considerar también es todo un tema.
Comparar productos contra dos o tres archivos no va a probar
casi nada sobre las posibilidades de detección del producto: el
más pequeño tamaño de muestreo puede producir el mayor error de
apreciación.
Sin embargo, se da aquí una interesante paradoja ya que en
términos de detección de virus, estadísticamente, sólo menos
del 5% de todos los conjuntos de muestras (todos los virus
escritos) tienen alguna importancia en el mundo real.
La mayoría de esos virus sólo existen en las denominadas
colecciones "zoo" (o "virus de colección") en poder de varias
empresas antivirus y laboratorios relacionados.
A los efectos de los análisis comparativos, los virus que
aparecen en WildList [6] son más significativos que aquellos
que se encuentran en las colecciones "zoo".
Como dato adicional, WildList posee dos niveles de
clasificación: la lista principal (Top list) que está
constituida por aquellos virus que han sido informados por al
menos dos delegados de WildList y la lista suplementaria,
cuando sólo se ha recibido una muestras de un solo agente
WildList.
Una muestra de virus con un sólo informe recibido tiene un
valor estadísticamente apenas más significativo que un virus
"zoo".
Debemos hacer aquí un pequeño acuerdo sobre qué constituye un
conjunto de muestras "zoo" y consecuentemente, entender que la
mayoría de los examinadores usarán diferentes conjuntos de
muestras "zoo" (así como sucede con frecuencia que las
comparativas son efectuadas contra "archivos que hemos
encontrado en nuestro correo") lo cual introduce
desestabilizantes errores.
Esto también es considerablemente posible, dado el monumental
crecimiento de nuevos ejemplos todos los meses que incrementan
significativamente las estadísticas de muestras basura en las
colecciones "zoo".
Entre la basura hay una enorme cantidad de material en zona
"gris", como pudieran ser archivos de registro que han sido
dejados por virus (como instancias de registro de un archivo) o
archivos que han sido usados como parte de una secuencia de
infección.
También pudiera haber archivos dañados (que no pueden ser
replicados), troyanos, bromas (Joke), intentos de virus,
archivos desinfectados (que pudieran estar incluidos en
archivos no víricos dejados o abandonados por virus), archivos
antiguos que ya no podrán ser ejecutados en sistemas modernos y
otra gran cantidad y variedad de otro tipo de "ruido". [4, 5]
Esto y una falta de acuerdo en las definiciones sobre que
debería ser detectado o informado, significa que las
comparativas o análisis de productos están incrementando la
dificultad para ser ejecutados correctamente, ciertamente en
términos de implicaciones estadísticas.
Es importante conocer por qué un producto ha fallado con un
determinado análisis así como saber qué es lo que ha fallado.
Si el fracaso ha sido como resultado de un diseño defectuoso
del examen, sería posible proveer la documentación del mismo
para probarlo bajo esas particulares condiciones.
La documentación debería ser escrita antes de efectuar las
verificaciones así como debería proveerse las hipótesis de
trabajo y la descripción exacta de la metodología a usarse.
Cualquier desviación de la metodología indicada en la
documentación debería ser informada y justificada.
Las puntuaciones calculadas y sus fórmulas, deberían ser
establecidas pudiendo ser demostradas y comprobadas
vinculándoselas con las hipótesis de análisis.
Cualquier ponderación de valor debería ser detallada y
justificada ampliamente.
Las fallas de los productos que ocurrieran fuera de las
premisas establecidas, no deberían ser consideradas en la
calificación final.
Si por ejemplo, un producto tiene problemas de estabilidad o
instalación y no se ha establecido dicho parámetro como
hipótesis de análisis, dicho problema no debería ser
considerado en la puntuación.
Cuando el producto no pudiera ser analizado como consecuencia
de ese problema, no contemplado en las hipótesis originales,
debería quedar registrado que el mismo ha sido excluido a causa
de esto pero que no se ha podido verificar el resto de los
parámetros.
Las fallas individuales en conjuntos de virus polimórficos
deberían ser mostradas como un porcentaje de este valor
discreto del conjunto, usualmente mayor de 1000 replicaciones
por ejemplo, y no como un porcentaje sobre el índice sobre
todas las detecciones o en caso contrario, la discriminación
debería introducirse.
Los valores resultantes deberían ser diferenciados de acuerdo a
cada hipótesis y, si el promedio fuera calculado, este método
de medición debería ser establecido previamente.
* Definiendo un escenario de examen para el análisis de la
detección heurística
Esto no intenta constituir una exhaustiva metodología ni
pretende establecer el mejor escenario para examinar la
capacidad de un producto para el análisis heurístico, pero sí,
proveer elementos básicos sobre los que una exhaustiva
metodología debería poder desarrollar.
Para ser un verdadero examen de detección heurística, la
muestra ideal sería aquella constituida por virus que todavía
no han sido catalogados por este producto al momento de hacer
la verificación.
Esto es posible de efectuar examinando la heurística contra un
gran conjunto de muestras, como por ejemplo las de WildCore y
removiendo los archivos de actualización del producto (las
firmas de virus) asumiendo que el producto trabaja también de
este modo.
El mejor camino sería el de "congelar" un producto en el tiempo
(sin actualizar durante ese periodo) y posteriormente
examinarlo en su accionar contra virus que han aparecido desde
el momento de su "congelamiento" hasta el momento de la
verificación.
La capacidad heurística es usualmente actualizada con
frecuencia, aún más que la detección convencional, por lo cual,
analizar versiones muy antiguas de un producto (semanas o
meses) no traerá una real indicación de su capacidad.
Idealmente, debería examinarse la última versión de un
producto, pero sin sus firmas de virus.
* Verificación de las muestras
El conjunto de virus de muestra debería ser compuesto sólo por
verificadas copias de ejemplos víricos.
La única verificación válida de que un archivo es un virus, es
su capacidad de replicarse (idealmente, a una segunda
generación, aunque una replicación simple, usualmente ya
califica, con la excepción de conjuntos de virus polimórficos).
Usando un producto antivirus (o un grupo de productos) para
determinar cuando o no algo es un virus y efectuar la selección
del conjunto de muestras, es una metodología inválida porque su
propio error de evaluación o su eficacia son determinantes
estadísticamente.
Si la evaluación es efectuada con muestras no replicadas (o se
asume que han sido efectuadas por su viabilidad de
extrapolación) no hay una base científica para el examen.
Desafortunadamente hay muchos casos de exámenes en los cuales
se usa una "caja negra" de selección de muestras combinada con
la falta de documentación y la falta de disponibilidad de las
muestras para una posterior nueva verificación.
Especialmente cuando los conjuntos de muestras son pequeños,
este tipo de problemas pueden cambiar significativamente los
resultados de la comparativa.
* Parámetros e hipótesis
Debería considerarse el precio de utilizar el modo
predeterminado de ejecución de cada producto.
Por ejemplo, algunos productos poseen una detección heurística
más agresiva cuando analizan el tráfico de correo (POP3 y SMTP)
que en el módulo de análisis residente.
Si este fuera el caso, debería considerarse esto como el mejor
escenario "de la vida real" y usarse el reajuste de análisis de
componentes a sus parámetros por defecto para analizar
correctamente o, en las versiones que admitan la configuración
por línea de comandos, establecer los parámetros adecuados, si
estuvieran disponibles.
Algunas hipótesis de ejemplo para el examen de la capacidad
heurística:
1. El módulo de análisis deberá tener habilitada la detección
heurística de virus y detectar más del 0% de virus sin
necesidad de actualizar su base de firmas de virus.
2. Cuanto mayor sea el porcentaje de detección, mejor será la
capacidad de detección heurística.
3. La detección por análisis heurístico no deberá incrementar
significativamente la incidencia de falsos positivos (sería muy
útil definir un porcentaje, aunque no siempre esto es
necesario).
Ejemplos de premisas:
- La heurística debería hacer descender la probabilidad de
riesgo de ser infectado con nuevos virus aún no catalogados.
- La habilitación de la detección heurística en el módulo de
análisis debería provocar un incremento en la detección mayor
de cero (o sea, que el resultado debería ser mejor que si no
tuviera la heurística habilitada) incrementando las
probabilidades de detectar nuevos o modificados virus,
protegiéndolos contra ellos.
* Exámenes de control
Es muy útil para cada producto el volver a examinarlo, dejando
constancia de ello, contra el conjunto de las mismas muestras
(por ejemplo, In the Wild) con el producto totalmente
actualizado a la fecha de su comprobación.
El propósito de esto, es dejar asentado si bajo condiciones
normales de operación y actualización, la detección heurística
sigue estando disponible con el mismo conjunto de muestras.
Esta prueba otorga una implicancia clave desde el punto de
vista estadístico.
El índice de fallo del producto contra el mismo conjunto de
muestras después de su actualización completa provee una
inferencia estadística sobre el total del índice de errores
contra el conjunto total de muestras "In the Wild".
El índice de fallos sobre esta prueba de heurística no es una
inferencia estadística contra el conjunto total de muestras "In
the Wild".
O sea, no es correcto decir que el índice de fallos (o
detección) contra el conjunto total de muestras principales
(WildCore) sea igual que contra el conjunto actualizado (y
acotado) de muestras, con la excepción que el conjunto total de
muestras WildCore haya estado siendo analizado totalmente por
heurística y sin ningún tipo de actualización, porque la
detección debería darse para las muestras "In the Wild" antes
de haber sido acotadas las mismas.
Alcanzar el correcto índice estadístico de errores es crítico
para darle validez a los resultados de los exámenes.
Idealmente, un examen completo sobre el producto actualizado
contra las muestras principales "In the Wild" debería alcanzar
los resultados correctos, pero el examen completo actualizado
de detección contra el conjunto de muestras, después de haberse
acotadas, tiene su impacto estadístico de tanta importancia
como su incidencia estadística tenga el conjunto de muestras
(por ejemplo, debería ser considerado, cuando se verifique al
menos un 10% del tamaño del conjunto principal, contra índices
de error esperados).
También idealmente, una aproximación heurística debería
mantener un índice del 0% de falsos positivos de la misma forma
que un índice del 0% de falsos negativos. Un conjunto de
muestras no infectadas determinará el índice de fallo.
En este caso, la hipótesis no necesita un 0% de falsos
positivos, aunque por supuesto, un alto valor estadístico de
falsos positivos no sería deseado y podría ser usado como
coeficiente hostil que desvíe los resultados.
Debería notarse que ciertos escenarios de análisis, como por
ejemplo, POP3 o el tráfico SMTP, pueden tener un alto valor de
sospecha sobre cada archivo adosado y cada código ejecutable
que es transferido, siendo que los falsos positivos no son
deseables y tienen una impacto negativo directo sobre la
estabilidad del sistema o la reacción del usuario, aunque no es
una razón para no analizar la posibilidad de falsos positivos.
La aparición de falsos positivos en un módulo de análisis en el
acceso (residente en memoria) pudiera tener severas
implicancias, particularmente para asediados soportes técnicos
corporativos, siendo usual que se disponga, en esos casos,
valores heurísticos predeterminados más benignos por esta
razón.
Idealmente, este control debería tener un orden de magnitud tan
grande como el conjunto de muestras virales, preferentemente
tan grande como el conjunto principal.
En el caso de algún falso alerta, el archivo disparador de esto
debería ser guardado y copias del mismo deberían estar
disponibles para el desarrollador del producto.
También debe hacerse notar cuando un falso positivo es generado
como consecuencia de haber utilizado archivos de prueba
modificados (algunos examinadores usan deliberadamente virus
desnaturalizados o dañados para que sean mostrados como
sospechosos) o archivos "normales" que puedan existir
normalmente en los sistemas considerados.
Idealmente, los fallos contra los archivos sospechosos
deliberadamente modificados, deberían ser incluidos en una
estadística separada o simplemente no ser registrados, después
de todo, estamos discutiendo acerca de los escenarios de la
vida real.
Un control ideal sobre archivos "limpios" debería tomar la
forma de un conjunto estadístico válido considerando un
conjunto de archivos verificados no infectados existentes en un
sistema normal de un usuario final.
* Metodología
Como ha sido mencionado someramente en los párrafos anteriores,
hay dos exámenes que deben ser completados acerca de las
capacidades heurísticas y es importante establecer cómo los
mismos serán abordados: la primera medición de la capacidad del
producto debe hacerse sin actualizaciones y la segunda, contra
virus específicos después de haber actualizado el programa.
El primer análisis es para mostrar la disminución significativa
de la detección en el transcurso del tiempo, así como la
reacción cuando son encontrados nuevos tipos de virus y
mientras tanto, probablemente lo más interesante del análisis,
los resultados deberían ser mayormente irrelevantes cuando un
producto correctamente instalado (y por supuesto, su
heurística) es actualizado (de hecho, este examen
necesariamente ignora).
No sería de desear que la evaluación sobre la heurística de un
producto que tiene más de tres meses sin actualizar refleje las
actuales posibilidades del mismo.
El segundo (y más discutible) examen es a partir de un punto
congelado en el tiempo, siendo importante por varias razones:
Primero, por que cada muestra debería ser nueva para cada
producto, de otra forma, estaría indicando que la heurística no
está siendo utilizada y en segundo término, porque el producto
analizado debe ser el último disponible al público, antes de la
aparición del código malicioso.
La mayoría de los productos son actualizados automáticamente
cada hora, o al menos diariamente, por lo que el examen no
debería ser ejecutado usando un producto significativamente
antiguo (no mayor de 12 horas).
* Implicancias estadísticas
Examinar heurística trae naturalmente cierto grado de prejuicio
o dudas, porque el conjunto de pruebas no es algo fijo.
Si el examen es efectuado con diferentes puntos de
actualización o el conjunto de muestras es expandido, el grado
de influencia puede ser mayor o menor.
Por esta razón, dos escenarios de prueba idénticos, usando
diferentes puntos de congelamiento de las muestras antes y
después de la actualización pueden producir resultados
significativamente diferentes.
Asumir esta situación sobre el rendimiento total de un producto
sólo puede generar resultados valederos considerando un largo
período de tiempo con exámenes reiterados.
Esto proveerá un significativo promedio del rendimiento.
Una simple actualización, por ejemplo, un día después de haber
acotado (o congelado) un conjunto de muestras (para detectar el
primer virus de una nueva familia) puede torcer el resultado
significativamente si, como en el caso de las familias Bagle y
Netsky, muchas variantes son lanzadas (una modificación de un
virus conocido debería ser detectada heurísticamente de forma
más sencilla que un ejemplo totalmente nuevo).
Una amplia diversidad de familias apareciendo después del
momento del congelamiento del conjunto de muestras reduce el
índice de detección a través del rango completo del producto.
Sería casi imposible crear un modelo totalmente acotado para
examinar la capacidad heurística dado que requeriría un
completo nuevo análisis a partir de cada muestra actualizada
después del congelado original del conjunto de muestras,
provocando a su vez, un nuevo punto de referencia sobre el
momento de certidumbre a considerar para el examen.
Habiendo dicho esto, es todavía posible crear un modelo de
examen que otorgue resultados estadísticos válidos, si el
suficiente rigor científico es aplicado y los resultados son
expresados en términos no absolutos.
* Referencias
[1] CNET. Demostrando una metodología defectuosa (a través de
techrepublic): "Norton AntiVirus 2002: There's no better AV
solution for Windows XP"
http://techrepublic.com.com/5102-6270-1043870.html
[2] En el año 2000, miembros de la industria antivirus,
dirigidos por Joe Wells, escribieron una carta pública a CNET,
denunciando su metodología de comparación: "Credibility and
Ethics in Antivirus Product Reviewing. An Open Letter to CNET"
http://www.nod32.com/news/joe_wells.htm
[3] La respuesta de CNET, en mayo de 2002
"NOD32 trashed by CNet / ZDNet review !!!"
http://www.nod32.com/news/cnet_zdnet.htm
[4] "Bontchev. V.: Analysis and Maintenance of a Clean Virus
Library.."
http://www.virusbtn.com/old/OtherPapers/VirLib/
[5] "Kaminski, J. Malware Evolution As A Cause of Quality
Deteroration Of Anti-Virus Solutions."
En U.E. Gattiker (Ed.) EICAR 2004 Conference CD-rom: Best Paper
Proceedings, Copenhagen: EICAR e.V.
[6] Real Time Wildlist
http://www.wildlist.org/WildList/RTWL.htm
* Información publicada con autorización de Virus Bulletin
* Autor: Andrew Lee. Eset LLC, USA.
* Traducción y adaptación al español: Ontinet.com, S.L.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Netsky.AG. Se propaga por correo electrónico
_____________________________________________________________
http://www.vsantivirus.com/netsky-ag.htm
Nombre: W32/Netsky.AG
Tipo: Gusano de Internet
Alias: Netsky.AG, W32/Netsky.ah@MM, W32/Netsky-AE,
W32/Netsky.ai@MM
Fecha: 21/oct/04
Plataforma: Windows 32-bit
Tamaño: 30,752 bytes
El 21 de octubre fue reportada una nueva variante del Netsky.
A diferencia de otras variantes, no modifica el registro para
autoejecutarse en próximos reinicios (pero si crea una entrada
para el "keylogger" que instala). Tampoco se envía en adjuntos
con extensión .ZIP, ni lo hace en múltiples mensajes con
características variables. Además, no se propaga por recursos
compartidos en redes.
Existen al menos dos variantes creadas el mismo día, con
pequeñas diferencias entre ellas. Ambas poseen algunos errores
en su código que hace que no se ejecuten correctamente en
algunos sistemas.
Cuando se ejecuta, si detecta una conexión a Internet
establecida, el gusano intenta enviarse a si mismo a
direcciones encontradas en archivos del sistema infectado.
Las muestras reportadas utilizaban un mensaje como el
siguiente:
Para: [destinatario]
De: [destinatario]
Asunto: Mail Delivery failure - [destinatario]
Texto del mensaje:
If the message will not displayed automatically,
you can check original in attached message.txt
Failed message also saved at:
www. [dominio] .com/inbox/security/read.asp?sessionid-?????
(check attached instructions)
+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
Datos adjuntos:
message txt length ????? bytes mcafee.com
En todos los casos, "?????" son números al azar.
Cuando el adjunto es ejecutado en forma manual (al ser
recibido), el gusano crea los siguientes archivos:
c:\csrss.exe
c:\csrss.bin
CSRSS.EXE es un keylogger (un programa que monitorea
constantemente la salida del teclado, para capturar todo lo
ingresado a través de él). Para ejecutarlo en cada reinicio, el
gusano crea la siguiente entrada en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Key Logger = "c:\csrss.exe"
El archivo CSRSS.BIN almacena lo capturado desde el teclado.
El gusano busca direcciones electrónicas en archivos con las
siguientes extensiones, en todas las unidades de disco y
mapeadas en red, de la C a la Z, excepto unidades de CD-Rom:
.dat
.dbx
.eml
.mbx
.mdb
.tbb
.wab
También busca direcciones en archivos cuyos nombres contienen
la siguiente cadena:
inbox
El gusano contiene una rutina capaz de enviar paquetes SYN a
direcciones IP al azar en puertos TCP seleccionados entre el
28000 y el 28500.
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes
archivos:
c:\csrss.bin
c:\csrss.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
Key Logger
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE
'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE
'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su computadora,
deberá deshabilitar antes de cualquier acción, la herramienta
"Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Troj/Sens.A. Monitorea la red, envía datos
_____________________________________________________________
http://www.vsantivirus.com/troj-sens-a.htm
Nombre: Troj/Sens.A
Tipo: Caballo de Troya
Alias: Sens, Trojan.Sens, Win32/Sens.A
Fecha: 21/oct/04
Plataforma: Windows 32-bit
Tamaño: varios
Caballo de Troya que monitorea la actividad de la red en la
computadora infectada. Puede enviar información robada del
equipo actual, a un usuario remoto.
No se propaga por si mismo. Puede llegar a nuestro PC al ser
copiado manualmente en el sistema, o al ser descargado
intencionalmente o mediante engaños de algún sitio malicioso, o
de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a
su víctima en un mensaje electrónico individual o masivamente
por medio de spam a otros usuarios.
El troyano está compuesto por los siguientes elementos:
install.bat
launcher.exe
testdll.dll
winhost.dll
El archivo INSTALL.BAT es el instalador. Cuando el troyano se
instala, crea las siguientes copias de si mismo:
c:\windows\system32\iat.dll
c:\windows\system32\senss.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo ("c:\winnt" en NT, "c:\windows", en 9x, Me,
XP, etc.).
Crea las siguientes entradas en el registro de Windows:
HKLM\SYSTEM\CurrentControlSet\Services\SENS\Parameters
Interactive = "0"
program = "senss.exe"
ServiceDll = "[camino]\winhost.dll"
Esto captura el servicio "Notificación de sucesos del sistema"
(SENS), asegurándose que el archivo SENSS.EXE (una copia del
troyano), se ejecute en cada reinicio de Windows.
NOTA: SENS es un servicio ejecutado por Windows para registrar
sucesos del sistema, tales como los de inicio de sesión en
Windows, red y energía, etc.
El troyano también carga en memoria su copia IAT.DLL para
llevar a cabo inyecciones de código en el proceso de
WINLOGON.EXE, iniciado por Windows en el inicio de sesión. Este
código contiene las funciones de monitoreo de red, para espiar
la actividad de la misma, y enviar información a un atacante
remoto.
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la
conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de cualquier
adjunto con posibilidades de poseer virus (sin necesidad de
tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados por el virus.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión de
Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SENS
\Parameters
3. Haga clic en la carpeta "Parameters" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre las
siguientes entradas:
program = "senss.exe"
Interactive = "0"
4. En la misma carpeta, cambie el contenido de "ServiceDll" por
lo siguiente:
%SystemRoot%\system32\sens.dll
5. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus tarjetas
electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE
'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE
'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su computadora,
deberá deshabilitar antes de cualquier acción, la herramienta
"Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados, simplemente
ejecutamos esos antivirus en su opción de escaneo, sobre la
carpeta que contenga los archivos a revisar). Y por supuesto,
de nada vale usar algún antivirus si no lo mantenemos
actualizado con los upgrades, updates o add-ons
correspondientes. Actualmente, las actualizaciones son diarias
(AVP, Panda y otros) o al menos semanales. No existen los
"virus demasiados nuevos y sin antídotos", la reacción de las
casas de antivirus es inmediata en todos los casos. Pero mejor
pregúntese, si la suya también lo es a la hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes. Asegurarse
con esa persona del envío ("Melissa" y otros pueden ser
enviados por conocidos que ignoran estar mandando el virus en
sus mensajes), y nunca ejecutarlos, sino guardarlos en una
carpeta temporal y pasarle a esa carpeta dos o tres antivirus
actualizados antes de tomar la opción de ejecutarlos (.EXE) o
abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda,
simplemente se debe optar por borrar el mensaje (y archivos
adjuntos). Como se dice vulgarmente, "la confianza mata al
hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las novedades
sobre estos, alertas y anuncios críticos, en sitios como el
nuestro.
4) No bajar nada de sitios Web de los que no tenga referencias
de seriedad, o que no sean medianamente conocidos. Y si se
bajan archivos, proceder como los archivos adjuntos. Copiarlos
a una carpeta y revisarlos con dos o tres antivirus
actualizados antes de optar por ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos el
permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido sacado
de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo a
la política de Copyright adoptada por cada uno de ellos, y su
inclusión en nuestro boletín se rige por dichas políticas, sin
embargo, para su uso en otro medio, se deberá solicitar la
debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1568 Año 8, viernes 22 de octubre de 2004
|
VSantivirus No. 15
Responder a este mensaje
