La verdad sobre el VBS/Antrax

Anuncio
La verdad sobre el VBS/Antrax
Asociación de Internautas
La verdad sobre el VBS/Antrax
Anda que hay alertas de Virus que ... :(
Reproducimos un articulo de VirusAttack sobre lo que ha "ocurrido" con este virus.
El sábado se agregó a nuestra base de datos un análisis preliminar de este gusano, también
denominado VBSWG.AF, VBSWG.AG, VBSWG.AH o VBSWG.AL, según la variante de la que
se hable, que luego fue corregida para notar que, debido a un error en tiempo de ejecución no era
capaz de ejecutarse correctamente.
Esta primer variante fue recibida en los laboratorios de Virus Attack! a través de un correo
electrónico enviado manualmente desde el webmail del portal UOLMAIL, por lo que se supuso que
el origen de este envío era España. Tras este envío, unos días después se recibieron otras dos
variantes, muy similares, también desde cuentas de correo electrónico del mismo portal.
El Centro de Alerta Temprana del Ministerio de Ciencia y Tecnología de España se hizo eco en su
web del reporte de Virus Attack! e inmediatamente publicó la descripción, lo que dio lugar a que
diversos medios de ese país tomaran y publicaran esta información en sus páginas rápidamente.
La principal razón de la gran difusión obtenida por este gusano, es los mensajes en los que intenta
difundirse, cuyo tema principal es acerca del virus biológico Ántrax (o Anthrax, en inglés), muy
famoso en estos momentos debido a lo que está sucediendo en el mundo tras los atentados a EE.UU.
Esto hizo que ante la aparición de un gusano que utilizará información de este virus para instar al
usuario a ejecutarlo, los medios aprovecharan rápidamente la ocasión para informar de ello.
Pero lo que casi ninguno de estos medios informó es que las variantes conocidas del gusano, en
principio eran 3, no son capaces de propagarse por correo electrónico debido a fallas en su
programación, y que no se registraron casos de personas afectadas por este gusano debido a esta
razón.
Y con esto la desinformación comenzó a ser moneda corriente en los medios hispanos: que se
reproducía por correo electrónico como un archivo adjunto con extensiones como .jpg y .doc (según
PCWorld España), que existían variantes en español e inglés (PCWorld Internacional) y que era
capaz de propagarse por correo electrónico (casi todos los medios no especializados), todas
informaciones completamente erróneas.
Las variantes conocidas del VBS/Antrax, como se lo conoce "extraoficialmente", si pudieran
reproducirse por correo electrónico, cosa que son incapaces de hacer, lo harían con archivos de
extensiones .jpg.vbs, .doc.vbs y .vbs, y es importante recordar que no existen virus capaces de
utilizar la extensión .jpg para ejecutarse hasta el momento.
Los mensajes de correo electrónico en los que este gusano podría ser recibido si realmente
funcionara se encuentran en español y no existen versiones en inglés hasta el momento.
Y, por último, ninguna de las variantes analizadas por el momento es capaz de propagarse por
1/3
La verdad sobre el VBS/Antrax
correo electrónico debido a problemas de programación.
¿Y el anuncio de Panda?
El pasado 16, cuando la información publicada en el Centro de Alerta Temprana, acerca de este
gusano, ya había alcanzado las primeras planas de casi todos los medios de habla hispana, la
empresa española Panda Software anunció el descubrimiento de una cuarta variante de este gusano,
que más tarde denominó VBWG.L (o VBSWG:AF), capaz de propagarse por correo electrónico en
un mensaje con el texto "Como ahorita esta de moda hablar sobre el antrax aquí les mando una foto
de un enfermo terminal" y un archivo adjunto de nombre Antrax, con las mismas extensiones
posibles que las anteriores.
Este anuncio causó cierta sorpresa en el resto de los laboratorios antivirus debido a que la misma
sólo fue recibida por dicha empresa, cuando las anteriores muestras habían sido enviadas
manualmente por su autor a más de un destinatario. Debido a esto, comenzaron a correr rumores de
que esta nueva variante había sido creada especialmente para atraer la atención de la empresa.
Igualmente, posteriores análisis de otros laboratorios antivirus como F-Secure, a través de su
analista Katrin Tocheva, aclararon que tampoco la cuarta variante era capaz de propagarse
correctamente por correo electrónico debido a que fallaba en el momento de adjuntar el archivo
infectado al mensaje de salida. En sí, esta cuarta variante nada difiere de las anteriores, salvando el
mensaje en el que intenta enviarse.
¿Antrax o Anthrax?
Otra de las confusiones causadas por este gusano se relaciona con los distintos nombres que recibió
desde su descubrimiento. Bautizado inicialmente como VBS/Antrax, debido a la relación del
contenido del mensaje con dicho virus biológico, al comprobarse que había sido generado con la
herramienta VBS Worm Generator, se le asignó un nombre correspondiente, como VBSWG.AF,
dado que este tipo de gusanos es llamado de esta manera.
Pero algunos medios, e incluso algunas compañías antivirus como Central Command, denominaron
en algún momento a este gusano como Anthrax. Ya existe, desde 1990, un virus residente en
memoria denominado de esta manera, por lo que denominarlo de esa manera es claramente un error.
Entonces, ¿qué hace este gusano?
Esa es la pregunta que casi todos nos hacemos tras la gran cantidad de información distinta que
circuló estos días por internet. Ninguna de las variantes conocidas del VBS/Antrax son capaces de
propagarse por correo electrónico ni se han recibido reportes de usuarios que indiquen que haya
casos de infección por este gusano.
Mientras que la primer variante descubierta, denominada VBSWG.AH.intended, no es capaz
siquiera de ejecutarse debido a problemas en su programación, por las mismas razones el resto de
las variantes no son capaces de de enviarse por correo electrónico, por lo que las posibilidades de
que alcancen gran propagación son bajas.
Lo que si pueden llegar a hacer estas variantes que si funcionan es reproducirse, en algunos casos,
utilizando los clientes de IRC basados en mIRC o Pirch, y en caso de infectar un equipo,
sobreescribir con su propio código archivos cuya extensión sea .vbs o .vbe.
Es importante que no se genere gran alarma por este gusano, al menos hasta que se conozca alguna
2/3
La verdad sobre el VBS/Antrax
variante que funcione correctamente, debido a que sus capacidades no le permiten alcanzar un nível
de gravedad medio o alto y es seguro que no alcanzará gran propagación. Pero esto no quiere decir
que deba bajarse la guardia: cualquier mensaje de correo electrónico sospechoso que sea recibido
por un usuario debe ser inmediatamente eliminado o remitido a algún laboratorio antivirus, y es
importante que se actualicen periódicamente los antivirus para poder detectar los nuevos virus que
sean detectados día a día.
Y algo más debe quedar claro: que hoy no exista un virus que funcione correctamente y que sea
capaz de enviarse por corre electrónico con un mensaje relacionado con el Ántrax, no quiere decir
que mañana no lo haya. Es importante que se esté alerta y se sigan los consejos básicos de seguridad
para evitar problemas con éste o cualquier futuro virus relacionado con cualquier otro tema.
Más información
Virus Attack! - Descripción del VBS/Antrax
http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=338
VSAntivirus - Virus Antrax no puede propagarse, pero cambia de nombre
http://www.vsantivirus.com/17-10-01.htm
Alerta Antivirus - VBS/Antrax
http://www.alerta-antivirus.es/detalles/virus.php?cod_virus=994
Kaspersky Labs. - An Outbreak of Anthrax on the Internet?
http://www.avp.ru/news.asp?tnews=0&nview=1&id=242&page=0 PCWorld.com - Anthrax Worm
Fails to Spread
http://www.pcworld.com/news/article/0,aid,66423,00.asp
PCWorld España - Anthrax: virus letal y virus informático: VBS/Antrax
http://www.idg.es/pcworld/noticia.asp?idn=19046
Symantec - VBS.VBSWG:AF
http://www.sarc.com/avcenter/venc/data/vbs.vbswg.af.html
Reproducido de VirusAtackk
2016 ©Asociación de Internautas
3/3
Descargar