Este año contamos de nuevo con un virus de creación propia y exclusiva para esta comparativa, por lo que nunca saldrá a la luz ni podrá llegar a infectar a los usuarios. Se trata de un virus simple de acción directa para plataformas Win32 que infecta los ficheros EXE con formato PE que se encuentre en el mismo directorio que la muestra infectada y la carpeta de Windows. Incluía algunas cadenas de texto no en español, para disimular aun más su origen, y un aparente payload destructivo que se activaba el 5 de marzo a las 0:00 horas y que intentaba borrar todos los ficheros con extensión .exe de c:\windows, si bien este efecto no se llegaba a producir por un error en la programación. Este efecto fue diseñado a conciencia para que las casas antivirus se tomaran con mayor urgencia el diseño de la vacuna, y así evitar que el usuario afectado pudiera perder sus datos.

Antes de enviar la muestra procedimos a chequearla con todos los productos antivirus, con los siguientes resultados:

antivirus	modo por defecto	máxima heurística
avp	no detecta	sospechoso (genérico)
f-secure	no detecta	---
inocutaleit	no detecta	no detecta
norman	no detecta	---
norton	no detecta	no detecta
platinum	no detecta	sospechoso (genérico)
pc-cillin	no detecta	no detecta
sophos	no detecta	no detecta
virusscan	no detecta	sospechoso (genérico)

Estos resultados, con los ya obtenidos en la prueba de detección de un virus modificado, confirman a AVP, Panda y VirusScan como los productos con mejor motor heurístico para virus binarios.

Mensaje de envío de la muestra:

###

De: Manuel Ramirez
Para:
Tema: virus?
Fecha: 04/03/2001

Archivo adjunto: xxx-files.txt.zip

Buenas, me ha llegado esto adjunto en un mensaje
de correo electrónico, al intentar abrirlo se ha
abierto el bloc de notas, pero no había nada.
Me parece sospechoso, ¿puede ser un virus?

Mi sistema es Windows 98, y utilizo .

Gracias

Manuel Ramírez

###

Respuestas:

5 minutos

De forma casi inmediata se produjeron las respuestas de McAfee AVERT (VirusScan) y el Laboratorio de Investigación de Virus (Panda), donde comunicaban que habían recepcionado la muestra y listaban una serie de datos a rellenar para facilitar el proceso.

8 horas y 2 minutos (AVP). Primera identificación y solución completa

De la mano del propio Eugene Kaspersky nos llega la primera confirmación de que nuestra muestra sospechosa está infectada por un nuevo virus para Win32 que borra los ficheros del directorio Windows. Adjunta una actualización para AVP que detecta el virus como Win32.Barum.15236 y desinfecta de forma correcta.

8 horas y 4 minutos (InoculateIT)
Mensaje de European Support Centre (InoculateIT) donde nos indican que para este tipo de consultas nos dirijamos a la página web o a un número de teléfono. Mensaje sin mucho contenido, ya que en el mensaje enviado podía verse que también se enviaba a la dirección que mantienen para recepcionar las muestras sospechosas.

8 horas y 17 minutos (AVP)
Vicente Coll nos traduce a español el mensaje de Eugene Kaspersky y nos solicita el número de registro para enviarnos la vacuna. Al parecer no se percató de que Eugene le enviaba la actualización en el mismo mensaje que al usuario afectado.

8 horas y 22 minutos (AVP)
De nuevo mensaje de Eugene Kaspersky, en esta ocasión para indicarnos que debido a un error en el virus éste no borrará los ficheros de la carpeta Windows.

8 horas y 27 minutos (AVP)
Como en la vez anterior, Vicente Coll traduce al español el nuevo mensaje de Eugene y vuelve a solicitarnos el número de registro.

8 horas y 28 minutos (InoculateIT). 2ª identificación
Michael Lombroso nos confirma que se trata de un nuevo virus denominado Win32/BajaRum, y que próximamente nos enviará una actualización.

10 horas y 40 minutos (F-Secure). 3ª identificación.
Alexey Podrezov nos avisa que tras un análisis preliminar se trata de un virus Win32 no residente que infecta los .EXE del directorio actual y de Windows. Así mismo indica que parece que puede borrar ficheros en un día y hora determinadas. También indica que en el cuerpo del virus se pueden encontrar la siguiente cadena de texto: '[ Bajan Rum ] Tekken' time ent no laziness...'. Añade que incluirán detección para este virus en la próxima actualización para los productos F-Secure. Así mismo pide que le escriba en inglés, ya que no entiende nuestro mensaje y le gustaría conocer nuestra situación.

11 horas y 11 minutos (Trend Micro)
Emmy Lou D. Dy (Trend Micro) comenta que la muestra está siendo analizada y que seremos informados en breve sobre el resultado. Nos facilita un número de incidencia por si queremos hacer alguna consulta posterior.

11 horas y 50 minutos (InoculateIT)
Sin remitente identificado, desde la dirección Virus25@cai.com nos informan de que se trata de un nuevo virus para Win32 y que será reconocido en la próxima actualización.

13 horas y 41 minutos (VirusScan)
Maria Jesus Martinez Medialdea informa de que el adjunto que recibimos contenía un virus, pero no aporta ningún nombre ni característica. Nos informa que debemos actualizar el fichero dat si la definición es anterior a 4125, pero no indica como lo podemos hacer. A continuación nos pide que hagamos un scan en modo a prueba de fallos.

13 horas y 52 minutos (Trend Micro)
Desde la dirección support_spain@trendmicro.com indica que nos dirijamos a virus_doctor@trendmicro.com para cualquier consulta sobre virus. No debieron darse cuenta que en el mensaje que les enviamos iba precisamente con copia a esa dirección.

14 horas y 7 minutos (Sophos). 4ª identificación y 2ª detección (no desinfecta).
Ed Rowley confirma que la muestra que enviamos se encuentra infectada por el virus W32/Laziness, que intentará borrar todos los ejecutables del directorio Windows entre las 12 y las 1 del día 6 de marzo. Adjunta un fichero de actualización para Sophos que detecta el virus, pero es incapaz de desinfectar.

18 horas y 31 minutos (Panda). 5ª identificación 2ª solución completa.
Desde el Laboratorio de Virus de Panda nos informan que la muestra estaba infectada por W32/Barum.1536 y nos adjuntan un programa y actualización para detectar y desinfectar el virus.

19 horas y 8 minutos (InoculateIT)
Desde Virus25@cai.com nos informan de que nuestro buzón ha rechazado un mensaje anterior que contenía la solución debido a que superó el tamaño máximo permitido. Nos solicita una dirección donde podamos recibir un fichero de 3,5MB.

24 horas y 14 minutos (Norman). 6ª identificación y 3ª solución completa
Desde analysis@norman.no nos mandan un mensaje en dos idiomas, el original en inglés junto con una traducción automática en español, donde nos informa que la muestra se encontraba infectada por el virus W32/Bajum.1536 y se adjunta una actualización para que el antivirus lo pueda erradicar. A destacar el detalle de la traducción.

35 horas y 9 minutos (VirusScan). 7ª identificación y 4ª solución completa
Desde AVERT (UK) nos confirman la existencia del virus y nos adjunta una actualización para erradicarlo.

36 horas y 1 minuto (Sophos)
El Departamento de Soporte de Sinutec nos remiten una actualización para poder detectar y eliminar el nuevo virus que catalogan como W32/Laziness.

55 horas y 51 minutos (F-Secure)
Beatriz López de Economic Data informa de que la muestra estaba infectada por Win32.Barum.1536 y que el antivirus ya lo reconoce según las últimas actualizaciones.

68 horas y 22 minutos (Trend Micro). 8ª identificación y 5ª solución completa
Robert Pareja nos indica que la muestra estaba infectada por PE_TEKKEN.A., nos resumen las características del virus, y facilita un fichero con la actualización para que PC-Cillin pueda proceder a su detección y eliminación.

84 horas y 42 minutos (InoculateIT)
Nuevo mensaje desde Computer Asociattes para indicarnos que la muestra estaba infectada por Win32/BajanRum y que podemos descargar la actualización pertinente.

Norton Antivirus 2001 utiliza un módulo de su programa para enviar las muestras sospechosas, y no facilita ninguna dirección de correo para ello. No obstante, en los formularios que hay que rellenar para proceder al envío nos da la posibilidad de incluir una dirección de correo electrónico para ser informados. Transcurrida una semana no se obtuvo ningún tipo de respuesta por parte de Norton, si bien en una actualización 48 horas después del envío de la muestra el virus era detectado, aunque sin facilitar ningún método de desinfección.

A destacar por encima de todas la solución de AVP en un tiempo record y la traducción casi simultanea de su distribuidor en España. Panda Software también cumplió con la solución integral, dentro de las 24 horas que contempla como máximo en sus respuestas, con detalladas instrucciones en español.

Sophos si bien también incluyó una actualización dentro de la primeras 24 horas, su actuación se desluce ya que este antivirus no desinfecta los ejecutables, con lo que sólo cabe eliminar todos los ficheros infectados, lo que conlleva entre otras operaciones tener que reinstalar Windows. En tiempo y forma también contestaron F-Secure y Norman, ambos preocupados por no saber español y en el caso de Norman hasta se utilizó un traductor automático para poder contestar en nuestro idioma.

Sorprendió gratamente también la rapidez de InoculateIT, aunque queda patente visto la cantidad de mensajes que recibimos que hay cierta falta de coordinación en Computer Asociattes para la recepción de ficheros sospechosos y posterior información. En cualquier caso, mejor que sobre a que falte. Algo más retrasados, pero con una solución también completa, Network Asociattes (VirusScan) y Trend Micro (PC-Cillin).