2004
Ene
08
08/01/2004 Virus dañados e inofensivos
El pasado 30 de diciembre se enviaron miles de e-mails falsos que
simulaban ser un envío del Banco de Inglaterra. El mensaje solicitaba
a los usuarios que ejecutaran el archivo adjunto, antikeylog2004.exe.
Aunque algunos antivirus lo detectan como troyano, el archivo se
encontraba corrupto y nunca pudo ejecutarse ni causar daño alguno.
Asunto: security notification
Adjunto: antikeylog2004.exe
Cuerpo:Dear customer,The security of your personal and account information is
extremely important to us. By practicing good security habits,
you can help us ensure that your private information is protected.
Please install our special software, that will remove all the
keyloggers and backdoors from your computer.And will help us to prevent credit card fraud in future.Thank you.Best regards,Bank of England
Este tipo de mensajes con troyano ha sido enviado de forma masiva
en varias ocasiones simulando proceder de diversas instituciones,
como Citibank, E-Loan, Wells Fargo y U.S.Bank. En estos casos el
troyano sí era funcional, y descargaba un segundo componente que
permitía robar las contraseñas o conectar con el sistema infectado,
entre otras funciones.En el caso del Banco de Inglaterra el ejecutable se encontraba
corrupto y no podía ejecutarse, por lo que los usuario no sufrieron
daño alguno. En cualquier caso, algunas compañías antivirus han
decidido incorporarlos a sus bases de actualización, según datos
de Hispasec, así lo hicieron:Sophos, el 30/12/2003, a las 14:05, como "Troj/Antikl-Dam"
Antigen, el 30/12/2003, a las 21:23, como "Troj/Antikl-Dam"
McAfee, el 31/12/2003, a las 19:14, como "Downloader-DI.dam"
Norton, el 02/01/2004, a las 21:38, como "Download.Berbew.dam"
Panda, el 05/01/2004, a las 17:23, como "Troj./Downloader.V.dam"A fecha de hoy, antivirus como InoculateIT, Kaspersky, NOD32 o
Trendmicro, no lo han incluido. En este aspecto hay cierta
divergencia entre los desarrolladores antivirus, mientras algunos
consideran que deben incluir este tipo de firmas de archivos
dañados, otros optan por no introducirlas argumentando que no
representan un peligro real para los usuarios y pueden causar
falsas alarmas.En este caso, la inclusión o no de la firma es inocuo para el
usuario, ya que el ejecutable no representa ningún peligro. En
todo caso se trata de un archivo sin ninguna utilidad que puede
ser eliminado manualmente, y si nuestro antivirus lo detecta lo
hará por nosotros de forma automática.En cualquier caso, y para evitar falsas alarmas, es conveniente
que observemos el uso del sufijo "dam" (damaged) en la
nomenclatura de los virus, troyanos y malware en general para
designar aquellos especímenes que no son funcionales . De forma
que cuando nuestro antivirus detecte un virus cuyo nombre termina
con el sufijo ".dam", sepamos que se trata de un archivo dañado
que no puede habernos causado ningún problema en el sistema, pero
que debemos eliminarlo ya que no tiene ninguna utilidad.Información adicional sobre los nombres de los virus puede
ser consultada en la nota "Bautizar un virus" en la dirección
http://www.hispasec.com/unaaldia/1523
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1901
Más Información:
Bank of England: Alert to Fraudulent E-mail
http://www.bankofengland.co.uk/pressreleases/2003/176.htm
Bank of England hit by hoax e-mail
http://www.cnn.com/2003/WORLD/europe/12/30/uk.bankhoax/
Downloader-DI.dam
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100487
Trj/Downloader.V.dam
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=43345
Download.Berbew.dam
http://securityresponse.symantec.com/avcenter/venc/data/download.berbew.dam.htmlBernardo Quintero