sábado, 21 de julio de 2001

Un nuevo gusano. Maribel Cerezuela

Un nuevo gusano, el llamado I-Worm.Sircam.c., extremadamente peligroso nos ataca de nuevo.

Los virus siguen invadiendo la red y causando destrozos que cuestan bastante dinero



Nos reiteran nuestros mayores que tengamos cuidado, que no hay que exponerse a la aventura de poder hacer lo que nos venga en gana sin correr el riesgo ante las posibles consecuencias, no del todo "sanas" las más de las veces.

Esto viene a cuento porque si los jóvenes y menos jóvenes que utilizamos asiduamente Internet vamos a estar siempre con el ¡ay! ¡ay! ante cualquier adjunto que nos entre por el correo electrónico, como posible virus informático, vamos a acabar con úlcera o lo que es lo mismo, desconfiando de amigos y enemigos que nos envíen un correo electrónico.

Y esto me ha pasado hoy. He recibido la friolera cantidad de cinco mensajes con este mismo "invitado", que se ha colado en mi ordenador sin ser llamado. Claro que, avisado estaba por la prestigiosa revista electrónica ¡brújula.com, que ha evitado una vez más un desastre, no precisamente ecológico.

Este nuevo virus-gusano, está consiguiendo una especial relevancia en países de habla hispana, gracias a la utilización del español. Lo hace disfrazado a través de un "subject" ya utilizado, lo que puede traducirse en revelación de información confidencial.

Tiene su origen en México y se reproduce a través del correo electrónico a gran velocidad, según han recogido boletines especializados como AVP o Hispasec.


Un gusano muy peligroso


Se le ha llamado "El I-Worm.Sircam.c" aparece con un subject" de un antiguo correo y con un mensaje del tipo:

 "¿Hola, cómo estás? Te mando este archivo para que me des tu punto de vista. Nos vemos pronto, gracias." 

Además la extensión del archivo no aparece como .exe o .vbs, los dos más reconocidos como "transportadores de virus".

La primera extensión del archivo que se adjunta puede ser .gif, .jpg, .jpeg, .mpeg, .mov, .mpg, .pdf, .png, .ps, o .zip, mientras que la ultima y realmente importante puede ser .bat, .com, .exe, .lnk o .pif.  En la configuración por defecto de Windows la segunda extensión no se visualizaría, lo que sin duda puede lograr engañar a los usuarios haciéndoles creer que se trata d eun documento inofensivo, según informa Hispasec.

La información contenida en el boletín de AVP, menciona lo siguiente: "El gusano I-Worm.Sircam.c es extremadamente peligroso, por lo que es recomendable que se actualicen los antivirus a la mayor brevedad. En la mañana del miércoles 18 se ha realizado una actualización especial alrededor de las 12h. de España con lo que todos los usuarios que hayan actualizado después de esa hora ya tienen protección contra el virus.

Al infectar un ordenador, el virus se copia a sí mismo, con el nombre de "sirc32.exe" a la carpeta RECYCLED que es el nombre con el que Windows llama a la Papelera de Reciclaje. Este sistema de ocultación es ingenioso porque algunos antivirus, entre los que NO se encuentra el AVP, no comprueban dicha carpeta por defecto. Además, crea una copia de sí mismo en el archivo  scam32.exe en la carpeta WINDOWSSYSTEM. 

También modifica el registro para que ambos programas se ejecuten continuamente, el scam32.exe cada vez que arranca el ordenador, y el sirc32.exe cada vez que se ejecuta un programa .exe. Este método de autoinstalarse para ejecutarse cada vez que se intenta ejecutar un programa .exe, también fue utilizado en su momento por el popular virus NAVIDAD.

Dependiendo de ciertas condiciones aleatorias, el virus también se copia a sí mismo en la carpeta WINDOWS con el nombre ScMx32.exe y en la carpeta de Inicio con el nombre de "Microsoft Internet Office.exe". Estos dos archivos no son creados siempre, sino solo de forma aleatoria. Finalmente, el virus renombra un archivo del sistema Windows, el RUNDLL32.EXE, como RUN32.EXE y se copia a sí mismo una vez más, esta vez con el nombre robado de RUNDLL32.EXE.

El virus también se reproduce a través de la red local. Todos los ordenadores que estén conectados al ordenador infectado reciben una copia del archivo Sirc32.exe en la carpeta RECYCLED, y el virus modifica los AUTOEXEC.BAT, de los ordenadores remotos para incluir la línea @win recycledSirC32.exe, que asegura que el virus se ejecute durante el siguiente reinicio del ordenador. El peligro del virus radica en que dependiendo de la fecha y la hora del sistema, el gusano borra información del disco duro.

En una de cada 20 ejecuciones borra todos los archivos de la carpeta WINDOWS y todas las subcarpetas que allí se encuentren. En una de cada 50 ejecuciones, el virus crea el fichero SIRCAM.SYS en el directorio raíz del disco duro y escribe un texto ilegible.