Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Las enseñanzas que nos deja el virus Telefónicas
 
VSantivirus No. 244 - Año 5 - Viernes 9 de marzo de 2001

Las enseñanzas que nos deja el virus Telefónicas
[Extraído de AlertaLab 2001-04 (www.ran-net.com), con permiso de su autor]

BUENOS AIRES, 7 de Marzo de 2001. Por primera vez en la historia de los virus el creador del virus ejecuta una rutina de ataque por Negación de Servicio (NdS o DoS, según las iniciales en inglés de Denial of Service) dirigida a una empresa específica. El creador del virus ha logrado conservar el anonimato, ya que los ejecutantes del ataque son los usuarios que se infectaron con el virus. Toda empresa con un uso importante del correo electrónico se encuentra en riesgo ante este nuevo tipo de ataques.

¿Qué es un ataque por Negación de Servicio? 

El objetivo de un hacker en un ataque por Negación de Servicio (NdS) [DoS] no es obtener acceso a la red que se ataca, sino que se trata de impedir el funcionamiento de algún elemento de la red atacada.

En el caso del virus Telefónicas el elemento de la red que se ataca son dos direcciones de email.

Análisis de entorno 

El virus intenta dejar inactivas las casillas de correo de dos usuarios de una empresa argentina en particular. 

¿Desafío entre hackers?. ¿Empleado o proveedor despedido?. ¿Ataque de una empresa de la competencia para anular la capacidad operativa?. La causa de este ataque en particular probablemente sólo la conozca quien creo el virus y quien recibió el ataque (el correo en especial tiene un mensaje con el cual las personas perjudicadas seguramente pueden identificar al agresor).

En realidad importa poco analizar este caso en particular, excepto para entender que cualquier corporación es susceptible de tener un hacker entre sus filas, el cual puede ser desafiado por otro hacker, un empleado o proveedor despedido que quiere tomar alguna clase de revancha o un competidor desleal que quiera utilizar cualquier herramienta que le permita obtener algún beneficio perjudicando a su competencia.

¿Cómo funciona el virus Telefónicas como un NdS?

El creador del virus envió un email contaminado a "n" personas. Este email contiene un archivo adjunto que es el Virus Telefónicas (virus basado en archivos VBS). Todos aquellos que tienen un antivirus que detecta el virus o un filtro de correo que impide el acceso de archivos VBS, ni siquiera reciben el virus.

Por el contrario, la gran mayoría de los usuarios hogareños o de pequeñas empresas no tienen antivirus, o no lo tienen actualizado. Y por lo tanto una cantidad importante de los receptores se infectarán. Y en que consiste la infección: enviará 1000 mensajes a dos direcciones específicas, cada mensaje lleva como adjunto el archivo Explorer.Exe que pesa 50 Kb. 

El destinatario recibe cientos de miles o millones (si mil usuarios abren el adjunto se enviarán 1,000,000 de e-mails) de e-mails que harán colapsar esa dirección en particular, probablemente se pierdan mensajes importantes y hasta es posible que cause una caída en el servidor de correo dejando sin correo a toda la corporación.

Moraleja: No importa si el destinatario de la agresión tiene o no antivirus, ya que lo que recibe son cientos de miles de correos que contienen, cada uno, al archivo Explorer.exe. 

¿Cómo analizar una política defensiva activa? 

El primer paso en la definición de una política defensiva activa consiste en la comprensión de los riesgos que pueden afectar al sistema de correo, verdadera columna vertebral de una empresa actual.

La vulnerabilidad que genera un virus como el analizado no puede ser cubierta por ningún antivirus: lo que recibe el servidor de correo es un archivo ejecutable sano, por lo cual es imprescindible contar con una herramienta de filtro de correo que actúe como un verdadero control fronterizo: se definirá que puede ingresar y que puede egresar de la corporación. Y eventualmente, en forma dinámica, modificar la granularidad para detectar archivos con nombre específico.

Al definir que puede ingresar o egresar de la red, se puede ser tan rígido como para permitir únicamente archivos con formatos específicos que tengan relación directa con la operatoria de cada sector: por ejemplo permitir sólo el acceso y egreso de archivos de documentos. O ser más flexible y prohibir únicamente aquellos archivos con altos niveles de riesgo: ejecutables o archivos VBS.

También debe ser tomada en cuenta la disponibilidad del correo: Los ataques NdS tienden a enfocarse en los servidores de correo: Se debe implementar alguna herramienta de alta disponibilidad que minimice los riesgos de un ataque de NdS.

Conclusiones

Es necesario implementar herramientas que nos permitan obtener como mínimo los siguientes objetivos:

1. Implementar reglas claras que establezcan el tipo de contenidos y de archivos que pueden entrar o salir de la empresa dependiendo del área y/o usuario, manteniendo la funcionalidad del conjunto empresario y los derechos y límites de los mismos.

2. Herramientas que permitan controlar el cumplimiento de las reglas establecidas y además permitan a los administradores contar con información actualizada para prever posibles catástrofes (alertas de violaciones, picos de utilización por usuario/tipo de contenido, tendencias, etc.).

Estas dos conceptos nos asegurarán un correcto funcionamiento interno y liberarán a la empresa y administradores de responsabilidades por daños intencionales externos.

Miscelánea

Información de Telefónicas como NdS

Fecha del Reporte: 7 de Marzo de 2001
Tipo de Virus: Virus de Visual Basic Script que en los equipos infectados genera 1000 mensajes destinados a atacar una dirección específica de correo. 
Origen: Argentina
Otros nombres: VBS-Vanina, VBS-Cuartel.A
Grado de Riesgo: Un ataque de DnS como este puede, desde dejar inactiva una dirección de correo hasta hacer perder mails reales o hacer caer el servidor de correo.
Carga destructiva directa: El virus genera una DnS en forma anónima, haciendo que los emisores del mensaje sean usuarios inocentes, asegurando el anonimato del agresor.

Fuente: RAN-NET (www.ran-net.com)


Ver más información, en:

02/mar/01 - VBS/Vanina (Solved). Borra archivos y se envía 1000 veces
03/mar/01 - La "Venganza de las Telefónicas" provoca graves daños


Ver también:
19/dic/00 - ¿Las soluciones antivirales pueden ser ineficaces?
 

Copyright 1996-2001 Video Soft BBS