Los virus más reportados en VSAntivirus (junio 2003)

VSantivirus No. 1089 Año 7, Martes 1 de julio de 2003

Los virus más reportados en VSAntivirus (junio 2003)
http://www.vsantivirus.com/virus-report-jun-03.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy

Este mes, el Bugbear.B ha desbancado al Klez de nuestras estadísticas. Y por cierto hay razones para que se haya extendido tanto, lo que no quiere decir que las justifiquemos. Por ello incluso ha acaparado los titulares de medios que normalmente no hablan de virus de computadoras.

Lo que hace que este gusano se haya convertido casi en una epidemia, es sin dudas el hecho de apelar al uso de mensajes y textos encontrados en la máquina infectada. De ese modo, para un usuario medio, es casi imposible imaginar la trampa antes de caer en ella.

Pongámonos en ese lugar. ¿Cómo sospechar cuando el mensaje nos dice algo como "Hola Pablo, te mando los datos para el trabajo que me pediste. Te pido me lo confirmes...". Aunque no nos llamemos Pablo, es casi seguro que la mayoría pecaremos de curiosos y terminemos abriendo el adjunto para saber de que se tratan esos datos enviados.

Pero ese es solo un ejemplo. Los mensajes que envía el BugBear.B son todos diferentes, y es casi seguro que serán en nuestro propio idioma, porque las máquinas infectadas son de algún modo de gente que tiene en sus discos nuestras direcciones (y no solo en la libreta, son válidos también mensajes antiguos o que nos incluyen contra nuestro deseo por ser parte de esas "malditas cadenas" del tipo "reenvíalo a todos tus conocidos" que nunca deberíamos responder).

Además el gusano también puede ejecutarse sin abrir el adjunto, con solo verlo en el panel de vista previa del Outlook. Sin embargo, ello solo ocurre si tenemos una versión 5.5 o anterior sin actualizar. El OE 6.0 no es vulnerable. Y como estadísticamente, una gran mayoría utiliza esta versión, la razón de la propagación no es otra que la apertura premeditada del adjunto. Y de no tener actualizado el antivirus.

Hemos detectado que un 90% de los infectados que han solicitado nuestros servicios para erradicar este gusano, usaban la versión 6 del Outlook Express. Pero en cambio no tenían al día el antivirus, o habían sido atacados antes por otros virus, que habían deshabilitado esta protección.

Increíblemente, 3 de cada 5 infectados que hemos tratado nos han dicho cosas como "si, creo que el antivirus no me andaba desde hace un tiempo, pero no estoy seguro".

Y ni que decir que aquello de no abrir nada que no hemos pedido, es para muchos tan difícil como dejar de fumar, y las consecuencias son obvias.

Por lo pronto, que un virus con menos de un mes de detectado (lo cumple recién el 5 de julio), haya desplazado al imbatible Klez, no es poca cosa.

Menos explicable en todo caso, es que un virus como el Sobig.E (que como casi todos los anteriores de esa familia, menos el A, tiene fecha de caducidad), haya cosechado tantos reportes.

Si abrir un adjunto e infectarnos es un descuido que no tiene justificación, abrir un archivo comprimido y luego ejecutar su contenido es directamente estúpido (sin ánimos de ofender). Y sin embargo, las estadísticas nos dan conclusiones claras al respecto. El Sobig.E estará activo hasta el 14 de julio, según está indicado en su código.

Otro tema que no queremos dejar pasar, por su reiteración, es la falta de celeridad en la respuesta de algunos fabricantes, sobre todo con virus de origen hispano.

El primer caso reciente fue el Mapson, el gusano que entre sus numerosos mensajes tiene uno que simula ser enviado por VSAntivirus. De origen mexicano, tuvo una propagación importante antes de ser detectado por los antivirus más conocidos.

Solo fabricantes de origen sudamericano como Per y HackSoft (ambos de Perú), lo detectaron con sus productos casi de inmediato. Lo siguieron el Norton y de 24 a 48 horas después, los demás.

Pero lo preocupante, es que hace apenas unos días, el hecho volvió a repetirse de forma casi calcada, con otro gusano de origen latino. Nos referimos al hoy llamado Colevo, de origen aparentemente boliviano.

Otra vez solo The Hacker y Per Antivirus lo identificaron prácticamente enseguida. Luego el Norton, y varias horas más tarde los demás. Algunos casi 72 horas después.

Un caso particular fue el Nod32. La versión 2.0 (recién salida, pero aún no disponible en español), lo identificaba desde el primer momento (sin un nombre específico), gracias a su potente heurística (que sin dudas dará que hablar). Sin embargo, los usuarios que utilizan la versión 1.4 del producto, tuvieron la actualización que lo reconoce, recién 48 horas después. Esto mismo se repitió con otros conocidos fabricantes como Kaspersky, Panda, McAfee, TrendMicro, Sophos, etc., en mayor o menor grado.

Consideramos inadmisible una demora de tantas horas para una actualización, cuando una amenaza latente está dando vueltas por la red. Casos similares, pero con virus en idioma inglés, han tenido una respuesta más inmediata, por lo que queda preguntarnos, si los grandes fabricantes de antivirus realmente consideran al mercado hispano.

Ya hemos hecho notar este comportamiento a algunos de estos fabricantes. Solo esperemos que cuando surja la próxima amenaza en nuestro idioma, nos demuestren que realmente han tomado en serio nuestras quejas, que son las de nuestros lectores.

Hasta el próximo mes...

El ranking de junio de 2003

Estos son los datos obtenidos por VSAntivirus en el período comprendido entre el 1 y el 30 de junio de 2003.

    Total de mensajes monitoreados:  5.007
    Total de virus reportados:       3.471

       W32/Bugbear.B ............. 1752
       W32/Klez.H ................ 985
       W32/Sobig.C ............... 114
       W32/Sobig.E ............... 89
       W32/Mapson.A .............. 86
       W32/Yaha.E ................ 86
       W32/Fizzer.A .............. 71
       W32/Bugbear.B.dam ......... 68
       W32/Lovgate.H ............. 62
       W32/Mapson.B .............. 27
       W32/Funlove.4099 .......... 19
       W32/Colevo.A .............. 18
       W32/Hybris.B .............. 17
       JS/Fortnight.C ............ 15
       W32/Magistr.B ............. 14
       W32/SirCam.A .............. 9
       W32/Yaha.N ................ 9
       W32/Lovgate.J ............. 8
       W32/Lovgate.C ............. 5
       W95/Spaces.1445 ........... 5
       W32/Moe.A ................. 3
       W32/Sobig.D ............... 3
       W32/Avril.C ............... 2
       W32/Gibe.B ................ 2
       W32/Klez.C ................ 2

Cómo obtenemos estas estadísticas

Los datos de incidencia de virus reportados por Video Soft, son capturados en una red de monitoreo que incluye desde casos reportados directamente en nuestro servicio técnico, hasta mensajes con muestras enviadas para su evaluación a nuestra dirección especialmente creada para ello (virus@videosoft.net.uy), además de los mensajes infectados llegados a nuestros buzones de correo electrónico.

Se incluyen además de nuestras direcciones conocidas, un sistema de monitoreo permanente implementado por Video Soft desde setiembre de 2001, consistente a la fecha en más de 100 casillas de correo testigo, con varios dominios, que reciben mensajes de varias listas de correo, páginas de ofertas, y simple correo basura. Estas cuentas son filtradas y solo se tiene en cuenta la existencia o no de código vírico o potencialmente peligroso.

Puede obtener más información de los virus aquí reportados en nuestro sitio, utilizando el buscador incorporado.