[HACK] Un HOAX singular

Bernardo Quintero bernardo at hispasec.com
Mon Jun 4 09:06:00 CEST 2001 

>Sin duda alguna el motivo del exito se debe a la aplicacion
>de un esquema sencillo e innovador. El cebo goza de toda
>garantia. El efecto de encontrar un archivo en tu disco en
>el que probablemente nunca nadie habia reparado, es
>demoledor. Un truco propio del mejor ilusionista. Los demas
>pasos del HOAX caen como castillo de naipes: se borra el
>archivo y se distribuye el mensaje.
>
>Me revientan esos pequeños bandidos que roban ancho de
>banda, inundan de ruido la red y abusan de la buena fe
>de los internautas, no obstante, tengo que reconocer
>que la trampa tejida por el autor de este HOAX muestra
>un profundo conocimiento de la naturaleza humana y sus
>resortes.

De acuerdo con todo, Roberto, menos con el final. Creo
que el éxito del HOAX sulfnbk.exe no ha sido fruto de
la creación intencionada (que esta por ver), sino que
se debe a tener una base en el gusano Magistr. De
hecho, a mi me ha llegado de forma directa en al menos
dos ocasiones mensajes con el fichero sulfnbk.exe
adjunto infectado con Magistr. Como sabemos Magistr
infecta ficheros Win32 con formato PE de la máquina
y utiliza alguno de ellos para adjuntarlo y llevar a
cabo su propagación como gusano. Al empezar la
infección en la carpeta de Windows sulfnbk.exe tiene
ciertas probabilidades de ser elejido.

Magistr
http://www.hispasec.com/unaaldia.asp?id=878

Si un usuario recibe el fichero sulfnbk.exe, que no le
sonará de nada como parte original del sistema, y
su antivirus le alerta que dicho fichero está infectado,
es muy probable que asocie el nombre del fichero a un
virus (como ocurre con muchos gusanos que se distribuyen
con nombres fijos). Esto sin duda a supuesto una gran
ventaja para este HOAX, ya que muchos usuarios después
de esta experiencia jurarán por activa y por pasiva de
que sulfnbk.exe es un virus real.

A efectos prácticos, además de explicar a la gente que
Magistr puede llegar oculto en cualquier ejecutable, que
sulfnbk.exe forma parte del sistema, y que aun
habiéndolo recibido con ese nombre e infectarnos de nada
sirve borrarlo (puesto que ya habrá infectado al resto
de PE del sistema), se podría aplicar una sencilla regla
para contentar a todos:

1) Borrar el fichero sulfnbk.exe si nos llega por email.
2) No borrar el fichero sulfnbk.exe de nuestro sistema.

Creo que hacer esta distinción es necesario para los
usuarios, ya que alguno es capaz de ejecutar el Magistr
que le venga adjunto en el fichero sulfnbk.exe, creyéndose
seguro de que no puede pasar nada porque ha leido que
se trata de un HOAX.

Saludos,

Bernardo Quintero
bernardo at hispasec.com

More information about the hacking mailing list