[HACK] Virus en IM

merce merce at grn.es
Thu May 12 12:53:59 CEST 2005 

12:44 27/04/2005



DETECTAN UN AUMENTO DE VIRUS "SIN PRECEDENTES" EN LA
MENSAJERÍA INSTANTÁNEA

En los primeros meses de 2005 se han triplicado los gusanos
específicos para estas aplicaciones


Mercè Molist
Primero fue el correo electrónico y ahora le toca a la
mensajería instantánea. La creciente popularidad de esta
forma de comunicación ha hecho que los creadores de virus,
emisores de "spam" y fraudes trasladen allí su radio de
acción. El principal problema son los gusanos y troyanos,
que representan el 82% de incidentes y se han triplicado
sólo en los primeros tres meses de 2005.

Los usuarios de programas como MSN Messenger, Yahoo!
Messenger, ICQ o AOL Instant Messenger (AIM) son el nuevo
objetivo de los creadores de código malicioso. Según un
estudio del IMlogic Threat Center, los incidentes de
seguridad con estos programas han subido un 271% en un año y
la mitad se han dado en redes corporativas. El 82% son
infecciones por gusanos, especialmente Bropia, Kelvir y
Serflog, de los que surgen nuevas versiones cada semana.

Otro estudio, publicado por Akonix Systems, asegura que el
número de gusanos para mensajería instantánea se ha
triplicado en lo que va de año, respecto al mismo período de
2004. Según un representante de Akonix, Francis Costello,
"las redes de mensajería instantánea están sufriendo un alud
de ataques sin precedentes que irán a más".

La mayoría llegan en mensajes que aparentan proceder de
alguien conocido y animan a la víctima a pinchar un enlace,
que le lleva a una web donde se le instala automáticamente
el gusano. Después, éste se autoenvía a su lista de
contactos.

A mediados de abril, el Grupo Reuters tuvo que cerrar dos
días su sistema de mensajería instantánea por la irrupción
del gusano Kelvir. Reuters tiene una aplicación de
mensajería que da servicios a la industria financiera,
interoperable con MSN Messenger y AIM. Kelvir se coló a
través de uno de sus clientes.

La amenaza ha llegado a tal punto que, en la nueva versión
de su Messenger, Microsoft ha añadido funciones para
prevenir los virus, bloqueando los archivos más peligrosos,
como .pif, y filtrando los .exe, .com, .scr, .vbs y .reg. La
compañía Sybari presentaba, en la pasada convención
Infosecurity, un "white paper" dirigido a evitar los gusanos
en mensajería instantánea de redes corporativas. El 77% de
empresas consultadas por Sybari están preocupadas por este
tema.

Los programadores de virus se sienten tan bien en el nuevo
elemento que incluso han montado una pequeña guerra,
parecida a la que se vivió hace unos meses entre gusanos por
correo electrónico: en el código de Serflog se esconde un
mensaje para "Larissa", nombre del creador de otro gusano,
Assiral, que cuando infecta un ordenador desinstala al
gusano Bropia. Serflog ha sido creado para evitarlo.

Según el experto en virus de Hispasec, Bernardo Quintero,
este auge se debe a "la publicación en Internet del código
fuente de algunos gusanos y al hecho de que estuvieran
programados en su mayoría en Visual Basic, un lenguaje
bastante sencillo, por lo que otras personas han creado sus
propias versiones".

Una razón más, según Quintero, es que "al ser una vía nueva,
puede coger con la guardia baja a más personas. Hoy día
cualquiera desconfía de un archivo no solicitado que le
llega por correo, pero los usuarios no son tan recelosos a
los contenidos que llegan a través de Messenger".

Técnicamente, son gusanos bastante primitivos, dice
Quintero: "Nos encontramos en una fase preliminar. La élite
de los creadores de virus aún no se ha interesado por este
campo. En lo que llevamos de año hemos tenido unas 50 nuevas
variantes de gusanos para mensajería, una cifra muy por
debajo de la producción de gusanos para email".

El peligro, dice, está a corto y medio plazo, "cuando se
propaguen no con enlaces sinó de forma directa, aprovechando
las funcionalidades que brindan los clientes de mensajería
para la transferencia de archivos, un terreno no explotado a
día de hoy".

El incremento de virus en la mensajería instantánea era
constante en los últimos años, pero hasta ahora no se había
disparado. El primer gusano específico para MSN Messenger
surgió en mayo de 2001 e instaba a sus víctimas a abrir un
archivo llamado HELLO.EXE.

Después ha habido otros, como Bizex, que ofrecía un enlace a
una página web donde escaneaban los ordenadores de los
incautos, a la búsqueda de datos bancarios. También fue
famoso el gusano del juego "Encuentra a Osama", que invitaba
a los usuarios de AIM a descargarlo y, de paso, infectaba al
jugador.



CÓMO PROTEGERSE

1. Usar antivirus, cortafuegos y programas anti-espía. La
mayoría ofrecen protección para mensajería instantánea.
ZoneLabs tiene un producto específico llamado IMSecure.

2. Desconfiar de los archivos que no se hayan pedido,
especialmente con la extensiones .exe o .scr, y los que
afirman ser juegos. Verificar que la persona que los envía
los ha enviado realmente.

3. No pinchar nunca en un enlace no solicitado o que esté en
el perfil de otro usuario.

4. Tener actualizado el programa de mensajería y el sistema
operativo.




IM threats rising sharply, reports confirm
http://news.com.com/IM+threats+rise+sharply%2C+report+confirms/2100-7349_3-5655267.html?tag=nefd.top

Does IM stand for insecure messaging?
http://news.com.com/Does+IM+stand+for+insecure+messaging/2100-7349_3-5629037.html?tag=nl

Reuters shuts down system to fight Kelvir IM worm
http://www.computerworld.com.au/index.php/id%3B1428960766%3Bfp%3B16%3Bfpid%3B0

Libro blanco de seguridad en IM
http://www.sybari.com/_Rainbow/Documents/WP_Instant_ Messaging.pdf

Man loses job thanks to IM virus
http://software.silicon.com/malware/0,3800003100,39121779,00.htm



Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this
entire article is permitted in any digital medium, provided
this notice is preserved.

More information about the hacking mailing list