Comentarios sobre el gusano Pawur (Tasin/Inzae/Anzae)

Comentarios

Básicamente los comentarios se dividen en dos grandes bloques, por un lado aquellos que se lamentan de las perdidas sufridas por la acción del gusano, mientras otros se quejan de las respuestas de determinadas casas antivirus.

El foco de infecciones sigue localizado en Hispanoamérica, con especial incidencia en Chile. Desde allí recibimos gran cantidad de mensajes de usuarios afectados que han perdido fotografías, archivos de música MP3 y documentos de Office.

Efectivamente, el gusano contiene una rutina que borra los archivos que contengan alguna de las siguientes extensiones: .asm, .asp, .bdsproj, .bmp, .c, .cpp, .cs, .csproj, .css, .doc, .dpr, .frm, .gif, .h, .htm, .html, .iso, .jpeg, .jpg, .mdb, .mp3, .nfm, .nrg, .pas, .pcx, .pdf, .php, .ppt, .rar, .rc, .rc2, .reg, .resx, .rpt, .sln, .txt, .vb, .vbp, .vbproj, .wav y .xls

En los últimos tiempos, afortunadamente, los gusanos de propagación masiva no suelen incluir efectos dañinos directos, como es el borrado de archivos o formateos de unidades, que si eran más frecuentes en las primeras generaciones de virus.

Tal vez por este motivo la concienciación sobre los daños que puede causar una infección se ha ido relajando, hasta el punto que muchos usuarios pueden percibir la amenaza de los virus y demás malware como un simple estorbo que puede retrasar o bloquear su trabajo de forma puntual, o crear cierto caos durante unas horas en la red de la empresa.

Sin embargo el gusano Pawur es un vivo ejemplo del riesgo real que entraña no contar con una protección antivirus adecuada y, sobre todo, una formación básica en seguridad.

No olvidemos que los antivirus, por definición, sólo pueden proporcionar una seguridad relativa, de momento es imposible una protección 100% segura contra los virus (pese a lo que digan en sus anuncios), y esta debilidad se muestra especialmente en los casos de nuevos especímenes.

Por tanto, desde Hispasec recordamos que es fundamental que los usuarios sean conscientes de que ellos mismos son la mejor protección contra los virus, y que deben seguir unas reglas básicas de seguridad (no abrir archivos adjuntos no solicitados, etc.).

Evidentemente esto es extrapolable a los entornos corporativos, donde las empresas deberían poner tanto o más interés en formar a sus empleados, como en dotar a sus sistemas de la protección antivirus adecuada. Hay dos opciones, o ver y tener a los usuarios como parte del problema, o formarlos y convertirlos en parte de la solución.

También son muchos los que han mostrado su enfado por el retraso en las notificaciones y actualizaciones antivirus. En esta ocasión parece que la localización de la propagación, que se presentaba con textos en español y que sólo ha afectado de forma significativa en algunos países hispanoamericanos, ha condicionado que algunas casas antivirus no hayan prestado la atención que se merecía a juzgar por las incidencias que se están dando.

Deben ser los usuarios afectados, y registrados legalmente, los que muestren su descontento y/o pidan explicaciones a sus respectivos proveedores.

A continuación actualizamos los tiempos de reacción de cada solución antivirus en proporcionar la protección a sus usuarios contra el gusano.

En primer lugar destacaría NOD32 por detectarlo mediante heurística antes de que se produjera su propagación:

NOD32 :: probably unknown NewHeur_PE

A continuación los tiempos en proporcionar la actualización específica para el gusano (hora española):

Panda 19.11.2004 18:51:04 :: W32/Tasin.A.worm

Kaspersky 21.11.2004 04:18:37 :: I-Worm.VB.w

TrendMicro 22.11.2004 23:20:59 :: WORM_ANZAE.A

eTrust-Iris 23.11.2004 00:54:50 :: Win32/Inzae.A.Dropper

DrWeb 23.11.2004 07:02:49 :: Win32.HLLM.Pawur

Sophos 23.11.2004 11:06:02 W32/Anzae-A

BitDefender 23.11.2004 11:42:11 :: Win32.Worm.Pawur.A

NOD32 23.11.2004 11:48:06 :: Win32/Pawur.A

F-Prot 23.11.2004 15:40:32 :: W32/Pawur.A@mm

ClamAV 23.11.2004 18:31:11 :: Worm.Pawur.A

Symantec 23.11.2004 22:12:58 :: W32.Inzae.A@mm

Norman 24.11.2004 15:09:15 :: Anzae.A@mm

McAfee 24.11.2004 18:14:27 :: W32/Anzae.worm.a

Posteriormente a su primera firma, Kaspersky actualizó en dos ocasiones para modificar el nombre con que detectaba al gusano:

Kaspersky 22.11.2004 04:05:02 :: I-Worm.Pawur.a

Kaspersky 24.11.2004 11:05:35 :: Email-Worm.Win32.Pawur.a

¿Y Sybari?

Aquellos que hayan utilizado el servicio de análisis de archivos sospechosos VirusTotal (http://www.virustotal.com) habrán observado que figura en los reportes una solución antivirus que no suele aparecer en los listados de tiempos de reacción. Antigen de Sybari es una solución de seguridad perimetral para servidores de correo, que permite utilizar varios motores antivirus de forma simultánea, si bien no puede ser utilizada por ejemplo en una estación de trabajo como un antivirus residente o para realizar análisis a demanda de unidades.

Las peculiaridades del producto, diferente al resto de motores individuales integrados en VirusTotal, impiden de momento poder hacer análisis retrospectivos para conocer en que momento exacto detectó por primera vez una muestra determinada. Esta es la única razón por la que no aparece en los listados de tiempo de reacción.

En el caso del gusano que nos ocupa Sybari lo puede detectar con diferentes nombres, dependiendo de los motores integrados en la solución.

Panda TruPrevent

Otro producto, cuyos resultados aun no puede ser reflejados en los tiempos de reacción, es Panda TruPrevent, que se basa en análisis del comportamiento en vez de análisis de código.

En este caso la dificultad se encuentra en automatizar el proceso para obtener los resultados de reacción ante una muestra determinada, ya que requiere la ejecución real del espécimen en un sistema para poder determinar la respuesta de la solución.

En breve dedicaremos una entrega de una-al-día para explicar todas estas peculiaridades e informar de las últimas novedades, funciones y noticias relacionadas con VirusTotal.