Envío de un virus desde el Centro de Alerta Temprana Antivirus

En la mañana del sábado 31 de enero se ha detectado el envío de un virus
a los suscriptores de las alertas del Centro de Alerta Temprana
Antivirus.

Los primeros indicios apuntan a que un fallo en la configuración de la

lista de distribución ha permitido al gusano Sober.C enviarse como si se

tratara de un mensaje legítimo del CATA a todos sus suscriptores, a

través de su propio servidor de correo.

El Centro de Alerta

Temprana Antivirus (http://www.alerta-antivirus.es/) es un servicio

ofrecido por red.es, Entidad Pública Empresarial adscrita al Ministerio

de Ciencia y Tecnología a través de la Secretaría de Estado de

Telecomunicaciones y para la Sociedad de la Información. Entre sus

servicios ofrece la posibilidad de suscribirse a unas listas de correo

de informes sobre los últimos virus informáticos.

A

partir de las 12 del mediodía del sábado 31 de enero los suscriptores

del servicio de alertas del Centro de Alerta Temprana Antivirus han

podido recibir en sus buzones un mensaje, enviado desde la dirección

cat@alertaantivirus.es, con el asunto a trojan is on your computer y

el siguiente texto:

hi, I am from Austria and you’ll don’t

believe me,

but a trojan horse in on your pc.

I’ve scanned the

network-ports on the internet. (I know, that’s

illegal)

And I have

found your pc. Your pc is open on the internet for

everybody!

Because the lsass.exe trojan is running on your system.

Check this,

open the task manager and try to stop that!

You’ll see, you can’t

stop this trojan.

When you use win98/me you can’t see the trojan!!

On my system was this trojan, too!

And I’ve found a tool to kill that

bad thing.

I hope that I’ve helped you!

Sorry for my bad english!

greets

El mensaje contenía adjunto un archivo con nombre

remove-Isass-patch.exe que en realidad era una copia del gusano

Sober.C.

Las cabeceras del mensaje indican que el

origen del mensaje puede ser una IP que corresponde a una ADSL de

Telefónica, probablemente un usuario infectado por el gusano. La

hipótesis que se maneja de momento es que un error en la configuración

del sistema de moderación y publicación de las listas del CATA ha podido

causar que el mensaje, una vez recibido por el servidor del CATA, haya

sido distribuido a todos sus suscriptores como un envío legítimo.

El texto del mensaje no tiene la forma de las habituales alertas del CAT, y

además está en inglés, lo que ha podido levantar rápidamente las

sospechas de los usuarios que lo hayan recibido y minimizar el impacto

del mismo. Sin embargo, no descartamos que el hecho de que apareciera

enviado desde el CAT pueda haber confundido a los usuarios menos

precavidos y haber provocado alguna infección aislada.

Desde

Hispasec hemos enviado varios mensajes a direcciones del CATA

advirtiendo del incidente, sin que al final del día hayamos recibido

respuesta alguna. Pasadas más de 12 horas desde el envío del gusano

tampoco se ha detectado que el CATA haya alertado a través de su lista a

los posibles suscriptores afectados.

A la espera de la versión

oficial y conocer con exactitud los detalles del incidente, consideramos

que premia avisar a los usuarios para evitar, en la medida de la

posible, cualquier infección.