Los primeros indicios apuntan a que un fallo en la configuración de la
lista de distribución ha permitido al gusano Sober.C enviarse como si se
tratara de un mensaje legítimo del CATA a todos sus suscriptores, a
través de su propio servidor de correo.
El Centro de Alerta
Temprana Antivirus (http://www.alerta-antivirus.es/) es un servicio
ofrecido por red.es, Entidad Pública Empresarial adscrita al Ministerio
de Ciencia y Tecnología a través de la Secretaría de Estado de
Telecomunicaciones y para la Sociedad de la Información. Entre sus
servicios ofrece la posibilidad de suscribirse a unas listas de correo
de informes sobre los últimos virus informáticos.
A
partir de las 12 del mediodía del sábado 31 de enero los suscriptores
del servicio de alertas del Centro de Alerta Temprana Antivirus han
podido recibir en sus buzones un mensaje, enviado desde la dirección
cat@alertaantivirus.es, con el asunto a trojan is on your computer y
el siguiente texto:
hi, I am from Austria and you’ll don’t
believe me,
but a trojan horse in on your pc.
I’ve scanned the
network-ports on the internet. (I know, that’s
illegal)
And I have
found your pc. Your pc is open on the internet for
everybody!
Because the lsass.exe trojan is running on your system.
Check this,
open the task manager and try to stop that!
You’ll see, you can’t
stop this trojan.
When you use win98/me you can’t see the trojan!!
On my system was this trojan, too!
And I’ve found a tool to kill that
bad thing.
I hope that I’ve helped you!
Sorry for my bad english!
greets
El mensaje contenía adjunto un archivo con nombre
remove-Isass-patch.exe que en realidad era una copia del gusano
Sober.C.
Las cabeceras del mensaje indican que el
origen del mensaje puede ser una IP que corresponde a una ADSL de
Telefónica, probablemente un usuario infectado por el gusano. La
hipótesis que se maneja de momento es que un error en la configuración
del sistema de moderación y publicación de las listas del CATA ha podido
causar que el mensaje, una vez recibido por el servidor del CATA, haya
sido distribuido a todos sus suscriptores como un envío legítimo.
El texto del mensaje no tiene la forma de las habituales alertas del CAT, y
además está en inglés, lo que ha podido levantar rápidamente las
sospechas de los usuarios que lo hayan recibido y minimizar el impacto
del mismo. Sin embargo, no descartamos que el hecho de que apareciera
enviado desde el CAT pueda haber confundido a los usuarios menos
precavidos y haber provocado alguna infección aislada.
Desde
Hispasec hemos enviado varios mensajes a direcciones del CATA
advirtiendo del incidente, sin que al final del día hayamos recibido
respuesta alguna. Pasadas más de 12 horas desde el envío del gusano
tampoco se ha detectado que el CATA haya alertado a través de su lista a
los posibles suscriptores afectados.
A la espera de la versión
oficial y conocer con exactitud los detalles del incidente, consideramos
que premia avisar a los usuarios para evitar, en la medida de la
posible, cualquier infección.
Sin las medidas de protección necesarias, un almacén puede convertirse en el eslabón más débil…
Adyen publica los resultados de su estudio "Estrategias para reducir el coste total de pagos",…
Del porcentaje global del 21 % se baja a un 18 % en el caso…
Entrevistamos a John Shier, CTO Field de Sophos, que hace repaso de las principales amenazas…
Desde fibratel comparten una serie de pautas para orientar la construcción de centros de datos…
Dell Technologies compara estos ámbitos y habla de "purificar la materia original", "combinar elementos", una…