Virus dañados e inofensivos
El pasado 30 de diciembre se enviaron miles de e-mails falsos que
simulaban ser un envío del Banco de Inglaterra.
El mensaje solicitaba a los usuarios que ejecutaran el archivo adjunto,
antikeylog2004.exe. Aunque algunos antivirus lo detectan como troyano,
el archivo se encontraba corrupto y nunca pudo ejecutarse ni causar daño
alguno.
El e-mail enviado a modo de spam tenía el siguiente
formato:
Remite: admin@bankofengland.co.uk
Asunto: security
notification
Adjunto: antikeylog2004.exe
Cuerpo:
Dear customer,
The security of your personal and account information is extremely important
to us. By practicing good security habits, you can help us ensure that
your private information is protected. Please install our special
software, that will remove all the keyloggers and backdoors from your
computer.
And will help us to prevent credit card fraud in future.
Thank you.
Best regards,
Bank of England
Este tipo de
mensajes con troyano ha sido enviado de forma masiva en varias ocasiones
simulando proceder de diversas instituciones, como Citibank, E-Loan,
Wells Fargo y U.S.Bank. En estos casos el troyano sí era funcional, y
descargaba un segundo componente que permitía robar las contraseñas o
conectar con el sistema infectado, entre otras funciones.
En el
caso del Banco de Inglaterra el ejecutable se encontraba corrupto y no
podía ejecutarse, por lo que los usuario no sufrieron daño alguno. En
cualquier caso, algunas compañías antivirus han decidido incorporarlos a
sus bases de actualización, según datos de Hispasec, así lo hicieron:
Sophos, el 30/12/2003, a las 14:05, como Troj/Antikl-Dam
Antigen, el 30/12/2003, a las 21:23, como Troj/Antikl-Dam
McAfee, el 31/12/2003, a las 19:14, como Downloader-DI.dam
Norton, el 02/01/2004, a las 21:38, como Download.Berbew.dam
Panda, el 05/01/2004, a las 17:23, como Troj./Downloader.V.dam
A fecha de hoy, antivirus como InoculateIT, Kaspersky, NOD32 o Trendmicro, no
lo han incluido. En este aspecto hay cierta divergencia entre los
desarrolladores antivirus, mientras algunos consideran que deben incluir
este tipo de firmas de archivos dañados, otros optan por no
introducirlas argumentando que no representan un peligro real para los
usuarios y pueden causar falsas alarmas.
En este caso, la
inclusión o no de la firma es inocuo para el usuario, ya que el
ejecutable no representa ningún peligro. En todo caso se trata de un
archivo sin ninguna utilidad que puede ser eliminado manualmente, y si
nuestro antivirus lo detecta lo hará por nosotros de forma automática.
En cualquier caso, y para evitar falsas alarmas, es conveniente que observemos
el uso del sufijo dam (damaged) en la nomenclatura de los virus,
troyanos y malware en general para designar aquellos especímenes que no
son funcionales . De forma que cuando nuestro antivirus detecte un virus
cuyo nombre termina con el sufijo .dam, sepamos que se trata de un
archivo dañado que no puede habernos causado ningún problema en el
sistema, pero que debemos eliminarlo ya que no tiene ninguna utilidad.
Información adicional sobre los nombres de los virus puede ser consultada en
la nota Bautizar un virus en la dirección http://www.hispasec.com/unaaldia/1523