Virus dañados e inofensivos

El pasado 30 de diciembre se enviaron miles de e-mails falsos que
simulaban ser un envío del Banco de Inglaterra.

El mensaje solicitaba a los usuarios que ejecutaran el archivo adjunto,

antikeylog2004.exe. Aunque algunos antivirus lo detectan como troyano,

el archivo se encontraba corrupto y nunca pudo ejecutarse ni causar daño

alguno.

El e-mail enviado a modo de spam tenía el siguiente

formato:

Remite: admin@bankofengland.co.uk

Asunto: security

notification

Adjunto: antikeylog2004.exe

Cuerpo:

Dear customer,

The security of your personal and account information is extremely important

to us. By practicing good security habits, you can help us ensure that

your private information is protected. Please install our special

software, that will remove all the keyloggers and backdoors from your

computer.

And will help us to prevent credit card fraud in future.

Thank you.

Best regards,

Bank of England

Este tipo de

mensajes con troyano ha sido enviado de forma masiva en varias ocasiones

simulando proceder de diversas instituciones, como Citibank, E-Loan,

Wells Fargo y U.S.Bank. En estos casos el troyano sí era funcional, y

descargaba un segundo componente que permitía robar las contraseñas o

conectar con el sistema infectado, entre otras funciones.

En el

caso del Banco de Inglaterra el ejecutable se encontraba corrupto y no

podía ejecutarse, por lo que los usuario no sufrieron daño alguno. En

cualquier caso, algunas compañías antivirus han decidido incorporarlos a

sus bases de actualización, según datos de Hispasec, así lo hicieron:

Sophos, el 30/12/2003, a las 14:05, como Troj/Antikl-Dam

Antigen, el 30/12/2003, a las 21:23, como Troj/Antikl-Dam

McAfee, el 31/12/2003, a las 19:14, como Downloader-DI.dam

Norton, el 02/01/2004, a las 21:38, como Download.Berbew.dam

Panda, el 05/01/2004, a las 17:23, como Troj./Downloader.V.dam

A fecha de hoy, antivirus como InoculateIT, Kaspersky, NOD32 o Trendmicro, no

lo han incluido. En este aspecto hay cierta divergencia entre los

desarrolladores antivirus, mientras algunos consideran que deben incluir

este tipo de firmas de archivos dañados, otros optan por no

introducirlas argumentando que no representan un peligro real para los

usuarios y pueden causar falsas alarmas.

En este caso, la

inclusión o no de la firma es inocuo para el usuario, ya que el

ejecutable no representa ningún peligro. En todo caso se trata de un

archivo sin ninguna utilidad que puede ser eliminado manualmente, y si

nuestro antivirus lo detecta lo hará por nosotros de forma automática.

En cualquier caso, y para evitar falsas alarmas, es conveniente que observemos

el uso del sufijo dam (damaged) en la nomenclatura de los virus,

troyanos y malware en general para designar aquellos especímenes que no

son funcionales . De forma que cuando nuestro antivirus detecte un virus

cuyo nombre termina con el sufijo .dam, sepamos que se trata de un

archivo dañado que no puede habernos causado ningún problema en el

sistema, pero que debemos eliminarlo ya que no tiene ninguna utilidad.

Información adicional sobre los nombres de los virus puede ser consultada en

la nota Bautizar un virus en la dirección http://www.hispasec.com/unaaldia/1523