miércoles, 24 de noviembre de 2004

Comentarios sobre el gusano Pawur (Tasin/Inzae/Anzae)

En Hispasec seguimos recibiendo mensajes de usuarios que han sido
afectados por el gusano Pawur, alias Tasin, Inzae o Anzae, del que
ya informamos en una entrega anterior. Básicamente los comentarios
se dividen en dos grandes bloques, por un lado aquellos que se
lamentan de las perdidas sufridas por la acción del gusano, mientras
otros se quejan de las respuestas de determinadas casas antivirus.

El foco de infecciones sigue localizado en Hispanoamérica, con
especial incidencia en Chile. Desde allí recibimos gran cantidad
de mensajes de usuarios afectados que han perdido fotografías,
archivos de música MP3 y documentos de Office.

Efectivamente, el gusano contiene una rutina que borra los archivos
que contengan alguna de las siguientes extensiones: .asm, .asp,
.bdsproj, .bmp, .c, .cpp, .cs, .csproj, .css, .doc, .dpr, .frm,
.gif, .h, .htm, .html, .iso, .jpeg, .jpg, .mdb, .mp3, .nfm, .nrg,
.pas, .pcx, .pdf, .php, .ppt, .rar, .rc, .rc2, .reg, .resx, .rpt,
.sln, .txt, .vb, .vbp, .vbproj, .wav y .xls

En los últimos tiempos, afortunadamente, los gusanos de propagación
masiva no suelen incluir efectos dañinos directos, como es el
borrado de archivos o formateos de unidades, que si eran más
frecuentes en las primeras generaciones de virus.

Tal vez por este motivo la concienciación sobre los daños que
puede causar una infección se ha ido relajando, hasta el punto
que muchos usuarios pueden percibir la amenaza de los virus y
demás malware como un simple estorbo que puede retrasar o bloquear
su trabajo de forma puntual, o crear cierto caos durante unas
horas en la red de la empresa.

Sin embargo el gusano Pawur es un vivo ejemplo del riesgo real que
entraña no contar con una protección antivirus adecuada y, sobre
todo, una formación básica en seguridad.

No olvidemos que los antivirus, por definición, sólo pueden
proporcionar una seguridad relativa, de momento es imposible una
protección 100% segura contra los virus (pese a lo que digan en
sus anuncios), y esta debilidad se muestra especialmente en los
casos de nuevos especímenes.

Por tanto, desde Hispasec recordamos que es fundamental que los
usuarios sean conscientes de que ellos mismos son la mejor
protección contra los virus, y que deben seguir unas reglas
básicas de seguridad (no abrir archivos adjuntos no solicitados,
etc.).

Evidentemente esto es extrapolable a los entornos corporativos,
donde las empresas deberían poner tanto o más interés en formar
a sus empleados, como en dotar a sus sistemas de la protección
antivirus adecuada. Hay dos opciones, o ver y tener a los usuarios
como parte del problema, o formarlos y convertirlos en parte de la
solución.

También son muchos los que han mostrado su enfado por el retraso
en las notificaciones y actualizaciones antivirus. En esta ocasión
parece que la localización de la propagación, que se presentaba
con textos en español y que sólo ha afectado de forma significativa
en algunos países hispanoamericanos, ha condicionado que algunas
casas antivirus no hayan prestado la atención que se merecía a
juzgar por las incidencias que se están dando.

Deben ser los usuarios afectados, y registrados legalmente, los
que muestren su descontento y/o pidan explicaciones a sus respectivos
proveedores.

A continuación actualizamos los tiempos de reacción de cada solución
antivirus en proporcionar la protección a sus usuarios contra el
gusano.

En primer lugar destacaría NOD32 por detectarlo mediante heurística
antes de que se produjera su propagación:

NOD32 :: probably unknown NewHeur_PE

A continuación los tiempos en proporcionar la actualización específica
para el gusano (hora española):

Panda 19.11.2004 18:51:04 :: W32/Tasin.A.worm
Kaspersky 21.11.2004 04:18:37 :: I-Worm.VB.w
TrendMicro 22.11.2004 23:20:59 :: WORM_ANZAE.A
eTrust-Iris 23.11.2004 00:54:50 :: Win32/Inzae.A.Dropper
DrWeb 23.11.2004 07:02:49 :: Win32.HLLM.Pawur
Sophos 23.11.2004 11:06:02 W32/Anzae-A
BitDefender 23.11.2004 11:42:11 :: Win32.Worm.Pawur.A
NOD32 23.11.2004 11:48:06 :: Win32/Pawur.A
F-Prot 23.11.2004 15:40:32 :: W32/Pawur.A@mm
ClamAV 23.11.2004 18:31:11 :: Worm.Pawur.A
Symantec 23.11.2004 22:12:58 :: W32.Inzae.A@mm
Norman 24.11.2004 15:09:15 :: Anzae.A@mm
McAfee 24.11.2004 18:14:27 :: W32/Anzae.worm.a

Posteriormente a su primera firma, Kaspersky actualizó en dos
ocasiones para modificar el nombre con que detectaba al gusano:

Kaspersky 22.11.2004 04:05:02 :: I-Worm.Pawur.a
Kaspersky 24.11.2004 11:05:35 :: Email-Worm.Win32.Pawur.a

¿Y Sybari?

Aquellos que hayan utilizado el servicio de análisis de archivos
sospechosos VirusTotal (http://www.virustotal.com) habrán observado
que figura en los reportes una solución antivirus que no suele
aparecer en los listados de tiempos de reacción. Antigen de Sybari
es una solución de seguridad perimetral para servidores de correo,
que permite utilizar varios motores antivirus de forma simultánea,
si bien no puede ser utilizada por ejemplo en una estación de
trabajo como un antivirus residente o para realizar análisis a
demanda de unidades.

Las peculiaridades del producto, diferente al resto de motores
individuales integrados en VirusTotal, impiden de momento poder hacer
análisis retrospectivos para conocer en que momento exacto detectó
por primera vez una muestra determinada. Esta es la única razón por
la que no aparece en los listados de tiempo de reacción.

En el caso del gusano que nos ocupa Sybari lo puede detectar con
diferentes nombres, dependiendo de los motores integrados en la
solución.

Panda TruPrevent

Otro producto, cuyos resultados aun no puede ser reflejados en los
tiempos de reacción, es Panda TruPrevent, que se basa en análisis
del comportamiento en vez de análisis de código.

En este caso la dificultad se encuentra en automatizar el proceso
para obtener los resultados de reacción ante una muestra determinada,
ya que requiere la ejecución real del espécimen en un sistema para
poder determinar la respuesta de la solución.

En breve dedicaremos una entrega de una-al-día para explicar todas
estas peculiaridades e informar de las últimas novedades, funciones
y noticias relacionadas con VirusTotal.


Bernardo Quintero
bernardo@hispasec.com


Más información:

una-al-dia (22/11/2004) Gusano Anzae, Inzae, Pawur o Tasin
http://www.hispasec.com/unaaldia/2221