• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Parches "Y2K" fraudulentos

Parches "Y2K" fraudulentos

24 septiembre, 1999 Por Hispasec Deja un comentario

Al igual que en la Edad Media miles de malhechores aprovechaban
el temor de la gente a la llegada del milenio, como aquéllos que
asaltaban por el Camino de Santiago a los peregrinos que acudían
a la capital gallega para expiar sus faltas y así tener su alma
limpia el día del juicio final, a las puertas de la llegada de
un nuevo milenio estamos presenciando un proceso similar, de la
mano de los escritores de virus.
Si bien es cierto que el nuevo milenio no empieza hasta el día
1 de enero del 2001, ya que no existió el año 0, parece que ya
resulta imposible convencer al gran porcentaje de la población
mundial que recibe el nuevo año con gran euforia pensando que
se trata de la llegada de un nuevo siglo… y milenio, de forma
análoga al proceso que se vivió en Europa ante la llegada del
año 1000. Y de la misma manera, salvando las diferencias, vemos
cómo son ahora los escritores de virus los encargados de cometer
ciertas fechorías, aprovechándose de la confusión de la gente.

Mientras que en la Edad Media se trató de la creencia de que se
acercaba el fin del mundo, actualmente el problema del milenio
se centra en la actualización de aquellos sistemas que no son
compatibles con una numeración anual de cuatro dígitos, cuestión
que lleva dando mucho que hablar, con especial intensidad, como
es lógico, en los últimos meses. Sea lo que sea, la confusión
vuelve a reinar, mil años después.

Hay quienes se han dado prisa y, aprovechando el auge de la
difusión de los llamados parches «Y2K», han camuflado código
maligno de distinta índole con el fin de expandir su creación
a lo largo de Internet. Los casos más recientes, y casi por
consiguiente los más sonados, son «Fix2001» y «Count2K», un
i-worm y un caballo de Troya respectivamente, que han saltado
en pocos días a las secciones de alerta de la mayoría de las
compañías antivirus de mayor relevancia a nivel internacional.

El primero es un i-worm de características muy similares al ya
famoso «Happy99»: llega a nuestros buzones en forma de «attach»,
acompañando a un mensaje en inglés y en español, presuntamente
proviniente de Microsoft, y una vez ejecutado crea un «dropper»
en el directorio de Windows para ejecutarse en cada arranque de
la máquina, tras haber modificado el registro del sistema y
mostrar al usuario un mensaje falso, haciéndole creer que su
sistema no necesita ser actualizado para la llegada del 2000. A
partir de este punto, el i-worm engancha las funciones «connect»
y «send» del módulo WSOCK32.dll, por medio de las cuales, una
vez que el usuario se ha conectado a Internet, intercepta los
datos recibidos y se envía por e-mail a las cuentas de correo
procesadas durante la conexión. La desinfección de este i-worm,
de procedencia aparentemente argentina, ha de ser muy cautelosa,
ya que «Fix2001» chequea su integridad y, en caso de detectar
alguna anomalía, procede a sobreescribir COMMAND.COM con un
troyano que, en el siguiente arranque, borrará todos los datos
de la unidad activa.

El troyano «Count2K» no es menos peligroso, si bien no borra
información del disco duro. El efecto es el contrario, ya que
el propósito de este troyano es, como el de otros, robar los
datos de conexión a Internet del usuario afectado. Este agente
infeccioso se expande por medio de un e-mail, nuevamente en
teoría enviado por Microsoft, en forma de fichero adjunto, de
un tamaño sensiblemente superior al de «Fix2001» (120k frente
a 12k). Una vez ejecutado, el troyano muestra un mensaje de
error de CRC mientras se autoexpande en un EXE y cinco DATs,
que rápidamente cambian de nombre, extensión y ubicación, para
trasladarse directos a la carpeta de Windows y sustituír al
conocido módulo WSOCK32.dll. El troyano se instala añadiendo
uno de sus ficheros al WIN.INI como «driver» del sistema, de
manera que en el siguiente arranque estará activo y listo para
monitorizar cualquier conexión a Internet y enviar los datos
de acceso a Internet (RAS) del usuario a su autor.

En HispaSec estamos seguros de que estos dos especímenes son
probablemente los primeros, pero no serán los últimos… aún
quedan más de tres meses para la llegada del 2000, y lo único
que cabe pensar es que lo peor está por venir. Desde nuestro
laboratorio, la recomendación más básica que podemos difundir
entre nuestros lectores es tan simple como no ejecutar por
norma ninguna aplicación adjunta a e-mails, a no ser que se
haya solicitado explícitamente de algún conocido, y siempre
manteniendo especial atención a todo lo que presuntamente nos
llegue por parte de Microsoft.

Más información:
AVPVE
Network Associates (Count2K)
Network Associates (Fix2001)

Giorgio Talvanti

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Técnica permite modificar ficheros PDF con firma digital
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR