• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Alerta: Magistr, un virus/gusano sofisticado y muy destructivo

Alerta: Magistr, un virus/gusano sofisticado y muy destructivo

15 marzo, 2001 Por Hispasec Deja un comentario

Escrito íntegramente en ensamblador este espécimen combina la
capacidad de infectar ficheros Windows con formato PE con la de
propagarse a través de mensajes de correo electrónico y redes locales.
Lo peor está aun por llegar, en su interior contiene varios efectos
que se disparan pasado un tiempo de la infección, entre los que
destacan el sobrescribir todos los discos duros y unidades de red a
las que tiene acceso, así como el borrado de la CMOS y la Flash BIOS
en los sistemas Win9x. En España ya se han detectado las primeras
infecciones.
¿Como podemos detectar que llega a nuestro ordenador?

Cuando de i-worms (gusanos de Internet) se trata en muchas ocasiones
podemos avisar bajo que nombre de fichero se esconde o el texto que
aparece en el asunto del mensaje donde se adjunta y autodistribuye
a través del correo electrónico. En esta ocasión el reconocimiento a
primera vista resulta algo más complicado, ya que Magistr utiliza
varias técnicas para cambiar su aspecto más superficial.

En primer lugar tanto el asunto como el cuerpo del mensaje lo
construye de forma aleatoria buscando palabras y frases que busca en
documentos (.DOC) y ficheros de texto (.TXT) del sistema infectado
(incluyendo todos los discos duros y unidades de red). Además posee
una lista interna de posibles asuntos en Español, Francés e Inglés
que puede escoger al azar. El nombre de fichero donde se esconde
también cambia ya que puede ser uno cualquiera de los que se
encuentren en el sistema y haya infectado, por lo que la única pista
que podemos tener es que se trata de un ejecutable (.EXE).

Por si fuera poco el gusano también tiene la habilidad de adjuntar
otros ficheros (.DOC, .TXT o .JS) del sistema junto con el ejecutable
infectado, de esta forma puede confundir aun más al que recibe el
mensaje y, además, implica que puede estar enviando información
sensible del usuario infectado de forma indiscriminada.

La cosa no acaba aquí, Magistr también tiene la capacidad de modificar
la dirección de respuesta del remitente, añadiendo o eliminando
caracteres, por lo que si recibimos el gusano y lo detectamos tal vez
no podamos avisar al remitente de que está infectado. En cuanto a las
direcciones de e-mail a las que se envía, el gusano es capaz de
recolectarlas de las libretas y bandejas de varios clientes de correo.

Además de la vía de propagación masiva que supone el autoenvío a
través del correo electrónico, no debemos olvidar que Magistr puede
llegar a nosotros a través de la red local o infectarnos como si de
un virus tradicional se tratara al ejecutar aplicaciones desde CDs o
discos ya contaminados.

Aun hay más…

En la descripción anterior sólo se encuentran algunas de las
características más superficiales de Magistr. En su interior nos
encontramos con un elaborado código con rutinas polimórficas y
técnicas anti-debugging que intentan dificultar su estudio.

Desde Hispasec procederemos a una segunda entrega sobre Magistr con
una descripción completa y análisis al detalle, si bien consideramos
lanzar esta primera alerta para que los usuarios tomen precauciones
al respecto.

Medidas a tomar

En primer lugar seguir la regla básica que siempre debemos tener
presente: no abrir los ficheros adjuntos en mensajes de correo
electrónico que no hayamos solicitado, en caso de duda confirmar con
el remitente antes de abrirlo. En segundo lugar, recordamos a los
usuarios de antivirus que deben mantenerlos actualizados de forma
permanente, de forma especial aconsejamos que lo hagan cuando lean
estas líneas, ya que la mayoría de las casas antivirus disponen ya
de la actualización para detectar a Magistr.

Bernardo Quintero
bernardo@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • Campañas de phishing utilizan Flipper Zero como cebo
  • USB Killer, el enchufable que puede freir tu equipo
  • Tamagotchi para hackers: Flipper Zero

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR