Cómo ya avisábamos el martes en una-al-dia y en nuestro servicio de
alerta por SMS a través de MyAlert, la nueva versión del virus/gusano
Magistr se propaga con especial incidencia. El problema se agrava
si se tiene en cuenta que aun son muchos antivirus, incluso algunos
de los más utilizados, los que aun son incapaces de detectar y
desinfectar a esta nueva variante.
Como muestra un botón, en el momento de escribir estas líneas, 6 de
septiembre 3:00 madrugada hora española, McAfee aun no detecta a
Magistr.b (lo hará en su próxima actualización DAT 4158, no disponible
aun), tampoco lo hace Trend Micro (lo hará en el Pattern File 935).
Después nos encontramos con un buen número de antivirus que realizan
su trabajo a medias, incluyendo detección pero no desinfección
(Sophos, Norman, Norton, etc). En una próxima entrega comunicaremos
los resultados al enfrentar a todos los antivirus contra un equipo
infectado con este virus.
Si en las primeras horas fueron muchas casas antivirus las que
tacharon a Magistr.b de riesgo bajo por su escasa propagación, tal
vez en un intento de justificar el que no tuvieran aun la vacuna, ya
no se puede negar la evidencia. En estos momentos, incluso las casas
que aun no tienen ninguna solución disponible para sus usuarios, lo
tienen catalogado como alerta media en sus webs.
Lo triste de esta situación es que algunos centros y sitios webs
dedicados a informar sobre los virus se han dejado arrastrar por la
corriente inicial y han obviado alertar sobre el peligro real que
representa este espécimen. A día de hoy, en Hispasec recibimos
de forma intermitente muestras de Magistr.b que el propio virus
envía de forma automática desde los sistemas que logra infectar,
un indicador más de que la propagación continúa.
AVP fue el primer antivirus en detectar a Magistr.b, incluso unas
horas antes de nuestro aviso inicial realizado el martes, si bien
un problema puntual en los servidores de actualización en Rusia (de
la casa matriz) impidió durante las primeras horas que los usuarios
pudieran realizar la descarga de forma correcta. Esto explica que en
ese primer aviso que emitimos, y tras comprobar las muestras de las
que disponíamos (facilitadas por RedIRIS) contra todos los productos
recién actualizados, indicamos que aun no lo reconocía ningún
antivirus. Este problema fue exclusivo de los servidores rusos, y
no afectó a los usuarios que actualizan el producto desde los
sitios mantenidos por los distribuidores de otros países.
Panda Software, que posteriormente a nuestro aviso incluyó la
actualización para sus usuarios, ha publicado una herramienta
gratuita para detectar y eliminar a Magistr.b. Esta herramienta se
ha comportado de forma correcta en unas pruebas que hemos realizado
contra muestras reales, y puede ser descargada desde la dirección:
http://updates.pandasoftware.com/magistr.b/pqremove.com
bernardo@hispasec.com
Más información:
Servicio de Alertas vía SMS Hispasec-Myalert (gratis)
http://www.hispasec.com/alertasms.htm
RedIRIS
http://www.rediris.es/mail/resaca
Última hora: Nueva y peligrosa versión de Magistr
http://www.hispasec.com/unaaldia.asp?id=1042
Alerta: Magistr, un virus/gusano sofisticado y muy destructivo
http://www.hispasec.com/unaaldia.asp?id=872
Análisis del polifacético y peligroso Magistr
http://www.hispasec.com/unaaldia.asp?id=878
Magistr sigue activo
http://www.hispasec.com/unaaldia.asp?id=921
Virus «Magistr.b» – Una peligrosa herencia
http://www.avp-es.com/virus/magistrb.html
W32/Magistr.b@MM
http://vil.mcafee.com/dispVirus.asp?virus_k=99199&
W32/Magistr.B
http://www.norman.no/virus_info/w32_magistr_b.shtml
W32.Magistr.39921@mm
http://www.symantec.com/avcenter/venc/data/w32.magistr.39921@mm.html
W32/Magistr.B@mm
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Magistr.B@mm
W32/Magistr-B
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Magistr.B@mm
PE_MAGISTR.B
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_MAGISTR.B
