En las últimas horas se ha detectado la propagación masiva de una
variante del gusano BugBear. Si bien es pronto para evaluar el impacto
real de este nuevo espécimen, el número de mensajes infectados que se
está detectando hacen presagiar que puede llegar a convertirse en
epidemia. Desde Hispasec emitimos esta nota con carácter de alerta
para recomendar a todos los usuarios que fuercen a demanda la
actualización de sus antivirus y/o extremen las precauciones al
recibir mensajes con adjuntos.
Al tiempo de escribir esta nota aun están las casas antivirus
analizando al detalle el gusano y empiezan a aparecer las primeras
actualizaciones, si bien desde Hispasec podemos adelantar algunos
consejos simples para prevenir esta variante de manera independiente
al antivirus.
BugBear.B puede aparecer con asuntos y nombres de archivos diferentes,
recolectados de los sistemas que infecta (no se distribuye
exclusivamente con asuntos y nombres de archivos fijos sacados de una
lista, como apuntan en los primeros momentos alguna casa antivirus).
Sin embargo, se ha podido observar que el archivo adjunto puede tener
extensión .EXE, .PIF, o .SCR. Basándose en esta característica, basta
con que no intentemos abrir ningún archivo que llegue con esta
extensión, regla que debería ser de común cumplimiento (no sólo en
esta ocasión).
Los usuarios deben estar atentos al uso que hace el gusano de las
dobles extensiones con el afán de confundirnos con la extensión
intermedia simulando ser un formato confiable, de forma que podemos
llegar a recibir archivos tipo:
hoja.XLS.EXE
documento.DOC.SCR
grafico.JPG.PIF
Por su parte los administradores de correo también pueden paliar en
parte la incidencia del gusano con un sencillo filtro por extensiones,
de manera independiente al uso del motor antivirus. Otro de los
criterios para afinar aun más el filtro puede ser el tamaño del
archivo, ya que hasta el momento la versión distribuida tiene un
tamaño fijo de unos 72Kb (72,192 bytes).
En una próxima entrega daremos más detalles sobre las características
de BugBear.B, como la propagación por redes locales, la eliminación
de los antivirus y firewalls personales que encuentra en memoria, o
el algoritmo de polimorfismo que utiliza para aparecer con diferentes
firmas y dificultar la labor de los antivirus.
bernardo@hispasec.com
Deja una respuesta