• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Comentarios sobre el gusano Pawur (Tasin/Inzae/Anzae)

Comentarios sobre el gusano Pawur (Tasin/Inzae/Anzae)

24 noviembre, 2004 Por Hispasec Deja un comentario

En Hispasec seguimos recibiendo mensajes de usuarios que han sido
afectados por el gusano Pawur, alias Tasin, Inzae o Anzae, del que
ya informamos en una entrega anterior. Básicamente los comentarios
se dividen en dos grandes bloques, por un lado aquellos que se
lamentan de las perdidas sufridas por la acción del gusano, mientras
otros se quejan de las respuestas de determinadas casas antivirus.

El foco de infecciones sigue localizado en Hispanoamérica, con
especial incidencia en Chile. Desde allí recibimos gran cantidad
de mensajes de usuarios afectados que han perdido fotografías,
archivos de música MP3 y documentos de Office.

Efectivamente, el gusano contiene una rutina que borra los archivos
que contengan alguna de las siguientes extensiones: .asm, .asp,
.bdsproj, .bmp, .c, .cpp, .cs, .csproj, .css, .doc, .dpr, .frm,
.gif, .h, .htm, .html, .iso, .jpeg, .jpg, .mdb, .mp3, .nfm, .nrg,
.pas, .pcx, .pdf, .php, .ppt, .rar, .rc, .rc2, .reg, .resx, .rpt,
.sln, .txt, .vb, .vbp, .vbproj, .wav y .xls

En los últimos tiempos, afortunadamente, los gusanos de propagación
masiva no suelen incluir efectos dañinos directos, como es el
borrado de archivos o formateos de unidades, que si eran más
frecuentes en las primeras generaciones de virus.

Tal vez por este motivo la concienciación sobre los daños que
puede causar una infección se ha ido relajando, hasta el punto
que muchos usuarios pueden percibir la amenaza de los virus y
demás malware como un simple estorbo que puede retrasar o bloquear
su trabajo de forma puntual, o crear cierto caos durante unas
horas en la red de la empresa.

Sin embargo el gusano Pawur es un vivo ejemplo del riesgo real que
entraña no contar con una protección antivirus adecuada y, sobre
todo, una formación básica en seguridad.

No olvidemos que los antivirus, por definición, sólo pueden
proporcionar una seguridad relativa, de momento es imposible una
protección 100% segura contra los virus (pese a lo que digan en
sus anuncios), y esta debilidad se muestra especialmente en los
casos de nuevos especímenes.

Por tanto, desde Hispasec recordamos que es fundamental que los
usuarios sean conscientes de que ellos mismos son la mejor
protección contra los virus, y que deben seguir unas reglas
básicas de seguridad (no abrir archivos adjuntos no solicitados,
etc.).

Evidentemente esto es extrapolable a los entornos corporativos,
donde las empresas deberían poner tanto o más interés en formar
a sus empleados, como en dotar a sus sistemas de la protección
antivirus adecuada. Hay dos opciones, o ver y tener a los usuarios
como parte del problema, o formarlos y convertirlos en parte de la
solución.

También son muchos los que han mostrado su enfado por el retraso
en las notificaciones y actualizaciones antivirus. En esta ocasión
parece que la localización de la propagación, que se presentaba
con textos en español y que sólo ha afectado de forma significativa
en algunos países hispanoamericanos, ha condicionado que algunas
casas antivirus no hayan prestado la atención que se merecía a
juzgar por las incidencias que se están dando.

Deben ser los usuarios afectados, y registrados legalmente, los
que muestren su descontento y/o pidan explicaciones a sus respectivos
proveedores.

A continuación actualizamos los tiempos de reacción de cada solución
antivirus en proporcionar la protección a sus usuarios contra el
gusano.

En primer lugar destacaría NOD32 por detectarlo mediante heurística
antes de que se produjera su propagación:

NOD32 :: probably unknown NewHeur_PE

A continuación los tiempos en proporcionar la actualización específica
para el gusano (hora española):

Panda 19.11.2004 18:51:04 :: W32/Tasin.A.worm
Kaspersky 21.11.2004 04:18:37 :: I-Worm.VB.w
TrendMicro 22.11.2004 23:20:59 :: WORM_ANZAE.A
eTrust-Iris 23.11.2004 00:54:50 :: Win32/Inzae.A.Dropper
DrWeb 23.11.2004 07:02:49 :: Win32.HLLM.Pawur
Sophos 23.11.2004 11:06:02 W32/Anzae-A
BitDefender 23.11.2004 11:42:11 :: Win32.Worm.Pawur.A
NOD32 23.11.2004 11:48:06 :: Win32/Pawur.A
F-Prot 23.11.2004 15:40:32 :: W32/Pawur.A@mm
ClamAV 23.11.2004 18:31:11 :: Worm.Pawur.A
Symantec 23.11.2004 22:12:58 :: W32.Inzae.A@mm
Norman 24.11.2004 15:09:15 :: Anzae.A@mm
McAfee 24.11.2004 18:14:27 :: W32/Anzae.worm.a

Posteriormente a su primera firma, Kaspersky actualizó en dos
ocasiones para modificar el nombre con que detectaba al gusano:

Kaspersky 22.11.2004 04:05:02 :: I-Worm.Pawur.a
Kaspersky 24.11.2004 11:05:35 :: Email-Worm.Win32.Pawur.a

¿Y Sybari?

Aquellos que hayan utilizado el servicio de análisis de archivos
sospechosos VirusTotal (http://www.virustotal.com) habrán observado
que figura en los reportes una solución antivirus que no suele
aparecer en los listados de tiempos de reacción. Antigen de Sybari
es una solución de seguridad perimetral para servidores de correo,
que permite utilizar varios motores antivirus de forma simultánea,
si bien no puede ser utilizada por ejemplo en una estación de
trabajo como un antivirus residente o para realizar análisis a
demanda de unidades.

Las peculiaridades del producto, diferente al resto de motores
individuales integrados en VirusTotal, impiden de momento poder hacer
análisis retrospectivos para conocer en que momento exacto detectó
por primera vez una muestra determinada. Esta es la única razón por
la que no aparece en los listados de tiempo de reacción.

En el caso del gusano que nos ocupa Sybari lo puede detectar con
diferentes nombres, dependiendo de los motores integrados en la
solución.

Panda TruPrevent

Otro producto, cuyos resultados aun no puede ser reflejados en los
tiempos de reacción, es Panda TruPrevent, que se basa en análisis
del comportamiento en vez de análisis de código.

En este caso la dificultad se encuentra en automatizar el proceso
para obtener los resultados de reacción ante una muestra determinada,
ya que requiere la ejecución real del espécimen en un sistema para
poder determinar la respuesta de la solución.

En breve dedicaremos una entrega de una-al-día para explicar todas
estas peculiaridades e informar de las últimas novedades, funciones
y noticias relacionadas con VirusTotal.

Bernardo Quintero
bernardo@hispasec.com

Más información:

una-al-dia (22/11/2004) Gusano Anzae, Inzae, Pawur o Tasin
http://www.hispasec.com/unaaldia/2221

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Tamagotchi para hackers: Flipper Zero
  • USB Killer, el enchufable que puede freir tu equipo
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR