Usted sabe si la
persona con quien chatea no es un virus?
El uso del chat en sus diversas
versiones, como el MSN Messenger o el ICQ, es un beneficio a la
comunicación interpersonal, con una difusión masiva en la actualidad
Y el chat, como toda actividad
informática, también está expuesto a sufrir ataques mediante los
cuales, aprovechando el descuido o engaño de la víctima, recibe un
mensaje de un supuesto contacto "legítimo" indicando que vea las
fotos o los archivos que le adjunta, por trabajo, por vacaciones,
etc, colocando un hipervínculo en el mensaje.
Lo que sucede normalmente por parte
de la víctima inocente o descuidada, es que cae en el engaño, y
clickea en ese hipervínculo. Esto hace que descargue un troyano que
toma control de su sesión de chat y de todos sus contactos, y
comienza a establecer sesiones con cada uno de ellos, reproduciendo
el ardid, y propagando el troyano entre más víctimas engañadas.
Las víctimas ven que se les abren
múltiples sesiones de chat en su PC, y los contactos de la víctima
ven que las sesiones de chat son distintas en su lenguaje e idioma a
los que acostumbra usar su contacto legítimo (por ejemplo, habla en
castellano neutro o en otro idioma, dependiendo de lo que interprete
en base al nombre del contacto).
Y sí, quedan chateando con un troyano. ¿Increíble,
no?
¿Qué se debe hacer cuando sucede
esto? Primero saber por qué se produce esta contaminación. Y es
justamente porque en la gran mayoría de los casos, se cuenta con
versiones de antivirus que no brindan la protección correspondiente.
No por falla del producto, sino por las características del mismo.
Por la forma en que fue conseguido o instalado.
En todos los casos, se ha comprobado
que el antivirus que tenían instalado tenía las siguientes
características:
- a. Era ilegítimo
(versiones crackeadas o adulteradas para que funcionen
sin haber comprado la licencia), normalmente conseguidas de un
amigo, o bajadas de Internet.
- b. No tenía
actualizaciones completas de su versión (por ejemplo,
casi todos los antivirus ilegítimos, solamente actualizan las
firmas de virus, contra las cuales verifica el encabezado de los
programas maliciosos, pero no se actualizan los motores de
análisis de comportamientos, que justamente bloquean a troyanos
como éste).
- c. La licencia era
legítima, pero el mantenimiento y soporte estaban
vencidos (ergo, no se actualiza en su totalidad).
- d. Era un antivirus por
control de firmas solamente (sin análisis heurístico o
de comportamiento).
Hay que tomar nota de esto, para no
poner en riesgos sus equipos, ni los de sus contactos. Al no
protegerse seriamente cada uno, está poniendo en riesgo también a
sus contactos, que pueden caer en la misma "trampa".
Para enriquecer aún más estos
consejos, el especialista en seguridad Horacio Ortiz observa que
estos virus utilizan un programa llamado browsr64.exe que es el que
se encarga de disparar programas como por ejemplo 71.exe, 16.exe,
31.exe, etc., que son los que mandan los mensajes. Estos programas
se pueden ver desde el Task Manager o administrador de tareas de
Windows.
El programa browsr64.exe está oculto
y protegido en el folder c:\windows\system32 y para poder borrarlo
es necesario desprotegerlo y asegurarse que no se esté ejecutando.
Por último asegurarse de
borrar todos los ejecutables mencionados antes y los archivos
fotos.zip, images.zip y otros que son los que se envían a
los contactos para difundir el virus.
De la misma manera, nunca deje
abiertas sus sesiones de chat cuando no las usa, porque el otro
riesgo es que le pueda tomar control de sus cuentas de Hotmail,
mediante técnicas de hacking.
Las recomendaciones son las
siguientes:
a. Tenga siempre un antivirus
legítimo, bajo contrato de mantenimiento, y que cumpla con
las funciones de control por firmas y por análisis de comportamiento
(heurístico). Ejecutarlo. De esta manera, el antivirus puede
bloquear estos troyanos, al reconocer sus intenciones por su
comportamiento. Si tienen antivirus de primeras marcas, la manera de
darnos cuenta si son ilegítimos, o bien son licencias legítimas pero
sin mantenimiento, es verificar la versión del producto que se
tiene instalada. Seguramente encontrará que la misma es anterior a
la última en vigencia. Verificar también que el Antivirus tenga
también un AntiSpyware.
b. Tenga en su PC productos
de software que funcionen como firewalls personales,
idealmente incluyendo sistema de prevención de intrusos (IPS). Si el
producto de firewall no lo incluye, existen sistemas de prevención
de intrusos que se pueden agregar, y que funcionan bien con casi
todos los firewalls personales. Esto brindará protección ante
intentos de intrusión a la PC, o de conexión de sitios externos no
autorizados. El firewall debe ser bi-direccional para controlar no
solamente lo que intenta conectarse desde fuera de la propia PC,
sino también cualquier malware que habiendo ingresado en el equipo,
pretenda conectarse hacia fuera. El firewall del WinXP controla en
un solo sentido. En Windows Vista se dispone del control en doble
sentido. Marcas que tienen Firewall con IPS son a manera de ejemplo
Kaspersky, Panda, Sunbelt, McAfee y Symantec, entre otros.
c. Si tenemos versiones de sistema
operativo obsoletos, tales como Windows 95, 98, Me y Windows
2000, existen también protección para estas plataformas. No
por ser versiones discontinuadas, deben dejarse sin protección.
d. Cuando se habla de sistema
de prevención de intrusos (IPS) se hace referencia a
soluciones que también mediante el análisis de comportamiento a
nivel aplicación o por aplicación de reglas, realizan sus propios
controles, completando funciones que los firewalls no tienen, por
ejemplo poder identificar ataques a nivel aplicación (lo que en la
jerga informática se indica como ataques a nivel de capa 7 del
modelo OSI). Si se dispone de solamente un firewall personal
(ejemplo Windows XP y Vista, AVG, NOD32, eConceal, entre otros),
existen productos como Safe&Sec Host Intrusion Prevention System,
que les agrega esta función, completando el nivel de protección.
Adicionalmente, se deben aumentar las
barreras de seguridad de Windows y del Internet Explorer para que no
sea todo de libre acceso, sin importar que se bajen cookies,
controles Active-X, etc. Lo ideal es colocarlo a nivel de Seguridad
Media, para que permita operar.
Estas soluciones a veces son
encontradas en forma integrada, donde un mismo producto puede suplir
todas las funciones. Y no son productos de alto precio, donde hay
soluciones debajo de los 100 pesos por año por PC. No vale la pena
arriesgarse y comprometer a los contactos. Ante estos valores, ¿vale
la pena afrontar los riesgos que mencionamos al principio?
Rompamos con el viejo mito de tener
licencias ilegítimas, si podemos tener todo en regla y más seguros.
Lic. Roberto Langdon
Presidente y CEO de 2MINDS Servicios Informáticos,
Soluciones y Servicios de Seguridad Informática. Profesor de
Seguridad Informática de la Universidad del CEMA.
Especial para
Infobaeprofesional.com
(©) Infobaeprofesional.com
Compartir este articulo : | | | | | |
|