[ Hall Central ] [ Index Area Pública ]

Area Pública: Virus, Hoax y Spam

Virus
Hoax
Spam

 

Virus Informáticos o de Computadoras

Dr. Karel Morlans Hernandez
Técnico Inf. José P. Barreto
Dr. Edgardo Schapachnik

Definición e Historia
Hasta los años 80, el término "virus" se empleaba solo dentro del campo de las ciencias médicas y biológicas para definir a microrganismos capaces de penetrar en el ser humano y destruir o alterar el contenido genético celular provocando cuadros patológicos específicos.

Por similitudes en su modo de acción y efectos, en informática se bautizó como virus a ciertos programas que pueden autoreproducirse, "transmitirse" de una computadora a otra, y desencadenar daños a la información contenida en ella (software) e incluso al mismo equipo (hardware).

Los virus informáticos son programas creados del mismo modo que otros programas. Son una serie de instrucciones que ordenan a las computadoras que hacer, con ordenes especificas para modificar a otro programa. Su característica principal es que son archivos ocultos o que se escriben sobre otros programas.

Estan diseñados para activarse al realizarse ciertas funciones, o en determinada fecha, o mediante mecanismos mas complejos. Se transmiten al introducir información a la computadora copiando de diskettes, que contengan al virus, o mediante cualquier otro sistema de copiado de archivos (discos duros, compactos, Zips, modems, comunicación por cable, etc.).

En 1949, se publicó en el libro Theory and Organization of Complicated Automata, la primera información acerca de un programa de cómputo programado para replicarse automaticamente. Von Neuman en 1951 propuso un método para crear programas que se autoreproducían. No se ha establecido con exactitud el origen de los virus informáticos, aunque al parecer pudo estar en los sistemas de cómputo del gobierno de Estados Unidos. En otoño de 1959 en los laboratorios AT&T Bell nació "Core Wars" (simulación de guerra nuclear) en el que programadores contendientes desarrollaban un programa cuya "misión" era acaparar la máxima cantidad de memoria posible mediante la reproducción de si mismo dejando fuera al contrario, o sea, ganaba quien tuviera la mayor cantidad de memoria ocupada.

En 1981 apareció en las computadoras Aplee un virus llamado Cloner, cuyo modo de acción era desplegar un poema en la pantalla. En 1983 Fred Cohen expone el concepto de virus como "Un programa que puede infectar a otros programas modificándolos para incluir una versión de si mismo". Ese mismo año se hace publicó el "Core Wars", que se había mantenido entre la élite de estudiantes e investigadores del MIT y del centro de investigaciones de Xerox en Palo Alto.

La publicación de artículos técnicos y la amplia distribución a partir de 1985 de las computadoras personales, con el Sistema Operativo DOS, propiciaron las condiciones para la creación en 1986 del virus "Pakistani - Brain".

Se inició la segunda etapa en la evolución de los virus informáticos, ya con capacidad destructiva.

La aparición de nuevos virus informáticos ha tenido un crecimiento casi exponencial. En 1987 se habían reportado unos 12 virus, 1993 culminó con mas de 3500, en la actualidad ya son varias decenas de miles. Y la cifra aumenta con unos 350 nuevos virus mensuales.

En 1995 se descubrió el primer virus de Macros y se rompió la regla sagrada "un virus no puede existir en un archivo de datos". En otras maquinas como Macintosh, se reportan algo mas de 100 incluyendo los que no son ya operativos por el advenimiento de los Mac-OS de 32 bits. El Unix y sus clones ya tienen sus virus (Linux.Bliss, Linux.Vit.4096).

Los virus informáticos son capaces de afectar las tablas de particiones, sector de arranque, archivos ejecutables y de datos e incluso la BIOS de la PC. También algunos se pueden "ocultar" (Stealth) y otros mutar (polimórficos). Inicialmente, solo podían afectar un tipo de PC y sistema operativo. Ya existen virus multiplataforma y multiprocesador como el "Esperanto", de solo 4,8 Kb de tamaño. Este, combina codigo de 16 y 32 bites. Esta compilado en tres plataformas distintas, funciona sobre DOS, Windows 3X, Windows 95, Windows 98, Windows NT y en Macintosh. "Corre" en procesadores Intel 80X86 y compatibles, Power PC 6XX/750(G3) y Motorola 680X0.

 Señales de infección por virus informáticos

Aunque usted sea una persona precavida y cumpla con las medidas de prevención, detección y descontaminación de virus informáticos no esta exento de la posibilidad de que su computadora sufra una infección por estos virus. Esto es debido a la cada vez mayor profusión y creación de este tipo de engendros informáticos, unido a la mayor utilización de los recursos e información disponibles en Internet y del correo electrónico. Por lo tanto usted debe conocer los "síntomas" de estas infecciones.

Aqui les mencionaremos, agrupadas, algunas señales que pueden ser debidas a una infección de este tipo. Si su computadora presenta alguna de ellas, extreme medidas y descarte la presencia de un virus informático en su sistema.

En directorios y archivos:

_La cantidad de espacio disponible es cada vez menor.
_Aumento de longitud (bytes) de los archivos
_Algunos archivos desaparecen del disco (borrados).
_El directorio muestra archivos desconocidos por el usuario.
_Los archivos son sustituidos por caracteres ilegibles.
_Alteración en la indicación de la hora de un archivo

En la ejecución de aplicaciones:

_Los programas tardan mas tiempo en cargarse o no son operativos
_Algunas aplicaciones trabajan mas lentamente que lo normal.
_Al abrir un archivo aparecen errores que antes no existían.
_Al solicitar la apertura de un archivo aparecen en el menú drives que no están instalados.

Funcionamiento del sistema:

_Rendimiento del sistema reducido.
_La cantidad de memoria disponible cambia o disminuye continuamente.
_Arranque incompleto del sistema o fallo en el arranque.
_Escrituras inesperadas en una unidad.
_Mensajes de error extraños o no estandar.
_Actividad de pantalla no estandar (animaciones, etc.), fluctuaciones de pantalla.
_Sectores erróneos en disquetes y en discos duros
_Cualquier operación extraña que su computadora no realizaba antes y que de un momento a otro comienza a ejecutar.
_Errores no justificados en la FAT.

Síntomas de macrovirus en Word:

_Los documentos de Word solo pueden ser guardados como plantillas.
_Los archivos eliminados no son recuperables.
_Los archivos muestran un cuadro de dialogo con un numero 1.
_Nuevas macros, llamadas AAAZAQ, AAAZFS y PayLoad, aparecen en la lista de macros de Word.
_El archivo Winword6.ini contiene la línea ww6=1
_Alteraciones en el archivo Normal.dot a partir de la comparación de esta plantilla con una copia anterior, previamente guardada en una carpeta del disco, utilizando comandos como el FC.EXE o el diff desde el AUTOEXEC.BAT.
_Alteraciones en la carpeta de INICIO (STARTUP) de Microsoft Word, que pueden ser debidas a la inclusión de nuevas plantillas o de alteraciones en las plantillas allí contenidas.

Prevención. Medidas básicas de seguridad informática.

"El único sistema realmente seguro es aquel que este desconectado de la línea eléctrica, incrustado dentro de un bloque de concreto, encerrado herméticamente en una habitación revestida de plomo y protegido por guardias armados, y aun así, tengo mis dudas". Eugene H.Spanfford.

Estas palabras referentes a los virus informáticos aunque algo exageradas no son irreales. Lo importante es estar conscientes del problema y no ignorarlo; el creer que a nosotros eso no puede pasarnos es cometer el mismo error que cometieron muchos de los afectados por el virus VIH (SIDA), con la diferencia de que perderemos tiempo e información en vez de la vida. Al igual que en la Medicina la mejor cura o tratamiento es la PREVENCION.

Podemos prevenir los efectos dañinos de un ataque viral informático con:

Medidas básicas de seguridad informática (esas corren por cada usuario y/o administrador de red), información "epidémica" actualizada de los virus nuevos y circulantes, adquisición, actualización y uso sistemático de programas antivirales que hagan el papel de condon informático.

En este articulo nos referiremos a las medidas básicas de seguridad informática, las cuales tienen dos objetivos: Prevenir una infección por virus informático y evitar la perdida de la mayor cantidad posible de información.

Si usted piensa que son sencillas y poco útiles, esta equivocado. Si piensa que son engorrosas y tediosas, es verdad; pero son útiles y necesarias, para USTED y para los DEMAS.

Medidas básicas para prevención primaria:

_ En el setup de su computadora fije las opciones de arranque como C: , A:
_ Prepare un disco de arranque "limpio" (verificado contra virus) y protegido contra escritura.
_ No arranque su computadora con un diskette colocado en torre A que no sea su disco de arranque, verificado y protegido.
_ No reinicie con CTRL+ALT+DEL con un diskette colocado en torre A. Aun cuando su ordenador este configurado para arrancar por torre C, siempre se buscara primero en la torre A y se leerá el boot sector del diskette que allí se encuentre, esto es suficiente para infestarse con un virus del boot sector (y estos son de los mas peligrosos).
_ No utilice diskettes o CD que no sean suyos sin revisarlos antes.
_ Revise sus diskettes si se utilizaron en otra computadora que no sea la suya, sobre todo si los utilizo en maquinas conectadas a RED.
_ Tenga en la computadora solamente los programas que se utilicen.
_ Evite la copia ilegal de programas, juegos y utilitarios.
_ Instale al menos 1 programa antivirus, este conectado o no a una red.
_ Mantenga activado siempre el centinela (TSR) del programa antivirus. Si tiene mas de un programa antivirus configúrelo para que trabaje SOLO UNO de los centinelas.
_ Configure el centinela y los programas antivirus para que revisen los mensajes de correo y los archivos comprimidos.
_ Configure el centinela y los programas antivirus para que descontaminen automáticamente los archivos infestados o le niegue su acceso.
_ Chequee periódicamente todo su sistema (una vez a la semana),independientemente del centinela.
_ Revise todo su sistema si presenta un funcionamiento anormal, no acostumbrado, aunque cumpla las recomendaciones anteriores.
_ Realice de manera sistemática copias de respaldo de sus archivos de trabajo y de las aplicaciones. En el caso de los archivos de trabajo lo ideal es tener una triple copia de los mismos, dos de ellas fuera de su disco duro de trabajo y al menos una fuera de su computadora.
_ No envíe por correo electrónico archivos anexos por gusto.
_ Evite enviar archivos anexos a listas de correo electrónico, sino a la/s persona/s que se lo solicite/n.
_ Si le llega un anexo que usted NO pidió o NO CONOCE no lo abra o ejecute sin revisarlo. Si le quedan dudas BORRELO.
_ Tenga cuidado al emplear el comando CHKDSK del DOS. Al comprobar todos los subdirectorios del disco y cotejar la cadena de enlace de los sectores almacenada en la FAT, da a los virus una oportunidad amplia de contaminar cualquier archivo, incluso programas que no ejecutados. Ciertos virus provocan errores de asignación de archivos y aprovechan la ejecución de CHKDSK /F para dañar irreparablemente los archivos que se intenta reparar.

Medidas básicas de prevención secundaria: Cuando ya se ha producido una infección por virus.

_ Arranque su computadora con un diskette de arranque, verificado contra virus y protegido contra escritura. Esto le permitirá acceder al disco duro y copiar a diskettes información vital en muchos casos.
_ Con la opción anterior limítese al DOS, y solo use los comandos cd, rd, dir y copy.
_ No ejecute ningún programa, excepto un antivirus, hasta que descontamine su computadora.
_ Aun cuando descontamine sus aplicaciones, y estas funcionen adecuadamente, lo ideal es realizar su reinstalación.
_ Si detecta un virus en algún archivo, revise todos los medios de almacenamiento, pueden haber mas copias del mismo u otros virus.
_ Efectué un rastreo de como "entró" el virus en su computadora. Recuerde que gran parte de las infecciones son involuntarias desde el punto de vista humano, resulta conveniente conocer el origen para evitar el mismo problema, no para castigar.
_ Si no es posible descontaminar el archivo (como pasa con el Happy99) BORRELO NO LO ABRA.
_ Si un archivo es reportado como sospechoso NO ABRIRLO. Explórelo con otro programa antivirus o consulte un experto.

Prevención secundaria en una Red:

_ Desconecte la computadora infestada de la red y examínela.
_ Revise el servidor. Verifique primero que la computadora a través de la que hará la revisión no esta contaminada.
_ Al hacer la revisión firme con el menor número de atributos posibles, si existiese alguna infección y usted entra como supervisor o con sus atributos, el virus los tomará e infectará todo lo que se ejecute. Aumente paulatinamente la autoridad en sus accesos para ir descontaminando.
_ Detecte el origen de la infección. Un buen NLM le proveerá del "log file" en el que se indique el nodo, hora y fecha del terrible evento.

Prevención de virus en Word

_ Amplíe la Lista de ficheros recientemente utilizados: Dicho registro es de utilidad, ya que si se realizaron cambios en Norma l.dot por un virus los documentos listados tienen una alta probabilidad de estar infectados.
_ Active la opción de Preguntar si guardar cambios en Normal.dot: El usuario decide si los cambios son salvados o no. Tiene tres inconvenientes: sólo avisa cuando se concluye el trabajo con Word; no previene que Normal.dot sea infectado en la memoria, es decir, todavía es posible abrir un documento infectado y que el virus infecte la plantilla global; puede ser desactivada facilmente por un virus desde el propio Word.
_ Utilice la funcion ToolsOptionSave: Esta es una función del Word que una vez ejecutada activa la protección Preguntar si se guardan los cambios hechos en la plantilla Normal.dot. Esta función puede incluirse dentro de una macro AutoExec creada por el usuario en una plantilla también generada por éste, y que deberá ser colocada en la carpeta INICIO (STARTUP) del Microsoft Word con el fin de que se active la protección cada vez que Word sea inicializado. Ventaja: la protección se activa cada vez que se inicia Word. Tiene los mismos inconvenientes de las anteriores, además hay que crearla y conocer como.
_ Función DisableAutoMacros: Es una función del Word que impide que las automacros sean ejecutadas. Puede incluirse dentro de una macro AutoExec creada por el usuario en una plantilla. Desventaja: Solo deshabilita las macros automáticas. Puede combinarse con la función ToolsOptionSave.
_ Declare Normal.dot como de solo lectura, desde Word. Da la posibilidad de prevenir la infección de la plantilla Normal.dot en el disco. Desventaja: Cada vez que se inicie Word se mostrara en la pantalla un molesto mensaje de advertencia, que da la posibilidad de abrir la plantilla con la propiedad de Solo Lectura.
_ Proteja Normal.dot, contra escritura, con palabra Clave. Esta protección asocia una palabra clave a un documento. Permite que la plantilla solo sea modificada si se teclea la palabra clave correcta, de lo contrario será abierto en modo Solo Lectura. Ventaja: Previene la infección de la plantilla global Normal.dot en el disco y solo puede ser desactivada por el responsable de la computadora. Desventaja: al iniciar Word muestra en pantalla un mensaje donde hay que teclear la palabra clave para que Normal.dot pueda ser modificado.
_ Uso de la tecla Shift: Pulse sostenidamente la tecla Shift izquierda al iniciar Word o mientras se abre un documento. Esto provoca que ninguna de las automacros sea ejecutada. Esto previene que los virus que utilicen las macros AutoExec y AutoOpen puedan propagarse. Si se ejecuta esa acción al cerrar un documento o salir de Word se logra el mismo objetivo para la macro AutoClose. Desventajas: Requiere de mucha coordinación de lo contrario las macros pueden ser ejecutadas y solo previene la ejecución de las macros automáticas.
_ Utilice el organizador para chequear si los documentos contienen MACROS.Desventajas: El usuario tiene que decidir si las macros están infectadas o no. Es incomodo revisar los documentos antes de abrirlos.
_ Active la opción Abrir documentos sin Macros: Solo disponible en Word 8.0. Permite abrir documentos creados con Word 8.0 y anteriores sin que las macros contenidas se ejecuten si el usuario no lo desea. Desventajas: El usuario es quien decide si va a abrir el documento con o sin macros. Los usuarios, que trabajen con macros, tenderán a desactivar la protección en busca de comodidad.
_ Bloquee proyecto para la visualización: Solo disponible en Word 8.0. Previene que los módulos sean creados, vistos o copiados en un proyecto plantilla. Normal.dot es un proyecto plantilla y las macros en Visual Basic están contenidas en módulos.
_ Salve una copia de Normal.dot en otra carpeta y compárela con la utilizada mediante cualquier utilitario que lo permita. Esto puede hacerse desde el autoexec.bat
_ Detectar alteraciones en la carpeta de INICIO (STARTUP) de Microsoft Word, que pueden ser debidas a la inclusión de nuevas plantillas o de alteraciones en las plantillas allí contenidas. Este proceso también se puede hacer desde el AUTOEXEC.BAT y con un DIR.
_ Si tiene que enviar por correo electrónico algún documento de texto no lo envíe en formato de Word sino como RTF, a no ser que sea absolutamente imprescindible alguna macro o se lo hayan solicitado. En formato RTF el texto conserva todas las características de formato del documento de Word original pero no se incluirá ninguna macro. En formato TXT no se incluyen las macros pero se pierde el formato del documento.

Prevención de virus Macro en Excel y PowerPoint:

_Active la opción Protección antivirus en macros: Permite abrir documentos de Excel y PowerPoint sin que las macros contenidas en ellos puedan ejecutarse. Este método solo esta disponible para la versión 97 del producto. Las desventajas de este método son similares a las enumeradas para MS-Word.
_Uso de la tecla Shift: Igual efecto e inconvenientes que para MS-Word.

Como enfrentar un ataque de virus. Programas antivirus.

Si su computadora se ha contaminado con un virus lo primero que debe hacer es tener calma y paciencia, no se ofusque por resolverlo de inmediato, sino BIEN. No importa el tiempo que invierta. Revise todos los discos, cintas y medios de almacenamiento. El no hacerlo es un error común que muchas veces se paga caro, ahí puede estar acechando una copia del virus.

Siga estos pasos:

_ Desconecte la computadora de la red si esta enlazada a una.
_ No debe permitir el uso de su equipo hasta que tenga la seguridad de haberlo erradicado plenamente.
_ Verifique la presencia del virus con al menos dos antivirus, arrancando desde un disco flexible, verificado contra virus y protegido contra escritura para tener plena seguridad de que no se encuentra escondido ninguno en memoria.
_ Si no tuvo la precaución de tener copias de resguardo de la información vital contenida en su equipo, ahora es el momento de hacerlo. Es mas seguro hacerlo desde el DOS, utilizando solo los comandos dir, cd y copy, sin utilizar ningún programa. Recuerde: el responsable de resguardar los datos es el usuario, no el programa antivirus. Además aunque este detecte y descontamine su computadora la información puede ser dañada.
_ Proceda a la descontaminación de su computadora.
_ Los virus modifican los archivos o la estructura del disco en alguna medida. La remoción del código maligno en una aplicación es una solución temporal. Una "limpieza completa" debe incluir la reinstalación de aplicaciones para evitar errores en ellas.
_ Rastree la "entrada del virus".

Detección y protección contra virus en Redes:

Se puede realizar en tres niveles básicos:

_ En la computadora personal: Cada computadora debe tener instalado un programa antivirus con el centinela activado (sistema de monitoreo).
_ En el servidor de una LAN: También debe instalarse un programa antivirus basado en el servidor. Permiten el trabajo con protocolos como IPX en redes Netware o en ambientes Windows NT por ejemplo. Tiene la desventaja de que los archivos "bajados" por FTP pasan directamente a las computadoras personales sin pasar por el servidor de LAN, por lo que no son revisados por su programa antivirus. Por otro lado, al tener cada sistema de correo electrónico su forma de encriptación de datos se bloquea el rastreo de virus.
_ Instalación de programa antivirus en la Interfase de acceso (gateway) y Firewalls de conexión a Internet operando bajo UNIX. Este programa, si monitorea continuamente el tráfico de correo electrónico (e-mail) y FTP que se lleva a cabo en la Interfase de acceso (gateway) de Internet, capturando y aislando virus antes de que lleguen a la red.

Recomendaciones para seleccionar el programa antivirus para su computadora o red:

_ Debe estar certificado por la ISCA para "curar" el 100 % de los virus "In the Wild" (estado salvaje, son los que están circulando en el momento). Esta certificación se realiza mensualmente y es publicada en Internet.
_ Debe tener la opción de exploración o monitoreo en tiempo real (centinela) y programado.
_ Debe permitir la revisión preventiva y programada con alarmas de aviso y las opciones de desinfección automática o de negación de acceso en sistemas de correo electrónico, fax, broadcast, etc.
_ Debe contar con herramientas de administración desde una consola central, queadministre la red global heterogenea, grupos o dominios de servidores y computadoras para llevar a cabo una administración mas sencilla.
_ Debe contemplar las herramientas de protección para que los diferentes niveles se encuentren integrados.
_ Debe permitir la actualización automática de las nuevas firmas antivirus hasta servidores y clientes.
_ Debe cubrir a las estaciones de trabajo por medio de la aplicación instalada a tiempo real, enlenteciendo lo menos posible el trabajo del equipo.
_ Debe contar con un esquema tipo "cuarentena" en el caso de que alguna estación no tenga cargada la aplicación antivirus o la ultima firma evitar la entrada a su servidor de red.
_ Debe contar con herramientas de rastreo de puntos de infección alrededor de la red.

EL VIRUS PRETTY PARK

Alias.....................Trojan Horse, W32.PrettyPark, Trojan.PSW.CHV, CHV
Largo de la infección.....37,376
Area de infección.........C:\Windows\System, Registro del sistema, Attachs de e-mail
Fecha de detección........1ro de junio de 1999
Características...........Gusano, caballo de troya

El citado virus forma parte de los llamados Gusanos. Estos virus se basan en el correo electrónico para propagarse. También podría decirse que es un troyano (Caballo de Troya). Estos (al igual que el Caballo de Troya original) se basan en enmascarar su código en otro programa.

La forma de propagarse es simple. Se agrega (attach) al mensaje un ejecutable (originalmente PrettyPark.exe, aunque puede ser cambiado el nombre) el cual viaja por la red e infecta el sistema cliente cuando este es ejecutado.

Una vez que ingresa al sistema, crea un archivo de nombre FILES32.VXD, agregándolo al registro del sistema, para poder seguir siendo ejecutado.

Con intervalos de 30 minutos, captura el libro de direcciones y envía a estas, un correo con el attach correspondiente, el cual infectara el sistema del destinatario, comenzando nuevamente la cadena.

También puede mandar vía IRC (canales de chat) información sobre los datos principales del sistema e incluso las claves almacenadas en el mismo.

Peligros para las listas de correo:

Basicamente el problema consiste en que puede llegar un mensaje con attach infectado a través de las mismas. En las listas (Foros Temáticos) del PCVC, al ser moderadas, el problema NO EXISTE, ya que todos los mensajes llegan previamente al moderador, que no redistribuye absolutamente ninguno que contenga un attach. Además, aunque por error el Moderador de un Foro, enviara un mensaje "infectado" a la Lista, el propio Majordomo, que es el soft que gerencia la redistribución de mensajes, se encargaría de abrir el archivo que por tal perderia su capacidad destructiva.

Igualmente, es prudente que todos aquellos que participan de otras listas de distribución, o simplemente tienen un programa de correo electrónico y reciben mensajes de terceros, tienen que estar lo suficiente protegidos para que esto no suceda.

Como protegernos:

1.- Es prudente que todos quienes utilizan el correo electrónico, deban de tener un antivirus activo, con la posibilidad de ser actualizado vía internet. El antivirus activo, captura todo aquello que pase por la memoria del ordenador, analizándolo y eliminando la infección.

Debe tenerse en cuenta que no todos los antivirus y/o versiones detectan determinada infección.

2.- Se sugiere vehementemente no abrir ningún archivo que venga agregado a la correspondencia, de fuente no segura. Usualmente lo que se hace es:

1.- Se obliga al programa de correo electrónico que coloque todos los attach en un directorio especifico (para poder manejarlos con confianza y que no se nos "pierdan" dentro de la maraña de información de nuestros disco).
2.- Mandar un e-mail al que envía el attach, consultándolo sobre las características del agregado que nos manda (de esta manera, nos enteramos si el envío fue querido o no)
3.- Correr el antivirus para que haga un doble control (heurístico y comparativo) para eliminar posible infección.

La mayoría de los antivirus tienen ambas búsquedas. Se entiende por comparativo, la búsqueda normal, la cual consiste en comparar cadenas de datos del archivo que se esta analizando, con otras que el antivirus tiene almacenadas. Ante la coincidencia se detecta el virus.

Se entiende por heurística (o búsqueda inteligente) aquella que analiza los archivos buscando posibles ordenes en código de maquina o macros, que puedan hacer daño a nuestro sistema, informándonos en caso de encontrarlas, sobre "posible virus en....".

Una vez detectada la infección, se debe estar seguro sobre si el virus puede ser removido con la versión del antivirus que tenemos y sobre todo, no enviar mensajes desde esa maquina hasta estarlo.

VIRUS BUBBLEBOY

NOMBRE: Bubbleboy Escrito en VB Script
------
ASUNTO: BubbleBoy is back!
------

Utiliza para ejecutarse algunas vulnerabilidades relacionadas con MS Outlook y MS Outlook Expres, en sistemas con Windows Scripts Host (W98, W2000 y sistemas W95 que lo hayan instalado) e Internet Explorer 5.

Es capaz de activarse sin que el usuario ejecute, abra, o incluso guarde en su disco cualquier tipo de fichero adjunto recibido.

Al contrario de como suelen actuar los gusanos de Internet, Bubbleboy no llega al ordenador de la víctima en un fichero adjunto, sino que se ejecuta al abrir el mensaje infectado instalando el fichero Update.hta en el sistema de manera que se ejecute en el siguiente arranque del mismo.

En el caso de Microsoft Outlook Express, la infección se efectúa con solo tener activada la opción 'vista previa'

El que este escrito en VB Script, hace que se ejecute tan pronto se abra el E-mail que lo contiene. Cuando Update.hta es ejecutado, primero procede a modificar el nombre del usuario registrado de Outlook a 'BubbleBoy' (modificando el registro de windows: RegistredOwner y RegisteredOrganization) y el nombre de la empresa registrada a 'Vandelay Industries'. Una vez efectuado estos cambios, el gusano se autoenvia a todas las direcciones contenidas en todas y cada una de las libretas de direcciones de Outllook.

Después de que los mensajes son enviados, para evitar volver a enviarlos el gusano crea una entrada (llave) en el registro de Windows;

HKLM\Software\OUTLOOK.BubbleBoy\="OUTLOOK.BubbleBoy 1.0 by Zulu"

Al final el gusano muestra en pantalla una ventana con el siguiente texto;

System error, delete "UPDATE.HTA" from the startup folder to solve this problem.

El remitente que aparece en el mensaje es el nombre del usuario afectado.

BubbleBoy no tendrá validez en los ordenadores que:

a) No usen ningún producto de la gama Outlook de Microsoft.
b) No tengan activada la ejecución de comandos ActiveX.
c) Hayan desactivado el reconocimiento de ficheros "HTA".
d) No tengan su directorio del sistema en C:\WINDOWS.
e) Corran una versión de Windows que no sea inglesa o española.
f) No hagan un uso activo de la libreta de direcciones.

Este I.worm no posee ningún tipo de rutina destructiva.

MEDIDAS DE PREVENCION

a) No abra (= lea) ningún mensaje que llegue al buzón de su Outlook si el tema de este es "BubbleBoy is back!", aun si quien lo envía es un conocido o amigo suyo.
b) Instalar el parche que Microsoft ha puesto a disposición de todos los usuarios de Windows a partir de la URL:

http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP

c) Si no suele emplear aplicaciones HTML (ficheros HTA), es posible desactivar su asociación con Internet Explorer:

c1) Doble click en "Mi PC".
c2) Menú "Ver" -> "Opciones (de carpeta)".
c3) Pestaña "Tipos de archivo".
c4) Lista "Tipos de archivo registrados".
c5) Seleccionar "HTML Application".
c6) "Quitar" -> "Aceptar" -> "Cerrar".

d) Traslade los datos contenidos en su libreta de direcciones a cualquier otro soporte, de manera que "BubbleBoy" no podrá enviarse a ningún usuario desde su ordenador, y así frenará su expansión.
e) Si posee conocimientos suficientes como para desenvolverse con el registro de configuraciones, cree una llave con el siguiente nombre y valor:

HKLM\Software\OUTLOOK.BubbleBoy\="OUTLOOK.BubbleBoy 1.0 by Zulu"

De este modo, "BubbleBoy", durante la comprobación que lleva a cabo para no autoenviarse mas de una vez desde una maquina, pensara que ya ha actuado con anterioridad en su ordenador.

COMO SABER SI SE ESTA INFECTADO

a) Despliegue el menu "Inicio" de su ordenador y compruebe, a partir de los menús "Programas" e "Inicio", el contenido de esta ultima carpeta. Si encuentra el fichero "UPDATE.HTA" en su interior, bórrelo sin dilación alguna.
b) Si por alguna circunstancia usted ha ignorado o no se ha apercibido de la presencia de la ventana que "BubbleBoy" muestra tras haberse enviado por e-mail a otras maquinas desde la suya, es posible comprobar algún indicio de una pretérita actividad vírica buscando la siguiente llave en el registro de configuraciones de Windows por medio de la opción "Buscar" (menú "Edicion" o Ctrl+B) del programa "regedit.exe" que podrá encontrar en el directorio Windows de su ordenador:

HKLM\Software\OUTLOOK.BubbleBoy\="OUTLOOK.BubbleBoy 1.0 by Zulu"

c) Al hilo de la casuística del ejemplo anterior, es posible comprobar el nombre de usuario y la compañía a la que esta registrada su copia de Windows por medio de la opción de menú "Acerca de Windows" que encontrara, por ejemplo, en el menú "Ayuda" del Explorador de Windows.

Para limpiar este gusano de los sistemas infectados, es imprescindible borrar el sistema script Update.hta. Para ello, solo es necesario buscar el script en windows ( mediante un sencillo "buscar ficheros o carpetas") y proceder a eliminarlo una vez encontrado.

FUENTES CONSULTADAS

http://www.pandasoftware.es/

http://www.avp-es.com/noticias/bubbleboy.html

http://www.hispasec.com/

BOLETIN DE KRIPTOPOLIS:

http://www.Kriptopolis.com

http://www.DataFellows.com/virus-info/virus-news

http://www.mcafee.com/viruses/bubbleboy

http://www.virusbtn.com/VirusInformation/bbpy.html

http://vil.nai.com/vil/vbs10418.asp

Tope

VIRUS HOAX

Una de las características mas destacadas que es dable observar en el que bien pudiera llamarse "el fenómeno Internet" son los lazos que se generan entre los integrantes de la red global. El propio desarrollo del PCVC, el crecimiento que se produce día a día en los Foros Temáticos, la evolución de las Listas Cardiológicas históricas, como Cardio-L, ProCOR, CardioConcert, de las cuales podemos dar testimonio, son cabal prueba de ello. De la mano de este fenómeno, se observa otro, cual es el de una suerte de solidaridad que se establece entre los participantes, que a su vez se acompaña de un producto marginal.

Es así, como nuestros buzones de correo reciben periodicamente conmovedores mensajes que claman por ejemplo, por reunir "240 dadores de sangre" para el hermano de un científico afectado de una extraña enfermedad de la cual solo se conocen tres casos en todo el mundo e invita a presentarse en fecha y hora próximas a un Banco de Sangre de existencia real y piden por favor difundir entre los conocidos, el contenido del pedido solidario.

Otro visitante frecuente de nuestros buzones de correo electrónico, son mensajes que nos previenen sobre destructivos virus que podrían llegar a nuestras computadoras vehiculizados en otros mensajes y que piden nos hagamos eco del alerta difundiéndolo a toda dirección de correo que se halle en nuestra agenda y a cuyo propietario deseemos el "bien".

Veamos algunos ejemplos de esto ultimo (el texto original de estos "alertas" que nos sirven de ejemplo esta escrito en idioma ingles):

Irina HOAX

"Existe un virus informático que se esta enviando a través de Internet. Si Ud. recibe un mensaje de e-mail con la línea de asunto "Irina", NO lo lea. BORRELO inmediatamente. Algun inescrupuloso manda a la gente archivos con el titulo "Irina". Si Ud. recibe este mensaje o archivo, no lo descargue. Tiene un virus que reescribe su disco rígido, borrando todo lo que hay en el. Por favor sea cuidadoso y reenvie este mensaje a todas las personas que le importan.
(Información recibida del Profesor Edward Prideaux, Facultad de Estudios Eslavos, Londres)".

Deeyenda HOAX

"INFORMACION MUY IMPORTANTE, POR FAVOR LEER! Hay un virus informático que esta siendo enviado a través de Internet. Si Ud. recibe un mensaje de e-mail con la linea de asunto "Deeyenda", NO lea el mensaje, BORRELO inmediatamente! Algún inescrupuloso esta mandando a todo el pais un mensaje con el titulo "Deeyenda"; si Ud. recibe algo como esto NO DESCARGUE EL ARCHIVO! Tiene un virus que reescribe su disco rígido, borrando todo lo que hay en el. Por favor sea cuidadoso y reenvie este mensaje a todas las personas que le importan. Por favor lea el mensaje que sigue. Alex."

Estos mensajes, redactados con un lenguaje apropiado que le otorga credibilidad por parte de quien lo recibe, son FALSOS y en realidad son la "propia enfermedad" sobre la cual aparentemente previenen, siendo nuestros propios sentimientos solidarios la vía de propagación, cuando reenviamos su contenido a cuanta dirección de correo hallamos a mano.

Estos son los llamados Virus místicos, HOAX o Falsos Virus.

Otros ejemplos que hemos tomado de sitios dedicados a este problema y que aun circulan entre nosotros podrían ser los siguientes:

* Virus KATIUSKA Hoax
* Irina Hoax
* PKZ300 Warning
* Ghost Warning
* NaughtyRobot Warning
* Join the Crew Warning
* AOL4FREE
* A.I.D.S. Virus Hoax
* Win A Holiday
* BUDSAVER.EXE

Es decir, estos "virus" en realidad no existen. La mejor "vacuna" contra ellos es ignorar este tipo de mensajes.

Como reconocerlos?

Esta información proviene textualmente del Computer Incident Advisory Capability (CIAC) del U.S. Department of Energy

http://ciac.llnl.gov/ciac/CIACHoaxes.html

Hay varios métodos para identificar los virus HOAX, pero primero consideremos que hace que un "virus" de estas características tenga éxito en Internet. Hay dos factores conocidos que son:

(1) lenguaje que impresiona "técnico", y
(2) credibilidad por asociación.

Si la advertencia utiliza la jerga técnica apropiada, la mayoría de las personas, incluyendo quienes estén informados sobre cuestiones tecnológicas, se inclinan a creer que la advertencia es real. Por ejemplo, el HOAX "Good Times" dice que "...si el programa no se detiene, el procesador de la computadora será colocado en un bucle binario infinito de enésima complejidad, que puede dañar gravemente su procesador...".

La primera vez que Ud. lee esto, le impresiona como si pudiera haber algo de verdad en el.

Si se investiga un poco, se descubre que no existe tal cosa como un bucle binario infinito de enésima complejidad y que los procesadores están diseñados para ejecutar bucles durante semanas a la vez sin dañarse.

Cuando decimos "credibilidad por asociación", nos referimos a quien es el supuesto remitente que envía la advertencia. Si el conserje de una organización tecnológica importante envía un advertencia a alguien fuera de la organización, la gente del exterior tiende a creer la advertencia porque la empresa debería tener conocimiento de tales asuntos. Aunque la persona que envía el mensaje no tenga idea de lo que esta hablando, el prestigio de la empresa lo respalda, dándole una apariencia real. Si un gerente de la empresa envía la advertencia, el mensaje esta doblemente respaldado por las reputaciones de la compañía y del gerente.

La gente debería estar especialmente atenta si la advertencia los exhorta a enviarla a sus amigos. Esto debería ser como una alerta roja indicando que el mensaje puede ser un HOAX. Otra señal de alerta a la que hay que estar atento es cuando el mensaje indica que es un advertencia del FCC (Federal Communication Commission - Comisión Federal de Comunicaciones). Según el FCC, no han difundido, y nunca lo harán, mensajes de advertencia sobre virus. No es parte de su trabajo.

Es bueno recordar entonces, que ningún virus puede venir en el texto de un mensaje. Si, en cambio, puede hacerlo en un archivo adjunto que recibamos junto a un mensaje y que en estos casos, la mejor protección es desconfiar y NO EJECUTAR de todo archivo adjunto que recibamos de fuentes desconocidas y aun conocidas cuando previamente no fuimos informados del envío.

Las que siguen son direcciones en Internet donde los interesados pueden continuar investigando el tema:

http://ciac.llnl.gov/ciac/CIACHoaxes.html"
http://www.fcc.gov/Bureaus/Miscellaneous/Public_Notices/pnmc5036.txt

Otro sitio web útil es el "Computer Virus Myths home page" ( http://www.kumite.com/myths/ ) que contiene descripciones de varios HOAXES conocidos.

En la mayoria de los casos, el sentido común debería eliminar los HOAXES de la Internet.

Este informe sobre Virus, fue publicado en los distintos números del Newsletter del Primer Congreso Virtual de Cardiología

Tope

Spam

Actuaciones ante la recepción de correo electrónico no solicitado

Informe de Jesus de Las Heras, Administrador General de RedIRIS, la Red Academica Española, acerca de cómo identificar y proceder con los mensajes de correo no solicitado

¿Quién no ha encontrado alguna vez en su buzón de correo electrónico mensajes con contenidos soeces o amenazadores; anzuelos publicitarios donde dicen regalar algo, ganar mucho dinero o sexo telefónico barato?; y peor aún ¿quién no ha recibido en su buzón este tipo de mensajes aparentemente procedentes de algún compañero de nuestro despacho? o ¿enviados desde una dirección desconocida y recibidos en nuestro buzón como si fueran enviados a nuestro compañero de despacho? ¿quién no ha perdido algún mensaje valioso al borrar o filtrar este tipo de correo? El correo basura está continuamente creciendo, inunda nuestros buzones y disminuye la funcionalidad y credibilidad del correo electrónico como aplicación.

El correo basura o no solicitado (spam, uce ...) es uno de los múltiples resultados de la inseguridad y fragilidad del correo electrónico en Internet. Debemos aceptar y estar informados de que el correo electrónico clásico es un canal inseguro y fácilmente manipulable. Los protocolos de correo electrónico utilizados por la mayor parte de los usuarios no pueden garantizar la autentificación del emisor ni la confidencialidad del contenido. Pero esto no es óbice para que consideremos la manipulación y falsificación de mensajes como una acción ilegal y punible. No debemos olvidar que es necesario perseguir este tipo de actividades y una de las tareas prioritarias por parte de las instituciones que ofrecen el servicio, es informar de ello a los usuarios. Esta información deberá facilitarse a través de las Políticas de Uso propias de cada institución ( http://www.rediris.es/mail/abuso/insti.html ).

Como ya hemos dicho, prácticamente todas las partes de un mensaje de correo (cabeceras y trazas) son falsificables pero siempre quedan rastros. Antes de abordar el correo electrónico falsificado debemos hablar del correo electrónico válido que es aquel donde el remitente no intenta ocultar el origen del emisor del mensaje.

Con este documento de divulgación general no pretendemos crear ningún tipo de alarma sino ofrecer información clara para poder sacar más provecho del correo electrónico y sobre todo, para tener conciencia de lo que sucede cuando se recibe o envía un mensaje. En primer lugar veremos la interpretación de la procedencia de un mensaje con el fin de poder descubrir posibles falsificaciones y a continuación veremos lo que se debe hacer con el correo electrónico no deseado y comprobaremos como los indeseables spammers no son anónimos, pues casi siempre existe un rastro que les delatará.

Valga la ocasión para indicar que la mejor forma de garantizar la procedencia e integridad de un mensaje es la utilización de PGP, actualmente integrado en casi todos los clientes de correo electrónico. Para mayor información sobre este tema consultar http://www.rediris.es/pgp/ .

Interpretación de las cabeceras de los mensajes

Si lo intentarais, os sorprendería ver lo sencillo que resulta falsificar un mensaje y con ello comprobariais la inseguridad del correo electrónico. ¿Alguna vez habéis probado seguir la pista de la procedencia de algún mensaje que hayáis recibido? quizá nunca hayáis desplegado las cabeceras de los mensajes que recibís. La mayor parte de los usuarios sólo ven las clásicas cabeceras From: (Desde:), To:(Para:), Subject:(Asunto:) y Date:(Fecha:), casualmente las más fácilmente manipulables. Es recomendable acostumbrarse a echar un vistazo a esas otras cabeceras que no se suelen leer, sobre todo las que empiezan por "Received:" pero sin alarmarse sobre la información. Unos mínimos conocimientos nos ayudarán a interpretar de un vistazo dicha información así como la ayuda de alguna herramienta habitual como "nslookup", "whois" o similares.

Hacer un estudio exhaustivo de las cabeceras de un mensaje puede llegar a ser todo un arte ya que la información puede variar aunque tengan un perfil fijo. Es importante descubrir quién originó el mensaje y la máquina que lo distribuyó para de esta forma poder saber la identidad real del emisor del mensaje. El mecanismo del correo electrónico en Internet es sencillo, un mensaje de correo electrónico sale del programa del emisor, le encarga a un servidor de correo (servidor SMTP) -similar a un estafeta de correo postal- la distribución hacía el destino; el mensaje viaja por la red y llega al buzón del destinatario (login y palabra clave) el cual físicamente está en el servidor de correo destino (servidor POP o IMAP). Durante el "viaje" desde el "Servidor SMTP" hasta el "Servidor de correo destino" puede haber servidores intermedios por donde circula el mensaje pero nunca menos de dos.

Debemos tener en cuenta que cuando el mensaje pasa por un servidor de correo éste imprime una traza en la cabecera del mensaje (Received:) y queda archivada en un fichero de dicho servidor. Es decir, los responsables del servicio de correo electrónico deben tener acceso a esta información y por lo tanto pueden facilitar mucho la labor de investigación. A un usuario le bastaría con interpretar la última traza impresa en la cabecera del mensaje cuando éste entra en su servidor .

Lo primero que se debe hacer para leer las cabeceras de un mensaje es habilitar la correspondiente opción en el programa de correo. Hay que fijarse exclusivamente en las líneas que empiezan por la palabra "Received:". El orden de lectura va de abajo hacia arriba, es decir la primera cabecera "Received:" será la que ofrezca información del emisor y la última es la entrega en vuestro buzón. Cada una de estas líneas ha sido impresa por el servidor de correo por donde ha pasado el mensaje. Veamos un ejemplo, sin olvidar que aunque el perfil de las cabeceras es similar la información de las trazas "Received:" puede variar:

Ejemplo 1: Mensaje normal

From: "Fernando el Católico" f.catolico@upv.es
To: perico@rediris.es
Date: Tue, 11 Jan 2000 18:58:26 -0600 (Wed 01:58 MET)
Subject: Soy yo y no te engaño

Aparentemente viene de la dirección <f.catolico@upv.es> y es enviado a <perico@rediris.es>. Si desplegamos el resto de cabeceras veremos:

(2) Received: from vega.upv.es (vega.cc.upv.es [158.42.4.1]) by chico.rediris.es (8.9.3/8.9.3) with ESMTP id SAA05366 for <perico@rediris.es>; Tue, 11 Jan 2000 18:58:38 +0100 (MET)
(1) Received: from fons (enano.har.upv.es [158.42.108.72]) by vega.upv.es (8.8.4/8.8.5) with ESMTP id SAA12517; Tue, 11 Jan 2000 18:58:37 +0100 (MET)

La primera línea para interpretar es la (1) que indica que el mensaje ha sido emitido desde la máquina con dirección IP [158.42.108.72] que tiene asignado el nombre (resolución inversa en el DNS) "enano.har.upv.es", es decir es una máquina conectada a la red local del dominio upv.es. El cliente de correo electrónico de este usuario utiliza la máquina "vega.upv.es" como servidor de correo saliente (servidor SMTP). Esta transacción se realizó el "11 Jan 2000 18:58:37 +0100 (MET)". Esta línea (1) ha sido añadida por el servidor de correo "vega.upv. es" por lo que podemos creer que sea correcta.

La cabecera (2) nos indica que el servidor "vega.upv.es" se ha conectado al servidor "chico.rediris.es" como paso final para depositarlo en el buzón <perico@rediris.es>. La transacción fue realizada el "11 Jan 2000 18:58:38 +0100 (MET)", es decir 1 segundo después.

Como conclusión podemos considerar que muy probablemente las cabeceras de este mensaje no hayan sido manipuladas y que el mensaje haya sido generado en el PC "enano.har.upv.es", pero no podemos garantizar que el mensaje sea de "Fernando el Católico" <f.catolico@upv.es>. Si las direcciones son de dominios de universidades españolas, como el del ejemplo UPV.ES, es muy problable que sean válidas.

Ejemplo 2: Mensaje falsificado

Este es un mensaje que se recibe en el buzón <perico@rediris.es> y las cabeceras clásicas son:

From: <perico@rediris.es>
To: "Fernando el Católico" <f.catolico@upv.es>
Date: Tue, 11 Jan 2000 18:58:26 -0600 (Wed 01:58 MET)
Subject: Soy yo y sí te engaño

Este mensaje se ha recibido en el buzón <perico@rediris.es> y aparentemente proviene de él mismo y va dirigido a: <f.catolico@upv.es>, todo un follón. Evidentemente nos hace sospechar y debemos investigar y desplegar las cabeceras y veremos algo así como:

(2) Received: from vega.upv.es (vega.cc.upv.es [158.42.4.1]) by chico.rediris.es (8.9.3/8.9.3) with ESMTP id SAA05366 for <perico@rediris.es>; Tue, 11 Jan 2000 18:58:38 +0100 (MET)

(1) Received: from fons (enano.har.upv.es [158.42.108.72]) by vega.upv.es (8.8.4/8.8.5) with ESMTP id SAA12517; Tue, 11 Jan 2000 18:58:37 +0100 (MET)

Vemos que la traza (2) dice "for <perico@rediris.es>" (no siempre existe) e indica que el mensaje iba encaminado a dicha dirección aunque el campo To: que solemos ver tenga el valor: [To:"Fernando el Católico" <f.catolico@upv.es>]. Unicamente podemos asegurar que dicho mensaje ha sido emitido desde el PC identificado con las siguientes coordenadas: enano.har.upv.es [158.42.108.72] y que es ahí donde se ha producido la falsificación.

Las cabeceras From: y To: que son las únicas que la gente suele visualizar, son falsificables aunque evidentemente hay que tener unos pequeños conocimientos y algún motivo para hacerlo. No quiere decir que todo el mundo se dedique a hacer falsificaciones, pero sí hay que tener en cuenta que la posibilidad existe.

Estas falsificaciones son las que pudieran resultar más interesantes pero evidentemente hay muchas otras variaciones que requieren más habilidad en la falsificación. Se puede falsificar todo, desde las fechas de transmisión hasta la propia información de trazas "Received:" pero al final siempre queda una pista que nos permite identificar por lo menos el servidor de correo de donde salió el mensaje. Igual que todas las máquinas disponen de una direción IP para transitar por Internet, también deben de tener una entidad (empresa, organismo, etc.) que se responsabilice de las mismas. El problema viene cuando estas máquinas no tienen una dirección IP fija (accesos dial-up vía red telefónica básica) lo que imposibilita la labor de identificar al emisor, aún así siempre existe un responsable de direcciones IP (Proveedores de acceso a Internet).

Todas las máquinas deben tener un dueño y/o un responsable.

Este es un mensaje completo con las cabeceras desplegadas, lo que un programa de correo electrónico suele mostrar son los campos Date:, From:, To: y Subject:. Veamos quien envió el mensaje y a quien va dirigido.

Received: from hkbulib.hkbu.edu.hk (hkbulib.hkbu.edu.hk [158.182.30.1])
by chico.rediris.es (8.9.3/8.9.1) with ESMTP id JAA18473
for <heras@REDIRIS.ES>; Mon, 7 Feb 2000 09:50:31 +0100 (MET)
Received: by hkbulib.hkbu.edu.hk id QAA0000017827; Mon, 7 Feb 2000 16:50:41 +0800 (HKT)
Message-id: 200002070850.QAA0000017827@hkbulib.hkbu.edu.hk
Reply-to: srchzznngnz@mailexcite.com
Content-type: text

----[las cabeceras de abajo son las únicas que se suelen ver]----

From: srchzznngnz@mailexcite.com
Date: Mon, 7 Feb 2000 16:50:41 +0800 (HKT) (09:50 MET)
To: srchzznngnz@mailexcite.com
Subject: Submit Your Site or Home Page

Sería un mensaje dirigido a <heras@REDIRIS.ES> y enviado directamente desde la máquina (hkbulib.hkbu.edu.hk [158.182.30.1]). ¿Qué usuario lo envió? Eso sólo podrá conocerse consultando los ficheros donde se dejan las trazas de los correos y en teoría sólo están accesibles a los responsables de dicha máquina... ¡en Hong Kong!.

Otro ejemplo real un poco más complejo.

Received: from ainnet.ain.es ([193.146.125.2])
by chico.rediris.es (8.9.3/8.9.1) with SMTP id MAA18844
for <heras@rediris.es>; Wed, 9 Feb 2000 12:18:42 +0100 (MET)
Received: from xx (unverified [130.206.1.3]) by ainnet.ain.es (EMWAC SMTPRS 0.83) with SMTP id <B0000191785@ainnet.ain.es>; Wed, 09 Feb 2000 12:27:27 +0100
Received: from xxxxxx (xxxxx [1.1.4.3])
by yyyyyyyyyy with ESMTP id JAA18473
Received: by xx.xx.xx id QAA0000017827; Mon, 7 Feb 2000 16:50:41 +0800 (HKT)
Message-id: <200002070850.QAA0000017827@xx.xx.xx>
Reply-to: srchzznngnz@mailexcite.com
Content-type: text

---[las cabeceras de abajo son las únicas que se suelen ver]----

From: xxxxx____@xxxxx.com
To: xxxx____@xxxxx.xx
Date: Mon, 25 Feb 1999 16:50:41

¿A quién va dirigido? ¿qué máquina es la emisora? ¿qué máquina distribuyó el mensaje? ¿en qué fecha fue emitido? ¿a quién deberías dirigirte para denunciar este mensaje? si respondes a este mensaje (Reply) ¿a qué dirección sería enviada?

Recomendaciones

La dirección de correo electrónico que nos ofrecen en nuestra institución (universidad, centro de investigación, etc.) debe ser utilizada con unos criterios y normas de uso perfectamente definidas para llevar a cabo nuestra labor profesional en dicha institución ahora bien podemos disponer de otra dirección privada para nuestras actividades personales (*@hotmail.com, *@arrakis.es etc.).

Lo más importante es que cada una de estas direcciones se utilicen usando unos parámetros (servidor SMTP, POP/IMAP, claves) diferentes ya que están implicados en ello una serie de recursos (máquinas, líneas de comunicación etc.) determinados. La dirección privada debe utilizarse con los servidores del correspondiente proveedor de Internet y la dirección institucional con los servidores apropiados. No se deben mezclar ambos entornos.

Pero además de realizar un correcto uso del correo electrónico y una vez que ya sabemos interpretar las cabeceras, se recomienda utilizar los servidores oficiales asociados a nuestra dirección de correo electrónico. Esta práctica aportará algo más de garantía a los receptores sobre la fiabilidad del emisor. Si bien hay que hacer hincapié de nuevo en que sólo el uso de técnicas de criptografía de clave pública/privada como es PGP garantizará al máximo la veracidad del emisor de un mensaje.

¿Qué hacer con los mensajes no deseados que recibimos?

Una vez que ya sabemos interpretar la información que contienen las cabeceras de los mensajes pasemos a otro aspecto. Para enviar una queja acerca de un correo no deseado hay que saber a qué dirección enviarla, para ello basta con saber interpretar las cabeceras de los mensajes y disponer de alguna herramienta que nos ofrezca información de las direcciones de correo electrónico de los responsables.

La mayor parte de los usuarios al recibir estos mensajes no deseados los borran al ser esto lo más rápido pero si se desea actuar de forma efectiva contra este tipo abusos debemos hacer o evitar hacer lo siguiente:

No se debe:

* Enviar ningún mensaje cuando se ofrezca la posibilidad de darse de baja de la "supuesta" lista o ponerse en contacto con el "supuesto" emisor. Pues aunque muchas de ellas son falsas, muchas otras son correctas y al responder lo único que generalmente se consigue es capturar la dirección de correo electrónico correcta para posteriores envíos de correo basura.
* Enviar quejas a direcciones que no estemos seguros de que son las que realmente han distribuido el mensaje.
* Tratar con violencia al spammer. Lo peor sería estereotipar a estas personas como terroristas pues les daría más fuerza.
* Poner filtros en los programas de correo electrónico para borrar automáticamente el correo basura. Si no se sabe muy bien lo que se hace se pueden perder mensajes que no interesaba filtrar.
* Distribuir el mensaje a otras personas o listas.
* Ignorarlos. Es necesario denunciarlo y para ello debemos colaborar todos los usuarios y responsables del servicio de correo electrónico de cada institución de RedIRIS.

Sí se debe:

* Investigar la dirección del emisor o del responsable de la máquina o del dominio que ha permitido la difusión de dicho mensaje.
* Disponer de dos mensajes tipo en castellano y en inglés, que se utilicen como contenido de la denuncia o queja.
* Si no se quiere hacer nada, mejor que borrarlo es enviárselo al responsable del servicio de correo electrónico de su organización para que sea él quien actúe. La dirección para enviar este tipo de incidentes dentro de tu institución (dominio) debe ser: abuse@dominio.es y si no existe debes recordarle al <postmaster@dominio.es> que lo cree.

Ahora bien ¿cómo localizar las direcciones a las que hay que enviar el mensaje de queja?. Lo más importante es identificar los dominios implicados en la distribución de este tipo de mensajes basura. La mayor parte del correo basura con contenido en castellano no suele utilizar técnicas de falsificación de trazas aunque sí de direcciones, lo que facilita mucho la labor.

Una vez localizados los dominios implicados en la distribución hay que localizar las direcciones de los responsables que por defecto suelen estar en:

* postmaster@dominio.xx
* abuse@dominio.xx donde xx es el top-domain correspondiente (.es, .com, etc.)

Existen varias herramientas (whois, nslookup, etc.) así como direcciones de páginas web que te permiten localizar a los responsables de un dominio. En el caso de un dominio registrado bajo .es se puede consultar el siguiente URL: http://www.nic.es/whois/ .

Pongamos un ejemplo:

Received: from m1smtpsp01.wanadoo.es (m1smtpisp01.wanadoo.es [62.36.220.21])
by chico.rediris.es (8.9.3/8.9.1) with ESMTP id HAA04592
for <perico@rediris.es>; Tue, 8 Feb 2000 07:20:11 +0100 (MET)
Received: from maria.ctv.es (maria.ctv.es [212.25.129.25])
by m1smtpsp01.wanadoo.es (8.9.3/8.9.3) with ESMTP id HAA00488;
Tue, 8 Feb 2000 07:19:01 +0100 (MET)
Received: from default (ctv21225132171.ctv.es [212.25.132.171])
by maria.ctv.es (8.9.3/8.9.1) with SMTP id HAA19285;
Tue, 8 Feb 2000 07:16:16 +0100 (MET)
Message-id: <200002080616.HAA19285@maria.ctv.es>

---[las cabeceras de abajo son las únicas que se suelen ver]----

Date: Tue, 8 Feb 2000 07:16:16 +0100 (MET)
From: jordi <tu@ctv.es>
To: Lista de destinatarios oculta <tu@ctv.es>
Subject:!!!!teletrabajo!!!!

Como se concluye de las cabeceras, este mensaje fue enviado al buzón <perico@rediris.es> que es la víctima, fue emitido desde una dirección del dominio "ctv.es" y por lo tanto utiliza el servidor de ese dominio "maria.ctv.es" y para llegar al destinatario usa otro servidor de correo m1smtpisp01.wanadoo.es.

¿Cómo deberíamos actuar? En primer lugar no enviando nada a la dirección <tu@ctv.es> que se sospecha que está falsificada y a continuación buscando las direcciones de los responsables de los dominios ctv.es y wanadoo.es que serían: postmaster@ctv.es, abuse@ctv.es, abuse@wanadoo.es, postmaster@wanadoo.es además como son dominios ".es" las encontraremos en: http://www.nic.es/whois .

Hay diversos lugares en la red que facilitan mucho toda esta labor. Simplemente enviándoles el mensaje basura que hemos recibido incluidas las trazas localizan los dominios implicados y sus responsables y al final generan de forma automática el envío del mensaje con nuestra queja. Los hay accesibles por correo electrónico, como "abuse.net" o vía Web como "spamcop.net". De todas formas antes de usarlos, es importante saber lo que se hace para evitar enviar mensajes a personas que nada tienen que ver con nuestro problema.

Quizá os preguntéis ¿Cómo han podido conocer mi dirección de correo electrónico? ¿existe algún tipo de legislación que nos proteja del correo no deseado?, ¿qué más se puede hacer además de enviar nuestras quejas?, son temas que se salen de este informe divulgativo. Recordad: No uséis el correo electrónico para las distribuciones masivas, independientemente del contenido, molesta a mucha gente y puede llegar a ser ilegal. No coloquéis en el campo "To:" de un mensaje decenas o cientos de direcciones para difundir algo que os interesa, existen alternativas y vuestros responsables del servicio de correo electrónico os darán las mejores soluciones.

Tope

Esta empresa colabora con el Congreso:

Actualizada: 14/Abr/2000
Colaboraciones aquí: »