|
Expertos
y firmas antivirus proponen soluciones concretas para evitar
los efectos
El
virus de correo electrónico W32. SirCam se multiplica a la
semana de su
aparición paralizando empresas y bloqueando equipos de
usuarios
IBLNEWS /
REDACCIÓN -
El W32.SirCam se ha erigido ya,
transcurrida una semana desde su aparición, en el virus más
destructivo de cuantos han pululado por la Internet hispana durante
este año. Servidores y cuentas de correo colapsadas, archivos del
disco duro borrados, revelación de información confidencial en el Asunto
o Subject de los mensajes... caótica situación, en
definitiva, en los PCs de particulares y empresas. El lunes
23, en el día de regreso a las oficinas tras el fin de semana, la
propagación del virus provocó una gran parálisis, como anticipó IBLNEWS,
y veinticuatro horas después, la epidemia no sólo no remite
sino que se expande. El aviso, repetido por activa y pasiva de no
abrir ningún archivo adjunto que viene por correo, no ha sido
aplicado por numerosos usuarios, y de ahí, el efecto multiplicador.
Los autores del virus, cuya autoría se desconoce, han
conseguido engañar a miles de personas, utilizando un triple ardid:
un remitente conocido, un título de asunto verosímil (al estar extraído
del nombre de ficheros personales) y un texto en español
convencional, aunque con errores ortográficos (lo que delata la
incultura lingüística de sus programadores), que, en la mayoría de
los casos y cuando está escrito en español, señala textualmente:
"Hola como estas. Te mando este archivo para que me des tu punto
de vista. Nos vemos pronto, gracias". Los afectados de este virus
tipo gusano son los usuarios del gestor de correo Outlook Express, que
es la gran mayoría.
Ayer, martes 24, Panda Software, la multinacional española que
mejor maneja su marketing ante este tipo de alertas, señalaba en un
comunicado que "W32.SirCam es la segunda mayor epidemia de virus
después de LoveLetter". Este virus, conocido como Virus del
Amor, desplazó, en 2000, en efectos destructivos y atención mediática,
al famoso "Melissa" y a "Navidad". Panda informaba
que había detectado 4.000 situaciones de infección,
"paralizando la actividad de numerosas compañías en España",
y anunciaba que "el antídoto puede descargarse en la
página web o utilizando el antivirus online ActiveScan".
El
peso de los mensajes adjuntos, de hasta 3 MB, impide bajar el
correo
Los expertos
consultados dejaban claro que disponiendo de un antivirus de calidad
actualizado no había ningún peligro de infección. En todos los
casos, insistieron en borrar todo mensaje de correo con archivos
sospechosos, tanto en la Bandeja de entrada como en la carpeta Elementos
Eliminados. De este modo, podía evitarse la infección del propio
disco duro y el efecto propagador de enviar un archivo maligno a todos
los contactos de la libreta de direcciones del Outlook. El texto del
mensaje iba mutando, para así engañar mejor a los usuarios, y a última
hora del día se encontraban frases más persuasivas (siempre sin
acentos, para evitar incompatibilidades informáticas): "¿Hola
como estas? Te mando este archivo para que me des tu punto de vista.
Espero que me puedas ayudar con el archivo que te mando". O bien:
"Este es el archivo con la información que me pediste".
El fichero adjunto al mensaje tiene una doble extensión y
puede llegar a ocupar más de 3 MB (aunque la mayoría ocupan entre
200 y 300 KB), lo que bloquea por completo el buzón de un usuario con
una conexión telefónica doméstica. La extensión (o sufijo) del
archivo en cuestión puede ser .BAT, .COM, .EXE o LNK, entre otras.
Como recordaba Panda, que ayer preparó un sitio web especial al
efecto, http://sircam.pandasoftware.com,
"SirCam modifica el registro de Windows, de tal forma que asegura
su presencia en el equipo infectado cada vez que se ejecute un archivo
.EXE. En ciertas ocasiones, el gusano crea un fichero y comienza a
escribir texto en él hasta ocupar todo el espacio disponible en el
disco duro. Adicionalmente, otra de las acciones que puede llevar a
cabo este virus es la eliminación de toda la información del disco
duro".
Ideas
prácticas como utilizar Pegasus, emplear Telnet, cambios de fecha en
el PC...
¿Soluciones concretas? Claudio
Hernández, de IBLNEWS, escribía
un completo artículo, reproducido
en la edición del día, apuntando, entre otras ideas, la sugerencia
de utilizar el gestor de correo Pegasus,
el cual permitirá bajar sólo las cabeceras de los mensajes antes de
abrir Outlook. Si éstos son superiores a 130 KB y se reconocen como
posibles virus, se pueden eliminar desde Pegasus. Otra idea sencilla
es emplear el Telnet de Windows. "Con Telnet podrá hacer un
listado de su correo y eliminar directamente el gusano Sircam",
escribe el experto, al tiempo que aporta una explicación más
detallada en el mencionado
artículo.
Algunos participantes en el foro de debate de IBLNEWS también
han expuesto sugerencias. Así, Mauro proponía
"si usted tiene el virus y no sabe cómo desactivarlo, entre al
panel de control y cambie el formato de su fecha a dd/mm/aa. Ya con
eso no habrá propagación, aunque deberá conseguir un antivirus
tarde o temprano". En su mensaje en El Debate, tiene ocasión de
defender la idea de que el virus no es de origen hispano: "Es
importante hacer notar que aunque el virus SIRCAM puede llegar en español,
argumentando que fue hecho en México Michoacan, esto no es cierto, ya
que solamente fue modificado al inglés. El porqué es que el virus
para funcionar correctamente asume que las fechas están por default
en mm/dd/aa cosa que no sucede en las computadoras en México pero si
en Estados Unidos, Chile, etc. etc.".
Panda
Software sugiere una utilidad para usuarios con PCs infectados
Por su parte, Panda
Software, cuyo negocio es la venta de programas antivirus, también se
esforzó en proponer una solución, según
la nota de prensa reproducida en el especial sobre el caso en IBLNEWS:
"Si un usuario se ha visto afectado por el virus Sircam (o tiene
sospechas de ello) pero su ordenador no ha quedado bloqueado, lo único
que tendrá que hacer será descargarse la utilidad PQREMOVE,
que, desde la página web de Panda
Software, se pone a disposición gratuita de todos los afectados,
y ejecutarla en su ordenador para limpiar este virus".
"En el caso de aquellos usuarios -prosigue- que no puedan
acceder normalmente a su sistema ni a Internet, debido a los efectos
del virus, la opción más recomendada es que consigan descargarse la
utilidad PQREMOVE desde otro ordenador que no esté infectado, la
copien en un disquete y a continuación la ejecuten en su
ordenador". En paralelo, Panda indicó que "sólo
en el caso extremo de usuarios afectados por el virus que no puedan
acceder a Internet, y tampoco tengan la posibilidad de descargar el
PQREMOVE desde otro ordenador, se deben realizar los siguientes pasos:
1. Desde el escritorio,
pinchar en Inicio, Ejecutar, escribir "command.com" y
pinchar en aceptar.
2. Escribir "cd\windows" y pulsar Enter. ("cd\winnt"
en el caso de sistemas NT o 2000)
3. Escribir "copy regedit.exe regedit.com" y pulsar
Enter
4. Escribir "regedit.com" y pulsar Enter. Se abrirá
el editor del registro.
5. Navegar a HKEY_CLASSES_ROOT\Exefile\Shell\open\command
dentro del editor del registro.
6. Encontrará una clave llamada "Predeterminado" con
el siguiente valor: "C:\recycled\Sirc32.exe" "%1"
%*
7. Hacer doble click en la entrada y borrar la primera parte
para que quede de la siguiente manera: "%1" %*
8. Pinchar en "Aceptar" y cerrar el Editor del
Registro. Una vez
realizados estos cambios, ya podrá acceder a Internet sin tener que
reiniciar el ordenador; a continuación, descárguese el fichero http://updates.pandasoftware.com/pqremove/pqremove.com
y ejecútelo".
Bernardo Quintero, de Hispasec, fue uno de los primeros
expertos en percatarse de los efectos del virus. Ya el miércoles 18,
describía, en un completo reporte, cómo se comportaba técnicamente
el virus, al tiempo que proporcionaba una serie de informaciones útiles.
También el mismo día, el boletín de AVP, uno de los creadores de
antivirus con más predicamento en la comunidad internauta, lanzaba
una edición especial, describiendo al detalle los destrozos que
causa el SirCam. Esta marca era más prudente a la hora de insistir en
las soluciones de su antivirus.
¿Cuál
es tu experiencia concreta con este virus? Difunde tu punto de vista
Las
últimas noticias del día sobre Internet y las nuevas tecnologías
en IBLNEWS
|
