REDACCIÓN, IBLNEWS - Según denuncian en Hispasec,
trataron de ponerse en contacto con el CATA a lo largo de todo el día de ayer
para informarles del problema, sin obtener respuesta por parte del organismo
público.
Por ello, decidieron publicar un aviso en su página web en el que se advertía a
los usuarios de la posible infección. Según cuentan, esta mañana en la página
del CATA apareció durante quince minutos un aviso en el que resaltaban en
negrita: "DESMINTIENDO lo publicado por Hispasec", negando el hecho.
Desde Hispasec, según informan, se pusieron en contacto con varios colegas del
sector y al fin el CATA rectificó quitando la nota. Ahora hay un aviso en el que
reconocen que existe un gusano enviado a nombre del CAT, aunque no dicen que
éste se haya distribuido desde su lista de correo.
El aviso del CATA dice lo siguiente:
"Sobre las 12:20h de ayer, sábado 30/01/04, se detectó el
envío de correos que suplantan la identidad del Centro de Alerta Temprana
Antivirus "[email protected]" a suscriptores de nuestro informe intermedio
en el que se incluye un fichero adjunto que contiene el virus Sober.C
Si recibe un mail desde la dirección mencionada incluyendo un adjunto, no abra
el correo y proceda a su eliminacion.
El Centro informa a todos sus suscriptores, que sus listas de distribución de
informes se encuentran suficientemente protegidas y a salvo de posibles
atacantes que pudieran utilizarlas para el envío de correos infectados o con
virus en ficheros adjuntos.
En este sentido el CATA recuerda a sus suscriptores que nunca envía ficheros
adjuntos en sus informes, y siempre en Español, nunca en otros idiomas. Esta es
la segunda ocasión, desde el pasado mes de septiembre, en la que se intentan
suplantaciones de las direcciones de correo del Centro."
Sin embargo, varios usuarios han colgado en algunos foros la ruta que han
seguido los e-mails infectados, lo que demostraría que en efecto éstos han
salido de los servidores del CATA, lo cual podría implicar un fallo en la
configuración de su lista de correo.
En su aviso, Hispasec asegura que "las cabeceras del
mensaje indican que el origen del mensaje puede ser una IP que corresponde a una
ADSL de Telefónica, probablemente un usuario infectado por el gusano. La
hipótesis que se maneja de momento es que un error en la configuración del
sistema de moderación y publicación de las listas del CATA ha podido causar que
el mensaje, una vez recibido por el servidor del CATA, haya sido distribuido a
todos sus suscriptores como un envío legítimo."
El mensaje en cuestión es un aviso en inglés con un mensaje adjunto. Desde el
CATA advierten a sus susriptores de que ellos exclusivamente envían mensajes en
español y que nunca envía ficheros adjuntos en sus informes. Por tanto, si se
recibe un correo de estas características proveniente del CATA, se recomienda no
abrirlo.
El mensaje es el siguiente:
hi, I am from Austria and you'll don't believe me,
but a trojan horse in on your pc.
I've scanned the network-ports on the internet. (I know, that's illegal)
And I have found your pc. Your pc is open on the internet for everybody!
Because the lsass.exe trojan is running on your system.
Check this, open the task manager and try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!
On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!
Sorry for my bad english!
El mensaje viene con un fichero adjunto (remove-Isass-patch.exe), que es en
realidad una copia del gusano Sober C.
|