Skype, gusanos, troyanos, y el enemigo de siempre
Por Jose Luis Lopez (*)
[email protected]
Esta semana se han publicado algunas noticias respecto a una
nueva amenaza que afectaría a usuarios del popular Skype, la
aplicación VoIP (Voice Over IP) que permite conexiones vía
voz, webcam, mensajería instantánea, chat, etc. entre
usuarios del propio programa.
Sin embargo, en algunos casos se ha creado alguna confusión
respecto a la naturaleza de la amenaza, ya que
específicamente no se trata de un malware que se propague
utilizando vulnerabilidades o características específicas de
Skype, al menos no de forma automática.
Algunos investigadores incluso han preferido catalogarlo como
troyano en lugar de gusano, justamente por su falta de "auto
propagación".
El tema es que el gusano (detectado como Win32/Skyperise.A
desde octubre de 2006 por ESET NOD32 y otros productos
antivirus), requiere la acción específica del usuario para
poder realizar su acción.
Su comportamiento es muy similar al de otros gusanos o
troyanos que se aprovechan de programas de mensajería
instantánea, como los famosos Banker (entre otros), que se
presentan como enlaces en mensajes que llegan a esas
aplicaciones (Messenger, AOL y otros). Hasta que el usuario
no haga clic sobre el enlace y descargue y ejecute el archivo
ofrecido, no se produce la infección.
En el caso del gusano de Skype, la confusión se originó por
una alerta de la empresa de seguridad Websense, donde se
especificaba que el malware utilizaba el chat de la
aplicación para propagarse automáticamente. Se aconsejaba a
los usuarios a ser cuidadosos con los mensajes recibidos, ya
que podían descargar un archivo llamado SP.EXE (este es el
primer nombre reportado). SP.EXE es detectado como
Win32/Elife.A por NOD32, aunque el sitio de descarga ya ha
sido clausurado.
Esta noticia fue ampliada por otros medios, donde se llegó a
aventurar que se trataba de un gusano que utilizaba las
características de Skype para propagarse automáticamente.
El propio Websense corrigió su alerta poco después,
catalogando la amenaza como troyano, y no como gusano.
El nuevo aviso especifica que luego de consultas con el
equipo de seguridad de Skype, se llegó a la conclusión que el
malware en realidad no utiliza ninguna vulnerabilidad o
característica no deseada del programa para propagarse. El
usuario final recibe la notificación de que un ejecutable
está solicitando acceso, y por lo tanto debe ser
específicamente autorizado para ejecutarse.
Claramente, es un clásico problema de usuario, uno grande por
cierto, pero que afecta no solo a un programa sino a toda la
informática. Por más barreras de seguridad que se coloquen,
si el usuario acepta una solicitud para recibir o ejecutar un
archivo (sea un adjunto o un enlace no solicitado), está
dejando poco o ningún margen para que su software de
seguridad lo proteja.
De todos modos, es importante recordar que la tecnología de
"Voz sobre IP", que permite la transmisión de la voz a través
de redes IP (Internet Protocol), utilizando paquetes de
datos, tiene las mismas probabilidades que otros medios más
tradicionales (como el correo electrónico), para ser afectada
por ataques específicos. De hecho, tiene las mismos problemas
de seguridad que presenta la mensajería instantánea, sobre
todo en entornos corporativos, y esto es muy importante
recordarlo.
Es en esos escenarios, en que la educación al usuario debe
ser una de las estrategias más importantes a tener en cuenta,
a la hora de planificar las políticas de seguridad más
eficientes.
Y la primera regla de esas políticas, debería ser la de no
abrir adjuntos no solicitados, ni hacer clic sobre enlaces
que no han sido pedidos, sin importar en ningún caso el
remitente.
* Referencias:
Skyperise.A. Se propaga a través de mensajes de Skype
http://www.vsantivirus.com/skyperise-a.htm
Elife.A. Usa ingeniería social y el programa Skype
http://www.vsantivirus.com/elife-a.htm
* Relacionados:
No descuidemos la seguridad en los sistemas VoIP
http://www.vsantivirus.com/04-12-04.htm
VoIPhreaking, nueva amenaza a la seguridad en VoIP
http://www.vsantivirus.com/na-voiphreaking.htm
"Crackean" el protocolo de Skype (Mercè Molist)
http://www.vsantivirus.com/mm-skype-cracked.htm
El "phishing" se extiende al teléfono (Mercè Molist)
http://www.vsantivirus.com/mm-phishing-telefonico.htm
Fuente: http://www.vsantivirus.com/21-12-06.htm
____
[email protected]
Esta semana se han publicado algunas noticias respecto a una
nueva amenaza que afectaría a usuarios del popular Skype, la
aplicación VoIP (Voice Over IP) que permite conexiones vía
voz, webcam, mensajería instantánea, chat, etc. entre
usuarios del propio programa.
Sin embargo, en algunos casos se ha creado alguna confusión
respecto a la naturaleza de la amenaza, ya que
específicamente no se trata de un malware que se propague
utilizando vulnerabilidades o características específicas de
Skype, al menos no de forma automática.
Algunos investigadores incluso han preferido catalogarlo como
troyano en lugar de gusano, justamente por su falta de "auto
propagación".
El tema es que el gusano (detectado como Win32/Skyperise.A
desde octubre de 2006 por ESET NOD32 y otros productos
antivirus), requiere la acción específica del usuario para
poder realizar su acción.
Su comportamiento es muy similar al de otros gusanos o
troyanos que se aprovechan de programas de mensajería
instantánea, como los famosos Banker (entre otros), que se
presentan como enlaces en mensajes que llegan a esas
aplicaciones (Messenger, AOL y otros). Hasta que el usuario
no haga clic sobre el enlace y descargue y ejecute el archivo
ofrecido, no se produce la infección.
En el caso del gusano de Skype, la confusión se originó por
una alerta de la empresa de seguridad Websense, donde se
especificaba que el malware utilizaba el chat de la
aplicación para propagarse automáticamente. Se aconsejaba a
los usuarios a ser cuidadosos con los mensajes recibidos, ya
que podían descargar un archivo llamado SP.EXE (este es el
primer nombre reportado). SP.EXE es detectado como
Win32/Elife.A por NOD32, aunque el sitio de descarga ya ha
sido clausurado.
Esta noticia fue ampliada por otros medios, donde se llegó a
aventurar que se trataba de un gusano que utilizaba las
características de Skype para propagarse automáticamente.
El propio Websense corrigió su alerta poco después,
catalogando la amenaza como troyano, y no como gusano.
El nuevo aviso especifica que luego de consultas con el
equipo de seguridad de Skype, se llegó a la conclusión que el
malware en realidad no utiliza ninguna vulnerabilidad o
característica no deseada del programa para propagarse. El
usuario final recibe la notificación de que un ejecutable
está solicitando acceso, y por lo tanto debe ser
específicamente autorizado para ejecutarse.
Claramente, es un clásico problema de usuario, uno grande por
cierto, pero que afecta no solo a un programa sino a toda la
informática. Por más barreras de seguridad que se coloquen,
si el usuario acepta una solicitud para recibir o ejecutar un
archivo (sea un adjunto o un enlace no solicitado), está
dejando poco o ningún margen para que su software de
seguridad lo proteja.
De todos modos, es importante recordar que la tecnología de
"Voz sobre IP", que permite la transmisión de la voz a través
de redes IP (Internet Protocol), utilizando paquetes de
datos, tiene las mismas probabilidades que otros medios más
tradicionales (como el correo electrónico), para ser afectada
por ataques específicos. De hecho, tiene las mismos problemas
de seguridad que presenta la mensajería instantánea, sobre
todo en entornos corporativos, y esto es muy importante
recordarlo.
Es en esos escenarios, en que la educación al usuario debe
ser una de las estrategias más importantes a tener en cuenta,
a la hora de planificar las políticas de seguridad más
eficientes.
Y la primera regla de esas políticas, debería ser la de no
abrir adjuntos no solicitados, ni hacer clic sobre enlaces
que no han sido pedidos, sin importar en ningún caso el
remitente.
* Referencias:
Skyperise.A. Se propaga a través de mensajes de Skype
http://www.vsantivirus.com/skyperise-a.htm
Elife.A. Usa ingeniería social y el programa Skype
http://www.vsantivirus.com/elife-a.htm
* Relacionados:
No descuidemos la seguridad en los sistemas VoIP
http://www.vsantivirus.com/04-12-04.htm
VoIPhreaking, nueva amenaza a la seguridad en VoIP
http://www.vsantivirus.com/na-voiphreaking.htm
"Crackean" el protocolo de Skype (Mercè Molist)
http://www.vsantivirus.com/mm-skype-cracked.htm
El "phishing" se extiende al teléfono (Mercè Molist)
http://www.vsantivirus.com/mm-phishing-telefonico.htm
Fuente: http://www.vsantivirus.com/21-12-06.htm
____
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!