Por Jose Luis Lopez videosoft@videosoft.net.uy He recibido varios mensajes relativos a la identificación del Lithium v1.02 por ciertos antivirus, y creo conveniente aclarar un tema, que me parece importante. Primero que nada, no se trata de algo grave que POR AHORA algunos antivirus (todos los que probamos), no lo detecten, ya que no es un gusano que pueda propagarse masivamente a través del correo electrónico. Solo es un troyano, que como bien dice Marcos Rico en su excelente análisis, sus creadores consideran un R.A.T., o sea una Herramienta de Administración Remota por sus iniciales en inglés (nada más lejos de la verdad). Esto significa que para actúe en la máquina a la que infecta, debe ser ejecutado, o bien por el usuario de ésta (mediante engaños), o bien por el empleo de otro troyano, virus o exploit que lo haga premeditadamente. Las dudas que muchos internautas me han hecho llegar (y que incluso he visto en prestigiosos foros sobre estos temas), es que antivirus como el Norton, KAV y Nod32 (entre otros) si saltan cuando intentamos abrir el paquete del troyano (descargable de su sitio), llamado 'lithium102.zip'. Confieso que cuando Marcos me mandó su artículo para ser publicado, cometí el mismo error, ya que otro colaborador había estado probando su detección. Si leemos detenidamente el artículo de Marcos, esto se encuentra muy bien explicado. Pero mucho cuidado... lo que NO detectan los AV a la fecha es el archivo creado por el paquete que todos parecen haber examinado, sin caer en cuenta que ese es solo el editor/creador del troyano. Respecto a los antivirus, las primeras respuestas recibidas hasta el momento a mi casilla han sido las de 'Per Antivirus' y la de 'The Hacker', dos excelentes antivirus, curiosamente ambos de Perú, y que ya tienen sus productos actualizados. En horas de la madrugada del domingo (5.30), el laboratorio de Panda Antivirus me enviaba su actualización. Dicho en otras palabras, si nos cuelan el servidor del troyano en nuestro PC (Shell32.exe por defecto, un archivito de 20 Kb), ningún antivirus lo detectará (o al menos hasta las 8.30 horas de Uruguay de hoy domingo 21 de julio, solo quienes tengan Per, The Hacker o Panda como antivirus están protegidos). Suponemos que la mayoría de los otros antivirus no consideran a este troyano una amenaza y por lo tanto no tienen aún una respuesta. De todos modos, además de las precauciones habituales (nada de ejecutar cosas que no pedimos, etc.), recomendamos como siempre un cortafuego como ZoneAlarm, que identifica cualquier intento de un troyano como éste al intentar conectarse a Internet. * Cronología:
http://www.vsantivirus.com/21-07-02.htm VSantivirus No. 743 - 20/jul/02 Per Antivirus http://www.perantivirus.com/ The Hacker software antivirus http://www.hacksoft.com.pe/ Zone Alarm - El botón rojo que desconecta su PC de la red (c) Video Soft - http://www.videosoft.net.uy
|
