Mailinglist Archive: opensuse-es (1156 mails)

< Previous Next >
Re: [suse-linux-s] virus en la lista
  • From: "Carlos E. R." <robin1.listas@xxxxxxxxxx>
  • Date: Wed, 3 Dec 2003 01:01:58 +0100 (CET)
  • Message-id: <Pine.LNX.4.53.0312030002100.4096@xxxxxxxxxxxxxxxx>

El 2003-12-02 a las 17:37 -0000, Luis F. Delgado Bello escribió:

>
> En realidad no logro que me deje descargar los anexos del mensaje, al
> mirar la fuente del mensaje vienen como texto (largas filas de texto sin
> sentido, como si vieras un binario a través de la visualización de un
> editor de texto como vi o algo así.

Puede ser mime o uuencode. Los ficheros binarios por correo electrónico no
viajan nunca como binarios, sino que se convierte a texto por un sistema
predefinido. Uno de los más antiguos es uuencode, pero mime también tiene
el suyo. El netscape 4.7 creo recordar que permite elegir cual de los dos
sistemas se usa.

Y ese es precisamente el motivo por lo que los ficheros anexados en
realidad ocupan bastante más del original, y enviar ficheros grandes por
correo es un desperdicio de recursos de red.

> Es como si fuese una paina web, es
> decir, diseño html, pero los elementos de la página como fotos, sonidos,
> etc, no vendrían como anexos del mensaje para ejecutarse luego todo
> junto, sino incrustado en la fuente misma del mensaje.

Si, también puede ser. O simplemente el html sabe que hacer para cargar el
virus camuflado. No se apenas nada de html, pero me lo sospecho.

> ¿No será ese uno
> de esos famosos virus que aprovechan las vulnerabilidades de Outlock
> express y familia?.

Si, por supuesto.

> en todo caso seguro que tienes razón, pero, ¿no hay
> ninguna información en las cabeceras que me permita ir a por el/la
> xxxxxxxxxxx que me ha enviado el mail?, eso suponiendo que no sea un/a
> pobre infectado/a, pero ¿con ese rémite inventado?...me parece tan
> casual. Saludos.

Esos virus empiezan a mandar correos a toda la carpeta de direcciones del
outlook, con remites inventados o cogidos de la misma carpeta; es decir,
se envia con direcciones existentes en el from y en to, y en algún caso de
gente que conoces; por ejemplo, uno yo no conocía me escribió cabreadísimo
para que dejase de enviarle cosas, y yo no era (era un conocido común): y
me costó convencerle de ello, que el linux no coje virus de esos X-)

Hay otro que imita correos procedentes de M$, diciendo que es un aviso de
seguridad y que instales el parche - seguro que alguien pica :-p

Y hay otros que imitan un rechazo de correo, y que el correo rebotado está
anexado, y que lo pinches... pero claro, el correo anexado no es un correo
anexado de verdad, y al pinchar el outlook lo ejecuta.

Con lo fácil que sería que el outlook se negase a ejecutar ejecutables, o
que al menos avisase que lo que está a punto de abrir el incauto es un
ejecutable, no una foto - y que no admitiese un simple "enter"... En
fin, un coladero de seguridad.

Por cierto, estos virus no usan el outlook para enviar, sino que
implementan su propio servidor smtp. Si tienen conexión permanente,
imaginate la que pueden liar... y que lian.

Supongo que la máquina de donde sale se puede averiguar, estudiando con
cuidado las IPs del servidor siguiente (el de la maquina en cuestion es
camuflado o inventado). A veces se puede ver que todos vienen de unas
pocas maquinas, o de algún cybercafé contaminado: en ese caso, se puede
averiguar quien es el responsable. Una vez recibí unos cuantos de esos de
tipo rebote (reales, creo), procedentes de una empresa de seguridad
informática: les escribí, diciendoles que porqué no se dedicaban a
investigar esos spam-virus... y en unos dias la ola se detuvo. O fueron
ellos o fueron los responsables del cyber.

Hasta ahí es donde puedo llegar, por deducción, y por lo poco que he
leido; pero hay páginas webs que explican estas cosas con gran detalles.

--
Saludos
Carlos Robinson


< Previous Next >