Hace poco me llegó un mensaje con el texto tÃpico de transporte de virus: “una tarjeta para usted, bla, bla, bla”.
En este caso el truco era que no habÃa adjunto, sino un link que abrÃa una página de esas del estilo de rapidshare que tenÃa un archivo llamado “amor.rar”. Obviamente que para cualquier persona con mÃnima experiencia, eso es un virus, troyano o cualquier otro tipo de código malicioso.
Bien, dije, vamos a probar el antivirus (está actualizado al dÃa), asà que le hice clic y lo bajé al escritorio. Nada, ni un alerta. Ok. dije debe ser porque está comprimido. Lo descomprimà y dejé el ejecutable “amor.exe.exe” en el escritorio. Nada. Mi antivirus no dijo ni “mu”.
Asà que me puse en campaña: Encontré esta excelente página que recopila las direcciones de correo para enviar virus de las principales casas antivirus, elegà a las de español, comprimà al ejecutable dentro de un zip y se los envÃe por email a Sophos, PER antivirus, Panda, Nod32 y a Bitdefender.
Las respuestas por orden de llegada:
Nod32: El archivo adjunto que nos envió contenÃa una infección provocada por una variante modificada de (Troyano) Win32/Spy.Banker.AHY
Fue la primer respuesta, pero la más preocupante: Tengo el NOD32 instalado y actualizado!
BitDefender: Según nuestro análisis no se trata de ningún virus.
Que miedito, ¿no?. Si me guiara por esa información le podrÃa dar doble-clic… Brrr… Les respondà si esa era su respuesta final porque otras casas antivirus dieron positivo en el análisis. Veremos que dicen.
PER Antivirus: Ya esta disponible la actualizacion de PER ANTIVIRUS que detecta y elimina la muestra de virus enviada. Le recomendamos que actualice ahora el antivirus y explore toda la PC.
Una respuesta genérica, informan que es un virus, pero no dicen cuál es.
Panda: El fichero Amor.exe.exe pertenece al troyano Trj/Banbra.BWJ, dadas las caracterÃsticas del mismo tan sólo es posible eliminarlo. Para eliminar y protegerse del Trj/Banbra.BWJ realice las siguientes acciones: (…)
Definitivamente la mejor respuesta: no sólo me identifican al troyano, sino que también me informan cómo eliminarlo sin la obligación de comprar su producto.
¿Mi conclusión? USAR EL SENTIDO COMÚN. No abrir archivos que parezcan sospechosos y pensar dos veces antes de hacer clic.
Para entendidos, acá tienen el virus, está comprimido con password “virus”. Prueben sus antivirus.
Che yo por las dudas ni lo toco a tu virus…a ver si todavia mi “AVAST”, no lo capta y chau compu….con lo madera que soy a ver si x hacerme la viva…me quedo sin compu….jajajja!!!!
8 de Marzo de 2006 a las 11:14 pmBesitos…
¿En qué quedamos, eh?
8 de Marzo de 2006 a las 11:23 pmEs el Win32/Spy.Banker.AHY modificado tal como lo informa NOD32…
o es una variante del Trj/Banbra.BWJ que detectó Panda.
Los dos no pueden serlo, por lo tanto, por lo menos uno de ellos está en un error (falso positivo – verdadero positivo, no importa).
¿Y la tan mentada heurÃstica?
Me dejaste “un poquito” muy preocupado… evidentemente no se puede confiar ciegamente en ningún antivirus.
Sentido común también es bajarle un par de cambios al mouse, no sea cosa que por ir a 200 por hora, hagamos un doble click donde nunca deberÃamos haberlo hecho. :-(
Curioso… lobaje, lo descomprimi y mi AVG free edition no dijo nada… entonces le ordene mediante boton derecho que haga analisis al amor.exe.exe y la frutilla de la torta aparecio… me dijo “virus not found”. De todas maneras estoy en mi notebook que no la tengo demasiado para revisar archivos extraños sino mas bien como estacion ortatil de trabajo.
8 de Marzo de 2006 a las 11:34 pmMañana lo pruebo en mi pc de escritorio que tengo McAfee (truchado) y les cuento lo que paso.
lo escanee con el Norton antivirus y nada.
y se me ocurrió mandarmelo a la cuenta de Gmail. bueno les dejo esta capturita , jejeje.
nos vemos EEAPP
link: http://img324.imageshack.us/img324/9599/virusrar9nd.jpg
9 de Marzo de 2006 a las 12:40 amyo lo voy a enviar a virustotal, alli si me dicen bien que es
Yo soy un virus, mi primera cosa fue bajar el virus para checarlo jajajaj, se ve qu me hace falta sentido común, pero sobre advertencia no hay engaño.
por lo pronto, Nod32 si me lo detecto, y lo marca como lo pones (Win32/Spy.Banker en winxp). pero lo marca como probable y a cuarentena (NOD32 version 1.1435 (20060308) NT)
9 de Marzo de 2006 a las 1:19 amY a este post lo podrÃamos calificar como otra variante del mismo virus, ya que con un sólo click podés bajarlo y ejecutarlo :P
9 de Marzo de 2006 a las 1:26 amPara bajar el archivo, comprimido en un rar, se necesita introducir una contraseña, con esa contraseña descomprimir para ejecutar, osea,varios clicks e introduccion de info especifica, y viene la advertencia y el archivo del virus es virus, por tanto, manjarlo con cuidado, pero es seguro de manejar.
Ahora lo que sigue, kaspesky es la mejor casa antivirus, de eso no tengo duda, y kaspesky si lo marca como virus, por tanto… es un virus.
AntiVir 6.34.0.53 03.08.2006 no virus found
Avast 4.6.695.0 03.08.2006 no virus found
AVG 718 03.08.2006 no virus found
Avira 6.33.1.53 03.07.2006 no virus found
BitDefender 7.2 03.09.2006 no virus found
CAT-QuickHeal 8.00 03.08.2006 (Suspicious) – DNAScan
ClamAV devel-20060126 03.09.2006 no virus found
DrWeb 4.33 03.08.2006 Trojan.PWS.Banker.based
eTrust-InoculateIT 23.71.97 03.09.2006 no virus found
eTrust-Vet 12.4.2110 03.08.2006 no virus found
Ewido 3.5 03.09.2006 Logger.Banker.ark
Fortinet 2.71.0.0 03.09.2006 Spy/Bancb
Ikarus 0.2.59.0 03.08.2006 Trojan-Spy.Win32.Banker.ARK
Kaspersky 4.0.2.24 03.09.2006 Trojan-Spy.Win32.Banker.ark
McAfee 4713 03.08.2006 New Malware.n
NOD32v2 1.1434 03.08.2006 probably a variant of Win32/Spy.Banker.AHY
Norman 5.70.10 03.08.2006 no virus found
Panda 9.0.0.4 03.08.2006 Suspicious file
Sophos 4.03.0 03.08.2006 Troj/Bancb-Fam
Symantec 8.0 03.09.2006 no virus found
TheHacker 5.9.5.110 03.09.2006 Trojan/Spy.Banker.ark
UNA 1.83 03.07.2006 no virus found
VBA32 3.10.5 03.09.2006 Trojan-Spy.Win32.Banker.ark
fatlta el fprot :-P, ese lo checo ahorita y digo si lo reconoce, por mientras, a todas esas casas fue enviado el archivo.
9 de Marzo de 2006 a las 1:54 amproblema con mi sentido común: están los que inventan virus, y están esos a los que les encantan .)
9 de Marzo de 2006 a las 2:18 amque raro… a mi el NOD me lo detecto y, porque asà lo tengo configurado, lo borró directamente (no hay manera de extraerlo del rar, dura “nada” en el escritorio).
Saludos, Ignacio.
9 de Marzo de 2006 a las 8:42 amChozus!! me arrancaste una carcajada: tenés razón!
Por lo que veo, acá hay varios a los que nos gusta jugar con estos bichitos y probar nuestros antivirus.
Según el informe de VirusTotal (buen dato, Toño!) se tratarÃa de una nueva variante… supongo que en un par de semanas los demás antivirus estarÃan dando positivo a lo que parecerÃa ser una versión de un Troyano (no tanto un virus, sino una suerte de spyware).
El Nod32 de mi casa no lo detectó, quizás sea porque es una versión vieja que no analiza “malware” en general, como si lo hacen las nuevas generaciones de antivirus que revisan troyanos, spyware, hijacking, spam y otras nuevas formas de maldad. :)
9 de Marzo de 2006 a las 2:27 pmHola amigos, recién instalé la última versión del Nod32 y encuentra al Troyano. TenÃa una versión vieja que, aunque su base de firmas de virus estaba al dÃa, no detectaba al troyano. Asà que confirmo el último párrafo de mi último comentario.
9 de Marzo de 2006 a las 7:08 pmCuando aprenderá esta gente… hace bastante tiempo que no tengo que preocuparme por usar antivirus. Exactamente desde que uso Linux!
9 de Marzo de 2006 a las 7:46 pmje, yo uso linux. si quieren saco a pasear el bicho ese por todo el sistema operativo, pobrecito necesita un poco de cariño y alimento balanceado, nada mas!
9 de Marzo de 2006 a las 7:53 pmlo increible es que uso debian y a mi se me hace mas sencillo, mas bonito, mas potente y má seguro que windows, me extraña que no seamos la mayoria quienes lo usamos.
9 de Marzo de 2006 a las 9:29 pmCuando Macromedia haga programas para linux, me llaman, ok?
Cuando tengan hijos que quieran jugar también ;).
Mientras tanto sigan actualizando SOs…(no conozco a ningún linuxero que por lo menos no haya cambiado 5 veces de sistema, de distribución, de GUI o de lo que quieran llamarlo).
Ojo, me simpatiza el pingüinito, pero todavÃa falta muchachos. (uh, se armó).
9 de Marzo de 2006 a las 10:24 pmYo por suerte no sufro de esa manÃa de actualización, sigo con el mismo linux que instalé como hace un año. Será por eso que me dicen linuxero trucho. Es más, me gustan las distribuciones facilongas que vienen listar para usar.
Para algunas cosas le falta al pingüino, como bien decÃs, pero en mi caso sobra.
9 de Marzo de 2006 a las 11:05 pmyo te imaginarás que soy cero fierrera. a mi me pusieron el debian hace más de dos años y jamás le metà un dedo. “no hay que reinstalarlo” cada 6 meses para que funcione bien. Lo unico que hice fue instalarle algunas fuentes más entretenidas.
9 de Marzo de 2006 a las 11:27 pmY si, es cierto que para el diseño es un bajón, aunque el gimp está muy bueno. De todas maneras, como suelen decir los nerds con los que me junto, “no te quejes de lo que no está hecho, agarrá y ponete a hacerlo”. o algo asi.
:) cariños!
El gimp! el Gimp!! con esa interfase “todo-suelto”, lo instalé tres veces y tres veces lo desinstalé hichado las pelotas por esos pedazos de pantalla por todo el escritorio…
Si si, ya sé, todo es cuestión de costumbre.
Algo que en linux se le acerque al dreamweaver, un toquecito nomás, y me paso prometo! (y no me vengan con emuladores ni esas cosas que no tengo una supermáquina de procesamiento paralelo).
Luego, ya me imagino: papi, porque no puedo jugar al pindrolex? Porque es Open Source, querido porque es Open Source, GNU, Freeware y todas esas siglas pogeekitamente correctas. :P
10 de Marzo de 2006 a las 12:24 am[...] ¿Qué sucedió?, ¿Que le respondieron?. Bueno, lean el texto completo del artÃÂculo, junto a los comentarios de sus lectores. [...]
10 de Marzo de 2006 a las 2:09 amde desvirtuo el tema, se volvio mas cargado a lado de versiones de linux que a lo dedicado de los virus, caramba !! jejejejejeje
10 de Marzo de 2006 a las 5:51 pmBueno, lo que voy a decir va a parecer raro pero: el NOD32 no me lo detectó (y eso que tiene la base de virus de hoy :S) aún asÃ, quien si lo detecto fue el: WINDOWS DEFENDER me lo detecto como Glacier y lo voló :D
14 de Marzo de 2006 a las 10:31 pmDe Bit Defender:
“Enviamos el archivo a nuestros Laboratorios y efectivamente está infectado por la variante de virus: Trojan.Spy.Banker.ARK.
Rogamos disculpe la anterior respuesta en la que todavÃa no se habÃa añadido dicha firma de virus en nuestros motores y gracias por su colaboración e interés.”
(respuesta a mi mensaje pidÃendoles que revisen su primer opinión)
14 de Marzo de 2006 a las 10:43 pmAca les dejo este link, esta bastante copado, analiza con un monton de antivirus al mismo tiempo el archivo que suban… Como siempre Luis, excelente tu nota.
Bye y suerte
http://virusscan.jotti.org/
23 de Marzo de 2006 a las 5:12 pmMcAfee VirusScan Enterprise Edition 8.0.0 con Engine 4400 y definiciones 4736 lo detecta como Generic PWS.s Troyano y lo elimina automaticamente. La verdad que este AV me funciona muy bien y tiene una opción para analizar adjuntos con varias extensiones como archivo.jpg.exe
7 de Abril de 2006 a las 9:52 pmTengo instalado el AVG free, cuando descomprimà el virus.rar me lo detectó.
22 de Agosto de 2006 a las 4:23 pmLisandro, ese post es del 8/3/2006 supongo que ahora todos los antivirus detectan a este bicho.
22 de Agosto de 2006 a las 6:21 pm[...] Hoy me he dado otra vueltecilla haciendo la misma pregunta, y he leÃÂdo este artÃÂculo: “El sentido común, el mejor antivirus“, y qué razón llevas, si nos paramos un poco a pensar no deberÃÂamos preocuparnos tanto por el antivirus y sàpor las acciones que realizamos y es que “el sentido común” ha funcionado siempre. [...]
31 de Agosto de 2006 a las 11:20 amSi de NOD32 te contestaron que lo detectaban bajo ese nombre y tu antivirus no lo detecto, entonces tu antivirus no estaba actualizado, sino, no hay otra respuesta. Habra que ver si tenias activado absolutamente todo lo relacionado a heuristica.
27 de Octubre de 2006 a las 7:41 pmKaspersky lo detecta y elimina de inmediato. Para mi el mejor con diferencia
eliminado: programa troyano trojan-Spy.Win32.Banker.ark
14 de Diciembre de 2006 a las 3:37 pmPor favor amigos, el tema tiene 9 meses ahora hasta mi tÃa detecta al virus. :P
14 de Diciembre de 2006 a las 4:00 pmgente dos cosas
8 de Febrero de 2007 a las 11:04 pmel mejor antivirus es el LEAN BIEN
NOD32 2.50 O 51 ES LO MISMO detecta todos ls virus con o sin actualizaciones y ocupa pokos recursos.
Y en otro caso eh echo prueva desistemas operativos y eh llegado a la conclusion de que windows xp es el mejor de todos ni linux ni nadie lo supera por varas razones..
1.esta optimizado para juegos
2.esmas estable mucho mas estable quelinux no lo pueden negar en linux borras algo importante y chau sistema enseguida tenes errores en windows para usuarios no experimentados eso no pasa…ok??
3.el windows es mucho mas grafico y tiene muchos mas programas mejores ..y echos para windows…
en conclusion si sabes de informatica y queres teer lo mejor de lo mejor sin sifrir con los virus
ponete windows xp o vista y el antivirus NOD32 2.50 O 51 y de antispyware e adaware con esa conbinacion no falla ..
son todos unos bolu tengo que instalar un antivirus y las respuestas me dejaron en bolas,como dijo uno la voy a poner a mi tia que es mas rápida que la luz y no se le pasa una y listo ,chau “genios”
25 de Marzo de 2008 a las 1:54 pmbueno yo lo pase con el per x4 y detecto el virus trojan/banker.ary lo elimino automaticamente…..
11 de Abril de 2008 a las 10:35 pmSimplemente debiste probar el virus en una máquina virtual cosa que si se infecta el guest no le pasa nada al host. Cosa muy sencilla. Ten esto en cuenta la próxima vez novatillo.
15 de Agosto de 2008 a las 3:11 pmOtro lenteja que no ve la fecha del post. Mejor cierro los comentarios acá, siempre cae algun Patonauta que deja comentarios descolgados.
15 de Agosto de 2008 a las 3:17 pm