From: Joaquin Franco (iris@interec.com)
Date: Fri 30 Jan 2004 - 10:35:24 CET
<http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3544>
Estimados amigos y clientes:
Desde el pasado dia 27 el virus conocido como MyDOOM ( o tambien con otros
nombres como mimail ) se ha difundido enormemente por Internet.
Este mensaje no pretende añadir mas información sobre el mismo, ya que
en estos
dos ultimos dias consideramos que toda la información volcada a la red y
por
los medios de comunicaciones son mas que suficientes.
Tan solo informaros que nuestro sistema ANTI-SPAM tambien FILTRA este
y otros virus dañinos.
El sistema ANTI-SPAM esta incorporado en los nuevos servidores de correo
para todos aquellos clientes que lo tengan contratado y su servidor de
correo
apunte a la nueva entrada MX.
Este sistema NO tirara sus correos filtrados a la basura hasta despues
de un tiempo
prudencial, posibilitando a traves del REPORT diario la recuperacion por
parte
del usuario de los mensajes "retenidos".
El indice de exito de filtrado es superior al 70% en la mayoría de los
casos.
Sobre el virus Mydoom en si, disponeis de amplia informacion usando los
links
que adjuntamos, incluido procedimientos de deteccion y borrado.
alerta-antivirus.es
<http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3544>
El virus 'Mydoom' invade Internet
<http://www.expansion.com/edicion/noticia/0,2458,439244,00.html>
Finalmente resaltar una vez mas que la vulnerabilidad a este y otros
tipos de ataque
existen de forma coherente a la misma filosofia del sistema usado ( nos
referimos
a MS Windows ) y la unica forma de realmente evitar el contagio en
nuestros sistemas
pasa por soluciones mas complejas que simplemente instalar un Norton
Firewall,
un filtro anti-SPAM en nuestros ordenadores personales o una version
actualizada de
anti-virus.
De todos los equipos infectados por el presente virus mas del 80% de
ellos disponian
de anti-virus y firewall.
Con este tipo de gusanos la disponibilidad de firewall es doblemente
util, ya que el
mismo abre una puerta trasera en nuestro ordenador y este puede ser
manipulado para
cualquier fin con total acceso por gente no autorizada.
Dentro de un entorno de seguridad anti-virus, mas que la instalacion de
actualizaciones
anti-virus de determinados softwares, que siempre nos llegaran tarde,
pueden ser
utiles las siguientes medidas:
1. Para casos de infeccion, que la información no "escape" o manipulen
nuestro PC
instalar un firewall autorizando solo los accesos que conocemos.
2. A nivel de lan o router, log en tiempo real de tramas TCP y UDP con
analisis de
las mismas.
3. A nivel de estacion de trabajo, eliminar los "programas conocidos"
del registro.
Esto suprimirá la comodidad de hacer doble click en un fichero de
datos y que se
abra la aplicacion.
El usuario deberá conocer lo que está haciendo y para ejecutar algo,
deberá arrarstrar
el fichero de datos sobre la aplicacion.
A si evitamos que un FICHERO.DOC ( que realmente se llama
FICHERO.DOC.PIF )
se ejecute cuando el usuario suponia que era un documento Word y en
realidad ha hecho
doble click sobre un fichero de programa y no de datos.
Al arrrastrarlo sobre el Microsoft Word abierto, este dará un error,
y no ejecutará
el programa FICHERO.
4. Establecer una politica de copias de seguridad en local y en remoto.
duplicando o
triplicando todo el sistema, no solo los datos, sino tambien
aplicaciones , configuraciones
y registros, de manera que una reposición resulte fiel a la
información que fuera dañada.
5. En entornos corporativos la utilizacion de Servidores de Ficheros (
incluidas aplicaciones
Win32 ) situada en un equipo Unix puede aportar numerosas ventajas
de seguridad.
Los usuarios dispondran de sus datos y aplicaciones en un Servidor
con mejores medidas
de seguridad que usar sistemas vulnerables una vez infectada la
estacion de trabajo,
como W 2000 Server o peor aun, disponer de aplicaciones ejecutables
en su estacion de
trabajo.
La norma en extremo es configurar como SOLO LECTURA los discos
duros de las
estaciones de trabajo, con programas conocidos y autorizados ( por
ejemplo para
mapear las unidades de red remota donde residen las aplicaciones y
datos )
<http://www.expansion.com/edicion/noticia/0,2458,439244,00.html>
<html>
<table border=0 cellpadding=0 cellspace=0>
<tr><td bgcolor=adadad><font size=2>
Si desea ser borrado de ésta lista, por favor
envíe un mensaje a:<br>
<i> listserver@ganimedes.interec.com </i><br>
con el texto:<br>
<b> unsubscribe info</b><br>
en el cuerpo del mensaje.<br>
Recibirá una petición de confirmación de su baja en el buzón email
indicado en su remite.<br>
</td></tr></table>