[105] Internet: Istbar.E y W32.Swen, dos nuevos enemigos
Por: Carlos Crismatt Mouthon
Esta semana se presentaron dos nuevas sorpresas. En primer lugar comenzaron a llegar a los buzones del correo electrónico unos mensajes de Microsoft, en donde amablemente informan de un nuevo parche de seguridad para el Internet Explorer y el Outlook Express. Además, en el colmo de la cortesía, se adjunta el archivo para que sea instalado -sin molestias ni dilaciones- en el computador.
La sabiduría popular dice que de lo bueno no dan tanto. Y esto hizo sospechoso el agradable envío, que en verdad no resistió el primer cateo. Comencemos por decir que al examinar las propiedades del e-mail se observa a primera vista que la dirección electrónica no corresponde a la de Microsoft. Por ejemplo, uno de los mensajes enviados supuestamente por el "MS Customer Services" tiene la dirección "xdvanxukxasfad@lfpbtpj.com" y tiene adjunto el archivo "Update85.exe". Otro, que venía ahora del "MS Internet Security Department" tenía la dirección "odksqhpptdavned@support.net" y llegó con el "Upgrade842.exe".
Si el antivirus instalado tiene la última actualización y se le ha activado la opción de revisar los archivos que entran con el correo, detectará inmediatamente la presencia de un gusano conocido como "W32.Swen.A@mm", "W32.Gibe-E" o "Swen-A". Cuando la curiosidad se traduce en un doble clic sobre el archivo ejecutable y el gusano se instala, lo primero que hace es tratar de desactivar la defensa antivirus. Luego, se propaga al enviarse él mismo a través de todos los mensajes que enviemos.
La segunda aparición fue la del "Istbar.E", un troyano que instala sin permiso diferentes programas espías –spyware- como "RapidBlaster", "DownloadPlus" y "nCase"- y dialers –que hacen llamadas subrepticias a teléfonos internacionales- como "Wink/EasyDates". Estos dialers son poco conocidos en nuestro medio, y su funcionamiento consiste en desviar la conexión normal hacia ciertos números programados –como los de las líneas calientes- y que muchas veces son los culpables de las abultadas facturas telefónicas.
Además, añade su propia barra de herramientas al Internet Explorer y –para escándalo de la familia- nos abre ventanas emergentes con publicidad de páginas pornográficas. Como si fuera poco, también decide cuál es la página de inicio del navegador –generalmente www.slotch.com- y como cualquier vulgar cachetero utiliza nuestra conexión a Internet para actualizarse a sí mismo.
El Istbar.E instala el archivo "istsvc.exe" en un su respectiva carpeta en "Archivos de programas" y se ejecuta cada vez que se inicia Windows 9x/Me/Xp al crear en el registro la entrada "HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run IST Service/Archivos de programas/istsvc.exe", y modifica también el registro "HKEY_LOCAL_MACHINE Software Microsoft Internet Explorer Main Start Page" agregándole "http:// www.slotch.com" para cambiar la página de inicio del navegador Internet Explorer.
Ante estas nuevas amenazas se recuerdan tres consejos básicos. Primero, no ser curiosos; borremos sin contemplaciones todo correo que no sea de los amigos. Segundo, no seamos pasivos; ya es hora de comenzar a aprender informática. Tercero, no seamos reactivos; tomemos la iniciativa, ya que la mejor defensa es el ataque.
Final. El joven informático dice que está vestido a la última módem.
Esta es una serie publicada desde octubre de 2001 por el periódico El Universal de Cartagena de Indias, en la edición de Montería [Córdoba] de los días sábados .
