Detección de virus en los e-mails

En éste articulo se explica brevemente técnicas para evitar que los virus que nos lleguen por correo electrónico nos afecten, y por lo tanto, ayudaremos a nuestro PC y a los amigos que tengamos agregados en la libreta de direcciones... (que normalmente también sufrirán el ataque si nosotros somos infectados).

En éste ejemplo se usa Microsoft Outlook Express, pero es posible que sea compatible con otros gestores de correo.

Esta puede ser una escena típica: numerosos correos de tipo spam alcanzan la lista de los correos de hoy. El primer indicio que nos puede indicar si un correo se trata de un virus, es el símbolo del clip junto al mensaje, indicando que lleva datos o programas adjuntos. El segundo indicio es que los correos estén escritos en inglés. Ya que la mayor parte de los virus atacan a nivel mundial, estos son escritos en inglés.

Una vez dadas éstas circunstancias, podemos hacer lo siguiente:

1. Hacer click con el botón derecho en el mensaje sospechoso y hacer click en "Propiedades"
   
   
2. Una vez en la ventana de propiedades, en la pestaña "Detalles", haremos clic en "Origen del mensaje", para intentar mostrarnos el código fuente del mensaje.
   

Lo siguiente nos ayudará a entender más o menos como se puede estructurar un correo y analizar si contiene o no virus:

Return-Path: <ceo@productoargentino.com.ar>
Original-Recipient: rfc822;flaviogv@worldonline.es
Received: from ar12.toservers.com (200.80.42.112) by netmail.tiscalinet.es (6.7.018)
        id 4005303C00380770 for flaviogv@tiscali.es; Wed, 28 Jan 2004 22:34:21 +0100
Received: from Zkrzv (dsl-200-67-113-210.prod-infinitum.com.mx [200.67.113.210])
	by ar12.toservers.com (8.12.10/8.11.4) with SMTP id i0SLY2UE025630
	for <flaviogv@worldonline.es>; Wed, 28 Jan 2004 18:34:03 -0300
Date: Wed, 28 Jan 2004 18:34:02 -0300
Message-Id: <200401282134.i0SLY2UE025630@ar12.toservers.com>
From: tml <tml@iki.fi>
To: flaviogv@worldonline.es
Subject: A very  excite game
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary=DN960198B1g00oLu46754Yu


--DN960198B1g00oLu46754Yu2
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable (1)

<HTML><HEAD></HEAD><BODY>

<FONT>Hi,This is a  excite game<br>
This game is my first work.<br>
You're the first player.<br>
I expect you would like it. (2)</FONT></BODY></HTML>

--DN960198B1g00oLu46754Yu2

Content-Type: application/octet-stream;
	name=play.exe (3)

Content-Transfer-Encoding: base64

Content-ID: <B7WRJ9aKK3g0r1C10m>

1. Lo primero, localizaremos éste texto, que indica la parte del mensaje, en código HTML. De éste modo podremos hacernos una idea de lo que pone en el mensaje.
2. Más abajo, comienza la parte del mensaje. Generalmente los mensaje que contienen virus suelen darse dos situaciones: 1) Nos pueden invitar a que ejecutemos el código o programa adjunto, que es el que contiene el código del virus. 2) No incluyan nada como mensaje. En éstos casos, el virus suele ejecutarse nada más abrir el correo. Por ello, se recomienda deshabilitar el panel de vista previa de los mensajes, ya que nada más visualizar el correo el virus ya se habrá ejecutado y probablemente ya se haya enviado a toda la lista de contactos.
3. Aquí veremos el nombre del archivo adjunto y su tipo. Las extensiones de los archivos (la parte después del punto) más sospechosas suelen ser EXE (programas ejecutables), ZIP (archivos comprimidos) y PIF (accesos directos de MS-DOS). También puede darse la circunstancia de que se use otro tipo de archivo, el cual estará directamente infectado por el virus.

Después de lo anterior, suele seguir el código del virus. Se trata de un conjunto de datos encriptados en base 64 bits. El ejemplo siguiente podría ejemplificar esto (el ejemplo siguiente se trata de un archivo ejecutable EXE):

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAA2AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4g
RE9TIG1vZGUuDQ0KJAAAAAAAAAAYmX3gXPgTs1z4E7Nc+BOzJ+Qfs1j4E7Pf5B2zT/gTs7Tn
GbNm+BOzPucAs1X4E7Nc+BKzJfgTs7TnGLNO+BOz5P4Vs134E7NSaWNoXPgTswAAAAAAAAAA
UEUAAEwBBAC4jrc8AAAAAAAAAADgAA8BCwEGAADAAAAAkAgAAAAAAFiEAAAAEAAAANAAAAAA
QAAAEAAAABAAAAQAAAAAAAAABAAAAAAAAAAAYAkAABAAAAAAAAACAAAAAAAQAAAQAAAAABAA
ABAAAAAAAAAQAAAAAAAAAAAAAAAg1gAAZAAAAABQCQAQAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
ANAAAOwBAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAudGV4dAAAAEq6AAAAEAAAAMAAAAAQ
AAAAAAAAAAAAAAAAAAAgAABgLnJkYXRhAAAiEAAAANAAAAAgAAAA0AAAAAAAAAAAAAAAAAAA
QAAAQC5kYXRhAAAAbF4IAADwAAAAUAAAAPAAAAAAAAAAAAAAAAAAAEAAAMAucnNyYwAAABAA
AAAAUAkAEAAAAABAAQAAAAAAAAAAAAAAAABAAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
...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...

A continuación se listan otras pistas para la detección de un e-mail sospechoso, y su posible solución:

1. Suelen ser direcciones de correo electrónico falsificadas, por lo que es posible incluso que la dirección del remitente sea uno de nuestros amigos más intimos. Muchos virus se reenvian a toda la libreta de direcciones, usando como remitente tu propia dirección, por ello algunos virus suelen llegar de "gente conocida".
   
2. Algunos correos llevan datos adjuntos, pero no muestran el clip al lado del mensaje, pero el método de hojear el código fuente del mensaje no falla. Siempre se encuentran los indicios descritos anteriormente.
   
3. Debemos sospechar siempre de la gente que habla inglés y que parece que nos conocen perfectamente, como se fuesen parte de nuestra familia. Solo intentan convencernos para que ejecutemos el virus.
   
4. Los nombre de archivos sospechosos suelen ser aquellos que nos incitan a abrirlos. Ejemplos pueden ser message, play, data, doc, document.
   
5. Asuntos de mensajes sospechosos nos incitan a ejecutar determinada acción. Por ejemplo, hubo cierto virus embebido en un correo cuyo asunto era Use this patch inmediately! (¡Use éste parche urgentemente!), el cual venía de la dirección de Microsoft (falsificada, claro). El correo claramente nos está incitando a ejecutar el supuesto parche, que era un virus.
   
6. Si realmente un mensaje nos incita a realizar una acción (y no se trata de un virus), debería incluir una dirección de internet en la cual complementase información sobre lo que quiere que hagamos. Esa página tiene que ser de confianza.
   
• Compruebe, por ejemplo, si se trata de una página en español, que la dirección sea del tipo www.pagina.es. Las páginas acabadas en .es han sido certificadas que su contenido es válido y legal.
• Si tiene dudas de la fiabilidad de la fuente, es preferible que no instale ni haga nada.
  
7. En el caso de un mensaje con virus, el simple hecho de abrirlo implica la ejecución de este y nuestra infección. Si Outlook Express tiene activado el panel de vista previa, nada más haciendo click en el correo (sin abrirlo), aparecerá en el panel de vista previa su contenido, por lo tanto, se habrá ejecutado el virus. Para desactivarlo, haga click en el menú Ver > Diseño... y luego en la sección "Panel de vista previa" desactive la casilla "Mostrar panel de vista previa". Esta medida es muy importante, ya que para abrir con el menú contextual el código del mensaje, habremos ejecutado el virus.

Sea solidario. Sepa que si es infectado, ayudará a que el virus se propague por internet. Siguiendo estos sencillos pasos será sencillo saber si un correo lleva virus o no. Será en beneficio suyo y de todos.

Este artículo ha sido redactado por el webmaster de flavionet.com - Comentarios a flavio@ya.com