No ho he provat però em sembla interessant:
----- Original Message ----- From: <[EMAIL PROTECTED]> Sent: Wednesday, April 02, 2003 2:00 PM Subject: una-al-dia (01/04/2003) Tests antivirus para comprobar la protección del e-mail > > -----BEGIN PGP SIGNED MESSAGE----- > > ------------------------------------------------------------------- > Hispasec - una-al-día 01/04/2003 > Todos los días una noticia de seguridad www.hispasec.com > ------------------------------------------------------------------- > > Tests antivirus para comprobar la protección del e-mail > ------------------------------------------------------- > > Hispasec pone a disposición de todos los usuarios dos tests para > comprobar el correcto funcionamiento de la protección antivirus > del correo electrónico. El primero de ellos nos indicará la > correcta instalación y buen funcionamiento del antivirus, mientras > que el segundo determinará la capacidad de detección proactiva > para identificar gusanos que explotan vulnerabilidades conocidas. > > * Test EICAR (comprobación de funcionamiento) > > El test consiste en enviar un mensaje con el archivo EICAR como > adjunto a la dirección de correo electrónico del usuario y comprobar > la reacción del antivirus a su llegada. > > El EICAR Standard Anti-Virus Test File es un archivo reconocido por > los productos antivirus pero NO es un virus real ni provoca ningún > efecto dañino; es totalmente inofensivo. Se trata de un pequeño > programa para DOS de 68 bytes, totalmente operativo, que se utiliza > como estándar para comprobar el correcto funcionamiento de los > antivirus sin necesidad de utilizar muestras de virus reales. Al > ejecutar el archivo EICAR, se visualiza el siguiente mensaje: > "EICAR-STANDARD-ANTIVIRUS-TEST-FILE". > > Los productos antivirus que estén bien configurados y cuenten con > protección para el correo entrante deberán alertar al usuario > durante la recepción del mensaje que contiene el archivo EICAR. En > tal caso, el resultado del test será óptimo y demostrará el > correcto funcionamiento de su programa antivirus. > > Los antivirus que no alerten de la llegada del mensaje no estarán > configurados para comprobar el correo de entrada. Posiblemente, > podrán detectar el archivo cuando el usuario trate de ejecutarlo o > intente guardarlo en alguna unidad. Para comprobar esta posibilidad, > le recomendamos que guarde el archivo adjunto en una carpeta a la > espera de la alerta del programa antivirus. > > En el caso de existir antivirus perimetrales, como por ejemplo en > el servidor de correo, puede que el archivo EICAR no llegue al > usuario, ya que habrá sido detectado y eliminado en el perímetro > por los antivirus instalados en los servidores, lo que será > indicador de su buen funcionamiento. > > Este test tan sólo comprueba el correcto funcionamiento del > antivirus, en ningún caso será un indicador de la calidad del > mismo. > > ADVERTENCIA: Aunque se puede ejecutar el archivo EICAR sin ningún > reparo, le recomendamos que NO lo haga. Cabe la posibilidad de que > algún individuo sin escrúpulos renombre un virus real para que se > confunda con el EICAR y lo distribuya aprovechando la coyuntura de > este test. Los usuarios que quieran comprobar el funcionamiento de > su programa antivirus mediante la ejecución del archivo EICAR > deberán extremar las precauciones, asegurándose de que ejecutan el > archivo original proporcionado por Hispasec, enviado exclusivamente > a petición del propietario de la dirección de correo. > > Para evitar el uso indiscriminado del test, y la redirección de los > mismos a direcciones de terceros, primero se enviará un mensaje > de confirmación conteniendo un enlace. Al pinchar ese enlace se > redireccionará a una página web que automáticamente enviará a su > dirección el mensaje con el test. > > Test EICAR > http://www2.hispasec.com/tests/eicar/ > > > * Test VEMLIE (detección proactiva, muy recomendado) > > Una buena parte de los gusanos que mayor número de infecciones han > causado en los últimos tiempos explotan una vulnerabilidad conocida > de Internet Explorer a través de la cual es posible forzar la > ejecución automática de un binario adjunto en un mensaje de correo > (.EML). Por ejemplo es la técnica utilizada por gusanos como Klez, > que sigue manteniendo el número 1 en las listas de detección por > e-mail. Para lograrlo modifica la cabecera MIME que hace referencia > al archivo de forma que simula ser un formato confiable. Esto > provoca que Internet Explorer lo abra sin preguntar al usuario. > Esta vulnerabilidad es heredada por los clientes de correo Outlook > y Outlook Express, ya que utilizan el componente de Internet Explorer > para visualizar los mensajes HTML. > > Este test permite verificar que: o bien su antivirus detecta > correctamente los emails maliciosos que intentan explotar esta > vulnerabilidad, o que tiene su versión de Internet Explorer > correctamente actualizada y no se encuentra afectado por la > vulnerabilidad. > > La solución óptima será que su antivirus detecte que el mensaje > enviado intenta explotar la vulnerabilidad. De manera independiente > a si tiene una versión de Internet Explorer actualizada, esta > funcionalidad de su antivirus le permitirá detectar de forma > proactiva nuevos gusanos que intenten infectar los sistemas > aprovechando esta misma vulnerabilidad (desde el primer minuto, > antes de que sean reconocidos por los laboratorios antivirus, y > sin necesidad de esperar la actualización para su producto). > También le prevendrá de ataques directos que utilizan esta > vulnerabilidad para ejecutar troyanos y backdoors de forma > automática > > Los antivirus que detectan la explotación de vulnerabilidades > suelen identificar estos mensajes utilizando el prefijo "Exploit", > seguido del nombre de la vulnerabilidad, que en este caso concreto > recibe, entre otros, los nombres de "MIME" e "iFrame". > > Si su antivirus detecta el mensaje del test VEMLIE, el resultado > será el óptimo. Si por el contrario no lo hace, pero no se ejecuta > de forma automática (sin que el usuario abra o ejecute el archivo > adjunto), su sistema no será vulnerable, si bien debe conocer que > su antivirus tampoco detecta este tipo de mensajes maliciosos, > y no puede prevenirle de forma proactiva contra ataques dirigidos > o gusanos que utilicen esta vulnerabilidad. Por último, si su > antivirus no ha detectado nada y el archivo adjunto se ejecuta > automáticamente, aparecerá una ventana de DOS, o Internet Explorer > con una página web, que le informará de que su sistema es vulnerable > y los pasos para corregir el problema. > > El adjunto que acompaña a este test, t.bat, no debe ser detectado > por los antivirus. Se trata de un pequeño archivo de proceso por > lotes que se ejecutará de forma automática al visualizar el > mensaje en el caso de que el sistema del usuario sea vulnerable. > Su única misión consiste en informar sobre la vulnerabilidad e > intentar abrir una ventana de Internet Explorer para que se > dirija a una página web en Hispasec donde se informa de los pasos > a seguir para corregir dicha vulnerabilidad. > > Los usuarios no deben de ejecutar directamente el archivo t.bat, > ya que la redirección a la página web donde se informa a los > usuarios que son vulnerables será utilizada adicionalmente como > contador con fines estadísticos (% de usuarios vulnerables). > > Al igual que ocurre con el test EICAR, en el caso de existir > antivirus perimetrales, como por ejemplo en el servidor de correo, > puede que el mensaje del test VEMLIE no llegue íntegro al usuario, > ya que habrá sido detectado y desinfectado o eliminado en el > perímetro por los antivirus instalados en los servidores, lo que > será indicador de su buen funcionamiento. > > Para evitar el uso indiscriminado del test, y la redirección de los > mismos a direcciones de terceros, primero se enviará un mensaje > de confirmación conteniendo un enlace. Al pinchar ese enlace se > redireccionará a una página web que automáticamente enviará a su > dirección el mensaje con el test. _______________________________________________ llista de correu de l'Internauta [EMAIL PROTECTED] http://zeus.internauta.net/mailman/listinfo/internauta
