Panda Software alertaba ayer en una nota de prensa del envío masivo de un correo con el asunto Osama Bin Laden Captured que aprovecha una vulnerabilidad de Internet Explorer que aún no ha sido corregida y un pequeño código VBS para instalar y ejecutar un troyano de forma automática, sin pedir confirmación por parte del usuario (que sólo verá que se abre un pop-up), si se visita el enlace en el que se promete que se amplía información.

En la misma nota de prensa, Panda se vanagloria de que sus aplicaciones antivirus detectan el código que instala el troyano como un virus e impiden su ejecución. Esto es cierto a medias, me explico: son muchas las empresas antivirus que incluyen el código que permite explotar las vulnerabilidades de IE en su archivo de firmas, identificándolos como exploits. Esto impide, en principio, que los exploits funcionen, sin embargo, rara vez se incluye en éstos algo más que la primera versión del script y ésto da una sensación de falsa seguridad peligrosa, ya que todos los lenguajes de scripting tienen una cosa en común: la flexibilidad. Es decir, que pueden hacerse scripts muy diferentes entre sí que hagan exactamente lo mismo. Por eso, ayer podría ser cierto que el antivirus de Panda detectaba ese script, hoy quizá ya no lo sea, si el autor ha decidido modificar su código.

Lo que funciona bien con los virus, que son programas bastante complejos, y es díficil hacer grandes cambios, no funciona tan bien con los scripts, que son muy sencillos, y muchas veces se componen de sólo una o dos líneas de código.