|
VSantivirus No. 2019 Año 10, miércoles 18 de enero de 2006
Alerta amarilla para nuevo gusano de envío masivo
http://www.vsantivirus.com/180105.htm
Por Angela Ruiz
angela@videosoft.net.uy
Se ha reportado en las últimas horas, el envío masivo en forma de SPAM, de un nuevo gusano que al ejecutarse, puede borrar diferentes archivos correspondientes a conocidos antivirus y otros programas.
También modifica varias claves del registro, y es capaz de propagarse por recursos compartidos en redes con niveles de seguridad bajos (falta de contraseña o contraseña en blanco, etc.)
El gusano es identificado como Win32/VB.NEI por NOD32, mientras otros fabricantes le dan nombres totalmente diferentes entre si, causando la lógica confusión que esta situación provoca (por ejemplo KillAV.GR, Blackmal.E, Grew.A, Kapser.A, Nyxem-D, Small.KI, Tearec.A, Blackmal.F, etc.)
La característica diferente de este gusano, es que utiliza tanto archivos ejecutables con extensión PIF o SCR, como adjuntos codificados en formato MIME, conteniendo el archivo ejecutable.
MIME (Multipurpose Internet Mail Extensions), es un protocolo que proporciona la facilidad de incluir múltiples objetos en un solo mensaje electrónico (texto, música, imágenes, etc.). En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el código contenido en el cuerpo del mensaje.
En este caso, cuando los archivos infectados con el VB.NEI contienen esta clase de adjuntos, una etiqueta como la siguiente aparece en el mensaje:
Content-Type: application/x-msdownload;
name="[nombre]"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="[nombre]"
El archivo, codificado en base64 muestra un formato como el siguiente (por ejemplo):
begin 664 WinZip.zip .sCR
M35J0``,````$````__\``+@`````````0```````````````````````````
M````````````````````H`````X?N@X`M`G-(;@!3,TA5&AI<R!P<F]G<F%M
M(&-A;FYO="!B92!R=6X@:6X@1$]3(&UO9&4N#0T*)`````````"W$@?;\W-I
MB/-S:8CS<VF(&FQDB/)S:8A2:6-H\W-IB%!%``!,`0,`7W;+0P``````````
[etc...]
Esta codificación permite la representación de octetos de cualquier valor ASCII, de modo que puedan transmitirse en un correo electrónico, sin las limitaciones que este posee.
Algunos de estos formatos (como BHX), no se pueden decodificar sin tener la herramienta necesaria, por ejemplo BinHex.
Algunos mensajes intentan mostrar imágenes. Esto no aparece si se tiene configurado el cliente de correo para leer todos los mensajes como texto sin formato.
El gusano puede propagarse también por
correo electrónico. La prevalencia de los niveles de
propagación (ver "Virus Reporte", http://www.vsantivirus.com/virusreporte.htm),
han determinado que en VSAntivirus se mantenga la "Alerta
amarilla".
Actualización 22/1/06: Todos los días 3 de cada mes, el gusano puede activar una peligrosa y destructiva rutina que sobrescribe todos los archivos con determinadas extensiones, de todas las unidades locales y compartidas en red.
Más detalles de este gusano (incluida una herramienta automática de limpieza) en el siguiente enlace:
VB.NEI. Se propaga por e-mail, borra antivirus
http://www.vsantivirus.com/vb-nei.htm
Relacionados:
Explicación de códigos de alertas
http://www.vsantivirus.com/codigos-alertas.htm
[Última modificación:
23/01/06 06:09 -0200]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|