Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Nimda.B. Una variante compactada del peligroso gusano
 
VSantivirus No. 456 - Año 5 - Domingo 7 de octubre 2001

Nombre: W32/Nimda.B
Tipo: Gusano de Internet
Alias: Win32.Nimda.B, W32/Nimda.B@MM
Fecha: 6/oct/01

Esta nueva versión del gusano Nimda, posee las mismas funciones que el original (Nimda.A), pero difiere en los siguientes puntos:
  1. El ejecutable está comprimido con la utilidad PCShrink, un compresor de ejecutables. Este tipo de compresor puede engañar la detección de un antivirus, ya que el código examinado no es el verdadero (no lo es hasta que no esté ejecutándose). El compresor, además de encriptar el original y obviamente comprimirlo, es el que realmente se ejecuta cuando el archivo original es llamado por el sistema o por el usuario. Entonces, luego de descomprimir el original en memoria, le pasa a este el control.

  2. El archivo adjunto a los mensajes infectados recibidos por correo electrónico ha sido cambiado de README.EXE a PUTA!!.SCR

  3. El archivo que se auto ejecuta en nuestra computadora al visitar una página infectada ha sido cambiado de README.EML a PUTA!!.EML

  4. El archivo copiado al directorio Windows\System cambia de LOAD.EXE a PUTA.SCR.

  5. La sección [boot] del archivo SYSTEM.INI:

    [boot]
    shell=explorer.exe load.exe -dontrunold

    Es cambiada por la siguiente:

    [boot]
    shell=explorer.exe puta.scr -dontrunold

Recomendaciones

Actualice sus antivirus. Además de ello, extreme las precauciones, ya que no todos los productos detectan esta variante adecuadamente aún.

En nuestro sitio hay referencia a las actualizaciones de los antivirus con esta variante del gusano, que puede tomar como referencia.

Nimda no posee ninguna rutina destructiva, pero lo hace peligroso el hecho que se pueda propagar sin necesidad de abrir archivos adjuntos, o solo por visitar una página Web infectada.

El gusano Nimda se aprovecha de numerosas vulnerabilidades, aunque todas conocidas.

Para prevenir la infección, los administradores de servidores IIS que no lo han hecho, deben descargar e instalar el mismo parche que se requería para evitar la acción del CodeRed.

Microsoft Security Bulletin (MS01-044)
www.microsoft.com/technet/security/bulletin/MS01-044.asp

VSantivirus No. 407 - 19/ago/01
Cinco nuevas fallas en IIS (MS01-044)
http://www.vsantivirus.com/vulms01-044.htm

Los usuarios de Internet Explorer 5.01 y 5.50 que no lo han hecho aún, deben bajar e instalar el parche que corrige la vulnerabilidad "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment", realizada el 25 de mayo de 2001. Esta vulnerabilidad permite la ejecución de un archivo adjunto por el simple hecho de leer el mensaje:

Microsoft Security Bulletin (MS01-020)
www.microsoft.com/technet/security/bulletin/MS01-020.asp

Este artículo le ayudará a definir los parches correctos:

VSantivirus No. 271 - 5/abr/01
Crónica de una vulnerabilidad anunciada
http://www.vsantivirus.com/vulms01-020-03.htm

Se recomienda configurar el Outlook y Outlook Express de la forma que se indica en este artículo:

VSantivirus No. 366 - 9/jul/01
Consejos: Outlook y Outlook Express más seguros
http://www.vsantivirus.com/consejos-outlook.htm

Los usuarios de Internet Explorer 6.0 no requieren parches.

Nota: Si se actualiza a la versión más nueva del explorador no es necesario el parche. Puede bajar el Internet Explorer 6, desde el link en nuestra página: http://www.vsantivirus.com/sites.htm

Desde allí, bajará el instalador de la versión en español ("ie6setup.exe", de 500Kb aprox.). Ejecútelo luego en su PC, SIN DESCONECTARSE de Internet, y la instalación lo irá guiando.

Es importante tener en cuenta que un sistema sin el parche mencionado, es capaz de ejecutar automáticamente los archivos .EML si el Internet Explorer tiene habilitada la opción Permitir la existencia de contenido Web en las carpetas.

Para evitar ello, seleccione Inicio, Configuración, Opciones de carpetas, y marque la opción Utilizar carpetas clásicas de Windows, en lugar de Permitir la existencia de contenido Web en las carpetas.

Más información:

VSantivirus No. 438 - 19/set/01
A fondo: NIMDA, el gusano que pone en peligro a Internet
http://www.vsantivirus.com/nimda-a.htm

VSantivirus No. 440 - Año 5 - Viernes 21 de setiembre 2001
Herramienta para remover el W32/Nimda.A
http://www.vsantivirus.com/kit-nimda.htm

VSantivirus No. 449 - Año 5 - Domingo 30 de setiembre 2001
Nimda. Un estudio a fondo de las técnicas de desinfección
http://www.vsantivirus.com/nimda-desinf.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

  

Copyright 1996-2001 Video Soft BBS