|
VSantivirus No. 423 - Año 5 - Martes 4 de setiembre de 2001
Se propaga versión "mejorada" del destructivo Magistr
Por Redacción
VSAntivirus
Se trata de una versión "mejorada" del Magistr, con características de gusano capaz de enviarse en forma masiva por Internet, y de infectar archivos EXE Win32 PE
(1). Cómo la versión anterior, posee rutinas destructivas.
Estos son los primeros datos obtenidos:
Nombre: W32/Magistr.b@MM
Tipo: Virus infector de archivos PE, y Gusano de Internet
Fecha: 3/set/01
Tamaño: 32,768 bytes
Activo: Si
Alias: I-Worm.Magistr.b, PE_MAGISTR.B, W32.Magistr.b, MAGISTR.B, W32/Disemboweler
La siguiente descripción será ampliada en las próximas horas. Por el momento, estas son las principales diferencias y características detectadas con respecto a la versión original:
1. Sobreescribe el archivo WIN.COM en C:\Windows y
NTLDR en C:\ con otro programa capaz de borrar todos los archivos de la unidad de disco duro y de las unidades de red mapeadas con recursos compartidos, al iniciarse Windows.
2. Cuando infecta un archivo, lo encripta basándose en una clave que depende en cada caso del nombre de la computadora infectada. Esto hace que la desinfección sea más dificultosa.
3. Es capaz de propagarse a través de correos infectados como la versión original, pero esta vez utilizando también datos del cliente de correos Eudora.
4. Como la versión anterior, es capaz de propagarse en redes, pero mientras la primera buscaba carpetas de Windows en cada unidad mapeada con estos nombres: WINNT, WIN95, WIN98, WINDOWS, la nueva versión agrega estos nuevos nombres a su lista:
WINNT
WINDOWS
WIN95
WIN98
WINME
WIN2000
WIN2K
WINXP
5. Si encuentra alguna de estas carpetas, el gusano se copia allí y modifica los archivos
WIN.INI y SYSTEM.INI, en las secciones [windows]
run=, y [boot] shell=, para apuntar a su ejecutable, de modo de poder activarse al reiniciarse Windows en cada una de esas computadoras. Recuerde que la limpieza del virus en una red, debe hacerse en forma individual, desconectando cada PC de la red.
6. El gusano busca archivos de imágenes con la extensión .GIF y es capaz de enviarlas en los mensajes infectados, así como archivos
.DOC limpios, del mismo modo que lo hacía la versión
anterior con los .DOC.
7. Es capaz de borrar todos los archivos .NTZ
8. Es capaz de deshabilitar el cortafuegos ZoneAlarm, si éste se encuentra instalado en la computadora
infectada (ver ZoneAlarm no es desactivado por el Magistr.B).
Un examen completo de esta nueva versión de este destructivo gusano, será proporcionada a la brevedad en nuestro sitio, y en próximos boletines.
Por lo pronto, recuerde la importancia de no abrir ningún archivo adjunto no solicitado, y de mantener al día su antivirus. No se confíe en que no se detectan virus, podría no haberse actualizado aún la base de datos de su antivirus. Aguarde unas horas o días, y vuélvalos a revisar. Hoy más que nunca deberíamos ser más que drásticos al no abrir absolutamente ningún archivo que no hubiéramos pedido (y aún en ese caso, jamás sin revisarlos antes con dos o más antivirus en escaneo por demanda).
El Magistr original es capaz de enviarse masivamente a través del correo electrónico (usando rutinas SMTP propias), además de infectar archivos, y destruir la
CMOS y la Flash BIOS, e incluso la información del disco duro. Esta nueva versión conserva alguna de sus características, modifica otras, y cómo vimos, agrega las suyas propias.
Más información:
15/mar/01 - W32/Magistr@MM. Sofisticado y destructivo
05/set/01 - A fondo: W32/Magistr.b, de la raza de las grandes plagas
05/set/01 - Magistr.b. ¿Lo protege realmente su antivirus?
10/set/01 - ZoneAlarm no es desactivado por el Magistr.B
Glosario:
(1) Archivos PE (Portable Executable) - Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.
Fuentes: Kaspersky Antivirus, Network Associates, Symantec
(c) Video Soft - http://www.videosoft.net.uy
|
|