|
VSantivirus No. 456 - Año 5 - Domingo 7 de octubre 2001
Nombre: W32/Nimda.B
Tipo: Gusano de Internet
Alias: Win32.Nimda.B, W32/Nimda.B@MM
Fecha: 6/oct/01
Esta nueva versión del gusano Nimda, posee las mismas funciones que el original
(Nimda.A), pero difiere en los siguientes puntos:
- El ejecutable está comprimido con la utilidad PCShrink, un compresor de ejecutables. Este tipo de compresor puede engañar la detección de un antivirus, ya que el código examinado no es el verdadero (no lo es hasta que no esté ejecutándose). El compresor, además de encriptar el original y obviamente comprimirlo, es el que realmente se ejecuta cuando el archivo original es llamado por el sistema o por el usuario. Entonces, luego de descomprimir el original en memoria, le pasa a este el
control.
- El archivo adjunto a los mensajes infectados recibidos por correo electrónico ha sido cambiado de
README.EXE a PUTA!!.SCR
- El archivo que se auto ejecuta en nuestra computadora al visitar una página infectada ha sido cambiado de
README.EML a PUTA!!.EML
- El archivo copiado al directorio Windows\System cambia de
LOAD.EXE a PUTA.SCR.
- La sección [boot] del archivo
SYSTEM.INI:
[boot]
shell=explorer.exe load.exe -dontrunold
Es cambiada por la siguiente:
[boot]
shell=explorer.exe puta.scr -dontrunold
Recomendaciones
Actualice sus antivirus. Además de ello, extreme las precauciones, ya que no todos los productos detectan esta variante adecuadamente aún.
En nuestro sitio hay referencia a las actualizaciones de los antivirus con esta variante del gusano, que puede tomar como referencia.
Nimda no posee ninguna rutina destructiva, pero lo hace peligroso el hecho que se pueda propagar sin necesidad de abrir archivos adjuntos, o solo por visitar una página Web infectada.
El gusano Nimda se aprovecha de numerosas vulnerabilidades, aunque todas conocidas.
Para prevenir la infección, los administradores de servidores IIS que no lo han hecho, deben descargar e instalar el mismo parche que se requería para evitar la acción del CodeRed.
Microsoft Security Bulletin (MS01-044)
www.microsoft.com/technet/security/bulletin/MS01-044.asp
VSantivirus No. 407 - 19/ago/01
Cinco nuevas fallas en IIS (MS01-044)
http://www.vsantivirus.com/vulms01-044.htm
Los usuarios de Internet Explorer 5.01 y 5.50 que no lo han hecho aún, deben bajar e instalar el parche que corrige la vulnerabilidad "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment", realizada el 25 de mayo de 2001. Esta vulnerabilidad permite la ejecución de un archivo adjunto por el simple hecho de leer el mensaje:
Microsoft Security Bulletin (MS01-020)
www.microsoft.com/technet/security/bulletin/MS01-020.asp
Este artículo le ayudará a definir los parches correctos:
VSantivirus No. 271 - 5/abr/01
Crónica de una vulnerabilidad anunciada
http://www.vsantivirus.com/vulms01-020-03.htm
Se recomienda configurar el Outlook y Outlook Express de la forma que se indica en este artículo:
VSantivirus No. 366 - 9/jul/01
Consejos: Outlook y Outlook Express más seguros
http://www.vsantivirus.com/consejos-outlook.htm
Los usuarios de Internet Explorer 6.0 no requieren parches.
Nota: Si se actualiza a la versión más nueva del explorador no es necesario el parche. Puede bajar el Internet Explorer 6, desde el link en nuestra página:
http://www.vsantivirus.com/sites.htm
Desde allí, bajará el instalador de la versión en español
("ie6setup.exe", de 500Kb aprox.). Ejecútelo luego en su PC, SIN DESCONECTARSE de Internet, y la instalación lo irá guiando.
Es importante tener en cuenta que un sistema sin el parche mencionado, es capaz de ejecutar automáticamente los archivos .EML si el Internet Explorer tiene habilitada la opción Permitir la existencia de contenido Web en las carpetas.
Para evitar ello, seleccione Inicio, Configuración, Opciones de
carpetas, y marque la opción Utilizar carpetas clásicas de
Windows, en lugar de Permitir la existencia de contenido Web en las
carpetas.
Más información:
VSantivirus No. 438 - 19/set/01
A fondo: NIMDA, el gusano que pone en peligro a Internet
http://www.vsantivirus.com/nimda-a.htm
VSantivirus No. 440 - Año 5 - Viernes 21 de setiembre 2001
Herramienta para remover el W32/Nimda.A
http://www.vsantivirus.com/kit-nimda.htm
VSantivirus No. 449 - Año 5 - Domingo 30 de setiembre 2001
Nimda. Un estudio a fondo de las técnicas de desinfección
http://www.vsantivirus.com/nimda-desinf.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|