|
|||||
|
“Winewar.A”: nuevo virus autoejecutable que elimina programas y antivirus El:
28/11/2002 El
Centro de Alerta Temprana sobre virus informáticos (CAT) del Ministerio de
Ciencia y Tecnología, ha advertido de la peligrosidad del gusano de correo
electrónico 'Winewar.A', capaz de autoejecutarse en todas las plataformas
'Windows' enviándose a todas las direcciones electrónicas recopiladas, y
que tiene capacidad de eliminar programas y aplicaciones antivirus.
Se trata de un gusano residente en
memoria que se propaga, utilizando su propio motor SMTP, a todas las direcciones
de 'e-mail' recopiladas de los ficheros HTML hallados en el sistema infectado,
por lo que el CAT considera que puede provocar un daño "alto", aunque su
difusión todavía es "baja".
El virus utiliza la conocida
vulnerabilidad 'Automatic Execution of Embedded MIME type' que le permite
ejecutarse automáticamente con la visualización o vista previa del mensaje en
programas de correo basados en 'Internet Explorer' como 'Outlook' y 'Outlook
Express'.
El mensaje infectado contiene un
anexo ejecutable registrado como de tipo audio, de modo que al ser visualizado
se abre por defecto la aplicación asociada a los ficheros de audio. En muchos
sistemas 'Windows Media Player' se abre mientras que el anexo es ejecutado. El
CAT destacó que el fichero anexo en el que va insertado el gusano no es visible
en 'Outlook'.
Durante su ejecución, el gusano
crea una copia de sí mismo en el directorio de sistema de 'Windows' llamada 'WIN'
valor numérico aleatorio'.PIF.'. Además, se generan múltiples copias en el
citado directorio del sistema de 'Windows' en caso de ser ejecutado varias veces
en la misma máquina.
Finalmente, crea entradas en el registro para autoejecutarse cada vez que el sistema sea iniciado, utilizando para ello el nombre del fichero que ha creado en el directorio del sistema. No obstante, las principales compañías de seguridad informática disponen ya de soluciones 'on line'. Winevar: un virus que desactiva antivirus El:
29/11/2002 Este gusano llega en un mensaje de correo electrónico que puede tener diferentes sujetos, cuerpos y nombres de archivo adjunto. Según ha informado Sybari el virus original es un archivo de Windows PE EXE con un peso de 91Kb escrito en Microsoft Visual C++ con la mayor parte de líneas de texto cifradas. Tras penetrar en el sistema, puede desactivar algunos programas de análisis antivirus, programas depuradores de errores (debuggers) y cortafuegos desde la memoria del ordenador. El gusano se instala en el directorio del sistema de Windows con un nombre aleatorio con los trazos comunes: WIN caracteres.PIF, desde donde ejecuta W32.FunLove.4099 virus, que es el virus que finalmente infecta la máquina. Este virus modifica entonces los archivos de arranque de Windows para activarse en el momento que se reinicia el sistema y empezar a extraer direcciones de correo electrónico de archivos *.HTM y archivos *.DBX a las que reenvía una copia usando la conexión directa con la pasarela SMTP del servidor de correo. El virus se reenvía añadiendo a su copia información sobre La identificación del país, la fecha actualizada, el nombre del usuario y de la compañía. Los mensajes infectados tienen datos diferentes en campos de correo electrónico. El sujeto o asunto y el cuerpo del mensaje son aleatorios. Los nombres de los archivos adjuntos pueden variar entre:
MUSIC_1.HTM,
MUSIC_2.CEO Para activarse desde el mensaje infectado el gusano usa dos agujeros de seguridad Microsoft VM ActiveX Component y Incorrect MIME Header Can Cause IE to Execute E-mail Attachment. |
|||||
|
www.domoticaviva.com Gracias por visitarnos Domótica Viva, S.L. Damos Vida a la Domótica que usted pueda necesitar |
|||||
