Resultados 1 al 2 de 2

Tema: Un nuevo gusano vuelve a causar la alerta

  1. #1 Un nuevo gusano vuelve a causar la alerta 
    Avanzado
    Fecha de ingreso
    Dec 2001
    Ubicación
    sevilla
    Mensajes
    268
    Descargas
    0
    Uploads
    0
    Todas las firmas antivirus están alertando de la propagación y
    difusión de un nuevo gusano programado en VBSCript conocido bajo el
    nombre de VBS.NewLove.A.
    El nuevo gusano representa un alto riesgo, mayor que el anterior
    LoveLetter debido a su gran capacidad de reproducción y porque su
    acción es mucho más peligrosa al eliminar todos los archivos del disco
    duro del ordenador afectado.

    NewLove, también conocido como VBS.Spammer, llega en un mensaje con un
    asunto siempre diferente lo cual puede hacer más difícil su
    identificación para usuarios inexpertos. Aun así, presenta un gran
    número de características que pueden permitir detectarlo y evitar el
    contagio.

    VBS.NewLove.A llega a los usuarios en un mensaje de correo electrónico
    con el asunto FW: y un nombre de fichero elegido de forma aleatoria y
    el cuerpo del mensaje permanece vacío, sin ningún texto. Por supuesto,
    incluye un archivo adjunto de extensión vbs, que es el gusano en sí, y
    que bajo ningún concepto debe ejecutarse. El nombre del archivo
    adjunto se genera de forma aleatoria, por lo cual no se puede
    determinar, simplemente hay que tener cuidado de no ejecutar ningún
    vbs.

    Aunque el nombre del archivo adjunto que aparece se genera de forma
    aleatoria, la extensión del archivo puede ser doc, xls, mdb, bmp, mp3,
    txt, jpg, gif, mov, url o htm, seguido siempre de la extensión
    autentica del fichero, es decir vbs.

    Cuando el usuario ejecuta el archivo adjunto, el código maligno entra
    en acción y en primer lugar se crean sendas copias de si mismo en el
    directorio de instalación de Windows y en el directorio system. Ambas
    con nombre elegidos de forma aleatoria, todo para tratar de dificultar
    su localización. Para asegurarse su ejecución cuando en el próximo
    arranque del ordenador crea dos entradas en el registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices\

    El valor de estas entradas serán los nombres de las copias que generó
    anteriormente. Tras esto, el gusano se enviará de forma automática a
    todas las entradas de la libreta de direcciones de Outlook, tal y como
    actuaba el conocido "iloveyou". Tras ello, el gusano realizará su
    acción más dañina, recorriendo uno por uno todos los directorios de
    todas las unidades del sistema atacado. De esta forma busca todos los
    archivos del sistema infectado y crea un nuevo fichero con el mismo
    nombre, copia su código sobre él y le pone la extensión vbs. Tras ello
    borra el archivo original, de tal forma que al acabar esta acción el
    usuario habrá perdido todos los datos de su ordenador.

    Como ya hemos comentado este gusano es polimórfico, lo que quiere
    decir que el código variará de generación en generación. Si bien el
    nivel de polimorfismo puede distar mucho de ser calificado como tal,
    siendo de muy baja calidad. Las variaciones que efectúa consisten en
    insertar un número aleatorio de líneas de comentario a lo largo del
    código. La inclusión de estas líneas que tienen hasta 300 caracteres
    aleatorios (letras mayúsculas) hace que el gusano vaya engordando de
    generación en generación. No creemos que sea adecuado calificar esta
    acción de polimorfismo, ni que esta acción pueda dificultar la
    detección por parte de los antivirus.

    Parece mentira como después de todo lo que se ha hablado y escrito
    sobre LoveLetter un gusano de este tipo haya podido llegar a tener la
    repercusión que ha tenido, si bien no tenemos conocimiento de que haya
    llegado a España. Una vez más recordar que no se deben ejecutar
    aquellos archivos que lleguen adjuntos en mensajes de correo no
    solicitados, y en cualquier caso, preguntar al remitente si el envío
    es real o ha sido producido por algún agente externo.

    Más información:
    AVP
    Sophos
    NAI
    F-Secure

    Panda Software
    Trend Micro
    CNet
    Wired

    ZDNet
     

  2. #2  
    Ex-moderador
    Fecha de ingreso
    Apr 2002
    Mensajes
    3.184
    Descargas
    0
    Uploads
    0
    ¿Nuevo? Si es del año 2000

    TseTse
    ' La corrupción, el síntoma más infalible de la libertad que otorga la Constitución '
     

Temas similares

  1. Respuestas: 2
    Último mensaje: 28-05-2004, 00:09
  2. Respuestas: 3
    Último mensaje: 02-03-2004, 02:01
  3. Posible Nuevo virus/gusano/troyano
    Por |RooT| en el foro OFF-TOPIC
    Respuestas: 1
    Último mensaje: 07-01-2004, 09:46
  4. Respuestas: 0
    Último mensaje: 23-09-2003, 01:41
  5. Respuestas: 0
    Último mensaje: 13-05-2003, 08:38

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •