Resultados 1 al 2 de 2

"Mimail", gusano de propagación masiva llega como "message.zip"

  1. #1 "Mimail", gusano de propagación masiva llega como "message.zip" 
    Moderador HH
    Fecha de ingreso
    Oct 2002
    Ubicación
    Between angels and insects
    Mensajes
    2.334
    Descargas
    0
    Uploads
    0
    En las últimas horas se ha detectado envíos masivos de "Mimail", un
    gusano que explota una vulnerabilidad de Outlook Express para infectar
    a los equipos desde un aparentemente inofensivo archivo .HTM.

    El gusano se presenta por e-mail simulando ser un mensaje enviado por
    el administrador de nuestro servidor de correo, por lo que modifica
    el remite para que aparezca el nombre "admin" y el dominio que utiliza
    el usuario:

    Remite: admin@<dominio_del_destinatario>

    Asunto: your account <%usuario%>

    Cuerpo:
    Hello there,
    I would like to inform you about important information regarding your
    email address. This email address will be expiring. Please read
    attachment for details.

    Best regards,
    Administrator

    Adjunto: Message.zip

    Si la víctima abre el adjunto comprimido "Message.zip" podrá ver que
    contiene el archivo "MESSAGE.HTM", aparentemente una inofensiva página
    web en formato HTML. Si embargo si intenta visualizar este archivo
    lanzará la acción del gusano, esa página web aprovecha una
    vulnerabilidad existente en Outlook Express para instalar su código
    malicioso, creando y ejecutando el archivo "foo.exe" en la carpeta
    de archivos temporales de Internet.

    Este ejecutable crea los siguientes archivos en la carpeta de Windows:

    videodrv.exe
    exe.tmp
    zip.tmp

    Además introduce la siguiente entrada en el registro de Windows para
    asegurar la ejecución del gusano cada vez que se inicie el sistema:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    "VideoDriver"="%Windir%\videodrv.exe"

    Una vez se instala en el sistema del usuario comienza su rutina de
    propagación a otros usuarios. En primer lugar comprueba si el sistema
    está conectado a Internet, intentando establecer conexión con la
    página google.com. Si realiza la conexión, busca direcciones de correo
    entre los archivos que encuentra en el sistema, buscando en aquellos
    archivos que *no* tienen alguna de estas extensiones:

    .avi .bmp .cab .com .dll .exe .gif .jpg .mp3 .mpg .ocx .pdf .psd .rar
    .tif .vxd .wav .zip

    Las direcciones recolectadas son almacenadas en el archivo eml.tmp
    dentro de la carpeta de Windows y les envía e-mails infectados con
    el gusano, con las mismas características que comentamos al principio.

    Adicionalmente introduce la siguiente entrada en el registro de
    Windows:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\
    Distribution Units\{11111111-1111-1111-1111-111111111111}

    Existe un parche de Microsoft desde abril de 2003 para corregir
    esta vulnerabilidad, e impedir así la ejecución automática de este
    gusano al visualizar el archivo .htm. Los detalles en el una-al-día
    (http://www.hispasec.com/unaaldia/1643).

    En el caso de infección, los pasos para eliminar el gusano de un
    sistema son sencillos:

    - En Win9x/ME iniciar el sistema en Modo Seguro (puede seleccionarse
    pulsando F8 al iniciar el sistema).
    - En WinNT/2000/XP terminar el proceso videodrv.exe (desde el
    administrador de tareas, pestaña proceso).
    - Borrar los siguientes archivos de la carpeta de Windows
    (típicamente c:\windows o c:\winnt):

    videodrv.exe, eml.tmp, exe.tmp, zip.tmp

    - Borrar las siguientes entradas del registro de Windows
    (regedit.exe):

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
    VideoDriver

    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
    VideoDriver

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\
    Distribution Units\{11111111-1111-1111-1111-111111111111}

    Desde Hispasec recomendamos a los usuarios tener sus equipos
    puntualmente actualizados desde la opción Windows Update y estar
    atentos a los mensajes que puedan llegarles con las características
    descritas. A los administradores, además de intentar mantener
    actualizado su parque, podrán minimizar el impacto del gusano con
    simples reglas en el servidor de correo (aprovechando que utiliza
    cadenas fijas en muchos campos del mensaje). Por descontado,
    también habrá que mantener puntualmente actualizadas las soluciones
    antivirus.
    "Prefiero estar en silencio y parecer idiota que abrir la boca y despejar toda clases de dudas"
    Citar  
     

  2. #2  
    Moderador HH
    Fecha de ingreso
    Mar 2003
    Ubicación
    Galiza
    Mensajes
    3.919
    Descargas
    8
    Uploads
    1
    Es que el Outlook y la seguridad no se llevan muy bien, aunque la verdad la mitad de estos virus es que infectan a los despistados, porque primero mi ISP me envia los e-mails en español, como casi todos en españa, y si me envian uno raro desde luego no voy a bajarlo, y menos desde windows, aun menos desde eloutlook.
    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 16-01-2015, 05:20
  2. conexion simultanea a dos redes "internet" y "datos"
    Por daniel.r.23 en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 0
    Último mensaje: 11-02-2013, 00:05
  3. Respuestas: 0
    Último mensaje: 09-08-2010, 13:36
  4. Respuestas: 5
    Último mensaje: 31-03-2010, 07:03
  5. Respuestas: 0
    Último mensaje: 13-05-2003, 09:38

Marcadores

Marcadores