09 marzo 2004 16:15 hrs
por: McAfee
McAfee Security © Derechos Reservados
Alertan sobre virus W32/Sober.d@MM
McAfee Security alerta al mercado sobre el nivel de riesgo de W32/Sober.d@MM
De origen desconocido y descubierto el 07/03/2004, W32/Sober.d@MM esta nueva variante fue escrita en Visual Basic, también se propaga de forma masiva a través del correo electrónico, esta variante posee las siguientes características.
Contiene su propio mecanismo SMTP.
Las direcciones de correo electrónico tanto del remitente como del destinatario son obtenidas de la máquina victima.
Los mensajes sugieren contener un parche de Microsoft .
Para llevar a cabo la propagación vía correo electrónico obtiene las direcciones de archivos con extensión .LOG, .MDB, :XLS,.ASP, .PHP, entre otros, estas direcciones son copiadas en el archivo MSLogs32.DLL ubicado en el directorio System de Windows.
La dirección del destinatario es utilizada para determinar el idioma en el cual se escribirá el mensaje, por ejemplo, el correo es escrito en alemán si contiene las siguientes terminaciones:
de
.ch
.at
.li
@gmx
A continuación los posibles formatos de los mensajes:
Remitente: (remitente)@microsoft.(país), de donde “remitente” es tomado de la siguiente lista:
Info
Center
UpDate
News
Help
Studio
Alert
Security
Asunto: Es aleatorio, los análisis mostraron que los subjects inician con alguna de las siguientes líneas para Ingles y Alemán respectivamente:
Microsoft Alarm: Bitte Lessen!
Microsoft Alert: Please Read!
Cuerpo de Mensaje:
(Aleman):
Neue Virus-Variante W32.Mydoom verbreitet sich schnell.Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.Wie seine VorgZudem installiert er auf infizierten Systemen einen gef F Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Sch++++++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943
(Inglés):
Virus Variant Detected!A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.The worm also has a backdoor Trojan capability. By default, the Trojan component listens on port 13468.Protection:Please download this digitally signed attachment. This Update includes the functionality of previously released patches.++++++ One Microsoft Way, Redmond, Washington 98052+++ Restricted Rights at 48 CFR 52.227-19 com.
Adjunto: Puede ser un archivo .EXE o .ZIP, con nombres aleatorios. Los nombres de los archivos zips son construidos a partir de algunos de los nombres señalados a continuación más un número aleatorio (opcional).
sys-patch
MS-UD
MS-Security
Patch
Update
MS-Q
Por ejemplo:
MS-UD89021.EXE
MS-Q4532364791.EXE
Al ser ejecutado el archivo adjunto, el usuario recibira alguna de las siguientes alertas:
“This patch has been successfully instaled”
“This patch does not need to be installed on this system. Status: OK”
Además de estos mensajes falsos, es posible identificar que un equipo se encuentra infectado, si existe la presencia de las siguientes llaves de registro y archivos en el directorio System de Windows:
%SYSDIR%\diagwinhost.exe
%SYSDIR%\Humgly.lkur (0 bytes durante las pruebas)
%SYSDIR%\temp32x.data (46,244 bytes - datos codificados)
%SYSDIR%\wintmpx33.dat (46,426 bytes - datos codificados)
%SYSDIR%\yfjq.yqwm (0 bytes durante las pruebas)
%SYSDIR%\zmndpgwf.kxx (0 bytes durante pruebas)
Esta nueva amenaza es considerada de Riesgo Medio.
Cualquier sospecha en cuanto a nuevos virus, pueden dirigir mensajes a virus_research@avertlabs.com, o archivos al servicio WenImmune – www.webimmune.net
McAfee Security recomienda que los productos de antivirus sean actualizados semanalmente, además de estar configurados para la protección de archivos comprimidos (Compressed Files).
Ver VideoIr a GaleríaVer Blog