|
|
 |
|
|
| Noticias |
Nuevo virus Nimda, disponible el antídoto
[19-09-01]
Panda Software dispone del antídoto contra Nimda, un peligroso gusano que sigue propagándose por e-mail
Este gusano se ejecuta de forma automática, simplemente con la vista previa del mensaje que lo contiene
La compañía aconseja actualizar su antivirus antes de abrir su cliente de correo Outlook u Outlook Express
W32/Nimda.A@mm (alias Nimda) es un peligroso virus de correo electrónico que se ejecuta de forma automática, simplemente con la vista previa del mensaje que lo contiene. Se transmite por correo electrónico utilizando una vulnerabilidad descubierta por el experto en seguridad Juan Carlos García Cuartango en el navegador Internet explorer 5 y los clientes de correo Outlook y Outlook Express.
Esta vulnerabilidad reúne dos características: por una parte utiliza un código HTML, que genera un frame, y, por otra, utiliza un fichero anexado codificado en base64 marcado como audio/x-wav. Ambas acciones confunden al componente del Internet Explorer, que ofrece los servicios de browser a los lectores de correo de Microsoft y es utilizado por el propio Internet Explorer de forma que le hace creer que en realidad se trata de un fichero de audio que debe ser reproducido (ejecutado) de forma automática en cuanto se abre el mensaje.
Método de infección
Una vez que el mensaje llega al usuario y éste abre el mensaje o lo muestra en la vista previa, el cliente de correo (Outlook u Outlook Express) ejecuta automáticamente el fichero anexado y se produce la infección. Además se envía a través de correo electrónico conectándose directamente a Internet a través de comandos SMTP. Para conseguir las direcciones e-mail de sus victimas, hace login al sistema de correo a través de SimpleMAPI y recorre mensajes en busca de direcciones de correo en su interior.
En el interior del mensaje se puede encontrar la siguiente cadena que indica su posible procedencia: "Concept Virus(CV) V.5, Copyright(C)2001 R.P.China"
En el momento en que el mensaje llega al usuario y lo infecta, si el sistema es Windows 9x, el virus se copia a sí mismo en el directorio Windows\System con el nombre load.exe con atributo oculto. Además modifica el fichero SYSTEM.INI añadiendo la siguiente línea, lo que garantiza su ejecución en próximos arranques del sistema: Shell=explorer.exe load.exe -dontrunold.
A continuación, copia en el directorio Windows\System el fichero con el virus con el nombre riched20.dll, también con atributo oculto. Con esto consigue que el virus sea lanzado cada vez que se ejecute las aplicaciones que utilizan este archivo DLL, entre otros el Wordpad.
Por otra parte, si el sistema es NT o W2000 crea el fichero load.exe en el directorio Winnt\System32; crea el usuario guest; lo incluye en el grupo de administradores locales; realiza un login con dicho usuario, y comparte la unidad C: como C$.
Además, utiliza otra vulnerabilidad del IIS para alterar el contenido de las páginas enumeradas a continaución de forma que, si son visitadas por cualquier usuario, el código modificado por el virus dentro de estas páginas HTML abre automáticamente el fichero readme.eml (formato de mensajes de Outlook Express) que contiene el mensaje con el virus. Dichas páginas son:
index.html index.asp readme.htm main.html main.asp default.htm
index.htm readme.html readme.asp main.htm default.html default.asp
En este caso, si la versión de Internet Explorer del usuario que abre alguna de estas páginas tiene la vulnerabilidad mencionada anteriormente, abrirá automáticamente el fichero readme.exe anexado al mensaje readme.eml.
Es importante resaltar que un sistema con la vulnerabilidad de Internet Explorer mencionado anteriormente, ejecuta automáticamente los ficheros .eml infectados por este virus si el navegador está configurado con la opción "Permitir la existencia de contenido Web en las carpetas". Este es, sin duda, el efecto más espectacular que ofrece esta vulnerabilidad.
Detección y desinfección
Panda Software recomienda a los usuarios adoptar las siguientes medidas para protegerse contra este nuevo y peligroso virus:
Actualizar el antivirus antes de abrir el cliente de correo electrónico. En estos momentos, Panda Software dispone de la correspondiente vacuna para este virus en todas sus soluciones de seguridad. Una vez actualizado el antivirus, se debe realizar un análisis de todos los sistemas de ficheros y mensajes.
· Activar la opción de seguridad de Internet Explorer y Outlook al máximo nivel.
· Actualizar el servidor IIS. http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp para Microsoft IIS 4.0 y http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp para Microsoft IIS 5.0.
· Acceder a las opciones de Configurar el Explorer para "Utilizar carpetas clásicas de Windows" en vez de "Permitir la existencia de contenido Web en las carpetas". Esto impide que los ficheros .eml infectados sean ejecutados automáticamente con un sólo clic del ratón o movimiento del cursor del teclado sobre ellos.
Por otro lado, se puede comprobar si un ordenador ha sido infectado y neutralizar el gusano utilizando el antivirus gratuito on-line Panda ActiveScan.(http://www.pandasoftware.es/activescan/activescan.asp?language=1&Country=62&Partner=1&Ref=PR-AS-104)
Noticias actuales...
Archivo de noticias...
|
|
|
| |
|
|
Gratis Servicio de noticias
|
|
|
Tus Sugerencias son bienvenidas
Pincha Aquí |
¡¡Lista de correo!!
Introduzca su correo:
|
|
