Foros ZackYFileS

Foros ZackYFileS (http://foros.zackyfiles.com/index.php)
-   SOFTWARE del PC - PROGRAMAS y S.O. (http://foros.zackyfiles.com/forumdisplay.php?f=93)
-   -   Alerta amarilla para nuevo gusano de envío masivo (http://foros.zackyfiles.com/showthread.php?t=394906)

caminero21 19/01/2006 13:20
Alerta amarilla para nuevo gusano de envío masivo
 
Se ha reportado en las últimas horas, el envío masivo en forma de SPAM, de un nuevo gusano que al ejecutarse, puede borrar diferentes archivos correspondientes a conocidos antivirus y otros programas.

También modifica varias claves del registro, y es capaz de propagarse por recursos compartidos en redes con niveles de seguridad bajos (falta de contraseña o contraseña en blanco, etc.)

El gusano es identificado como [B]Win32/VB.NEI[/B] por NOD32, mientras otros fabricantes le dan nombres totalmente diferentes entre si, causando la lógica confusión que esta situación provoca (por ejemplo KillAV.GR, Blackmal.E, Grew.A, Kapser.A, Nyxem-D, Small.KI, Tearec.A, Blackmal.F, etc.)

La característica diferente de este gusano, es que utiliza tanto archivos ejecutables con extensión PIF o SCR, como adjuntos codificados en formato MIME, conteniendo el archivo ejecutable.

MIME (Multipurpose Internet Mail Extensions), es un protocolo que proporciona la facilidad de incluir múltiples objetos en un solo mensaje electrónico (texto, música, imágenes, etc.). En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el código contenido en el cuerpo del mensaje.

En este caso, cuando los archivos infectados con el VB.NEI contienen esta clase de adjuntos, una etiqueta como la siguiente aparece en el mensaje:

Content-Type: application/x-msdownload; name="[nombre]"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="[nombre]"

El archivo, codificado en base64 muestra un formato como el siguiente (por ejemplo):

begin 664 WinZip.zip .sCR
M35J0``,````$````__\``+@`````````0```````````````````````````
M````````````````````H`````X?N@X`M`G-(;@!3,TA5&AI<R!P<F]G<F%M
M(&-A;FYO="!B92!R=6X@:6X@1$]3(&UO9&4N#0T*)`````````"W$@?;\W-I
MB/-S:8CS<VF(&FQDB/)S:8A2:6-H\W-IB%!%``!,`0,`7W;+0P``````````

[etc...]

Esta codificación permite la representación de octetos de cualquier valor ASCII, de modo que puedan transmitirse en un correo electrónico, sin las limitaciones que este posee.

Algunos de estos formatos (como BHX), no se pueden decodificar sin tener la herramienta necesaria, por ejemplo BinHex.

Algunos mensajes intentan mostrar imágenes. Esto no aparece si se tiene configurado el cliente de correo para leer todos los mensajes como texto sin formato.

http://www.vsantivirus.com/vb-nei1.gif

http://www.vsantivirus.com/vb-nei2.gif

Más detalles de este gusano (incluida una herramienta automática de limpieza) en el siguiente enlace:

VB.NEI. Se propaga por e-mail, borra antivirus
[url]http://www.vsantivirus.com/vb-nei.htm[/url]

En las últimas horas, se han detectado más mensajes enviados masivamente, razón por la cuál en VSAntivirus hemos activado el nivel de "Alerta amarilla".


Relacionados:

Explicación de códigos de alertas
[url]http://www.vsantivirus.com/codigos-alertas.htm[/url]

Fuente : V S Antivirus


La franja horaria es GMT +2. Ahora son las 03:30.

Powered por vBulletin™ Version 3.8.10
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.
Traducido por vBsoporte - vBulletin en español
ZackYFileS - Foros de Debate