Se ha reportado en las últimas horas, el envío masivo en forma de SPAM, de un nuevo gusano que al ejecutarse, puede borrar diferentes archivos correspondientes a conocidos antivirus y otros programas.

También modifica varias claves del registro, y es capaz de propagarse por recursos compartidos en redes con niveles de seguridad bajos (falta de contraseña o contraseña en blanco, etc.)

El gusano es identificado como [B]Win32/VB.NEI[/B] por NOD32, mientras otros fabricantes le dan nombres totalmente diferentes entre si, causando la lógica confusión que esta situación provoca (por ejemplo KillAV.GR, Blackmal.E, Grew.A, Kapser.A, Nyxem-D, Small.KI, Tearec.A, Blackmal.F, etc.)

La característica diferente de este gusano, es que utiliza tanto archivos ejecutables con extensión PIF o SCR, como adjuntos codificados en formato MIME, conteniendo el archivo ejecutable.

MIME (Multipurpose Internet Mail Extensions), es un protocolo que proporciona la facilidad de incluir múltiples objetos en un solo mensaje electrónico (texto, música, imágenes, etc.). En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el código contenido en el cuerpo del mensaje.

En este caso, cuando los archivos infectados con el VB.NEI contienen esta clase de adjuntos, una etiqueta como la siguiente aparece en el mensaje:

Content-Type: application/x-msdownload; name="[nombre]"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="[nombre]"

El archivo, codificado en base64 muestra un formato como el siguiente (por ejemplo):

begin 664 WinZip.zip .sCR
M35J0``,````$````__\``+@`````````0```````````````````````````
M````````````````````H`````X?N@X`M`G-(;@!3,TA5&AI M(&-A;FYO="!B92!R=6X@:6X@1$]3(&UO9&4N#0T*)`````````"W$@?;\W-I
MB/-S:8CS
[etc...]

Esta codificación permite la representación de octetos de cualquier valor ASCII, de modo que puedan transmitirse en un correo electrónico, sin las limitaciones que este posee.

Algunos de estos formatos (como BHX), no se pueden decodificar sin tener la herramienta necesaria, por ejemplo BinHex.

Algunos mensajes intentan mostrar imágenes. Esto no aparece si se tiene configurado el cliente de correo para leer todos los mensajes como texto sin formato.





Más detalles de este gusano (incluida una herramienta automática de limpieza) en el siguiente enlace:

VB.NEI. Se propaga por e-mail, borra antivirus
[url]http://www.vsantivirus.com/vb-nei.htm[/url]

En las últimas horas, se han detectado más mensajes enviados masivamente, razón por la cuál en VSAntivirus hemos activado el nivel de "Alerta amarilla".


Relacionados:

Explicación de códigos de alertas
[url]http://www.vsantivirus.com/codigos-alertas.htm[/url]

Fuente : V S Antivirus

__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad