¡ALERTA DE VIRUS! ...** Blackmal (Kamasutra) **
Estimado suscriptor:

Enviamos esta alerta de interés para todos los usuarios bajo sistema Windows, en cualquiera de sus versiones.

Nombre: W32.Blackmal.E@mm.

Presentación: Es un gusano de propagación masiva que comenzó a actuar el 17 de enero de 2006 y fue mutando hasta el 3 de febrero, en donde se mantiene sin variantes hasta la fecha. Ataca los sistemas de compartición de redes Windows y aquellos sistemas con seguridad baja, deficiente o nula. Se activa los dias 3 de cada mes para reescribir las extensiones de los archivos instalados en los sistemas infectados.

También conocido como Nyxem.E, Grew A., Kapser, Mywife y Kama Sutra, se propaga via archivos adjuntos de e-mails o archivos compartidos en sistemas en red.

Este virus está codificado para borrar archivos en su fecha de activación (los dias 3 de cada mes). El 3 de febrero se propagó por más de 500 mil servidores en todo el mundo.
El programa del virus viaja en un archivo adjunto del e-mail con Asuntos sugestivos tales como "Fantasías de colegialas traviesas", "Re: video de sexo" y otros. El virus compromete todos aquellos sistemas cuyos usuarios abren los archivos adjuntos en el e-mail, llegando a inhabilitar el software de seguridad instalado en esos sistemas y provocando cambios en sus respectivos registros.
La computadoras que permanecen infectadas desde el 3 de febrero han sufrido acciones de borrado de hasta 11 tipos de archivos diferentes de su disco rígido, incluyendo documentos de Word, Excel, PowerPoint y del tipo PDF.

Contenido: Código maligno que se instala en la PC, provocando mal funcionamiento y fallas de operación en PC conectadas a redes, y en sistemas en redes que comparten archivos y aplicaciones.

Modalidad de ataque:

Cuando se ejecuta el virus W32.Blackmal.E@mm , realiza las siguientes acciones:

* Se copia a sí mismo con otros nombres en las carpetas principales del sistema.

* Crea un archivo vacío con extensión .ZIP, empleando el mismo nombre con que se autoreplicó en la carpeta en cuestión. Luego empleará ese archivo para abrirlo y esconder sus herramientas funcionales.

* Anula o inutiliza archivos de conectividad en las redes Microsoft.

* Modifica valores en los registros de los sistemas.

* Inhabilita el mouse y el teclado de la PC cuando el gusano se ejecuta por primera vez.

* Muestra el siguiente ícono en la barra de tareas de Windows cuando detecta la presencia de un antivirus:


* Monitorea el título de la ventana activa en Windows. Si el usuario se encuentra en el Explorador de Windows, el título de la ventana es el de la carpeta en uso. El gusano emplea esta información para buscar en la carpeta el archivo desktop.ini. Si este archivo existe el gusano se copia a sí mismo en esa carpeta con el nombre WinZip_Tmp.exe y además crea el archivo temp.htt.

* Elimina archivos de uso corriente, de sistema, de registro, de conectividad y dependiendo de la función, los puede llegar a reemplazar.

* Cierra automáticamente las ventanas abiertas cuyos títulos puedan contener cualquiera de las siguientes palabras:
· SYMANTEC
· SCAN
· KASPERSKY
· VIRUS
· MCAFEE
· TREND MICRO
· NORTON
· REMOVAL
· FIX

* Busca en las redes las carpetas siguientes en donde se copia a sí mismo comoWINZIP_TMP.EXE:
· ADMIN$
· C$

Nota: El gusano también se copia a sí mismo empleando el mismo nombre de archivo en redes protegidas por claves o passwords poco efectivas. Puede también eliminar archivos compartidos, lo mismo que carpetas enteras.

* Si el usuario de la PC comprometida está conectado a otra red diferente, el gusano puede emplear esta conexión para propagarse.

* Intenta enviarse a sí mismo como un e-mail a todas las direcciones que pueda reunir (sacadas de la PC) empleando su propia estructura de envío (motor propio de SMTP). El e-mail puede tener las siguientes características.

Asunto. Uno de los siguientes:

· *Hot Movie*
· A Great Video
· Fw:
· Fw: DSC-00465.jpg
· Fw: Funny :)
· Fw: Picturs
· Fw: Real show
· Fw: SeX.mpg
· Fw: Sexy
· Fwd: Crazy illegal Sex!
· Fwd: image.jpg
· Fwd: Photo
· give me a kiss
· Miss Lebanon 2006
· My photos
· Part 1 of 6 Video clipe
· Photos
· Re:
· School girl fantasies gone bad

Cuerpo del mensaje o contenido. Uno de los siguientes:

· Note: forwarded message attached. You Must View This Videoclip!
· >> forwarded message
· Re: Sex Video
· i just any one see my photos.
· It's Free :)
· The Best Videoclip Ever
· Hot XXX Yahoo Groups
· Fuckin Kama Sutra pics
· ready to be FUCKED ;)
· forwarded message attached.
· VIDEOS! FREE! (US$ 0,00)
· What?
· i send the file.
· Helloi attached the details.
· Thank you
· the file i send the details
· hello,
· Please see the file.
· how are you?
· i send the details.

Archivo adjunto. Uno de los siguientes:

· 007.pif
· 392315089702606E-02,.scR
· 677.pif
· Adults_9,zip.sCR
· Arab sex DSC-00465.jpg
· ATT01.zip.sCR
· Attachments[001],B64.sCr
· Clipe,zip.sCr
· document.pif
· DSC-00465.Pif
· DSC-00465.pIf
· eBook.pdf
· eBook.PIF
· image04.pif
· New Video,zip
· New_Document_file.pif
· photo.pif
· Photos,zip.sCR
· School.pif
· SeX,zip.scR
· Sex.mim
· Video_part.mim
· WinZip,zip.scR
· WinZip.BHX
· WinZip.zip.sCR
· Word XP.zip.sCR
· Word.zip.sCR
· 04.pif
· DSC-00465.Pif
· DSC-00465.pIf
· image04.pif

* Monitorea el tráfico en el port 25 de la PC, de manera que no esté empleado por otros sistemas de envío de e-mails para hacer uso de su propio sistema de envío masivo.

* Monitorea todas las PCs en red que se encuentren dentro del mismo dominio para ejecutar su rutina de infección. Puede afectar incluso otras redes a través de algún usuario que esté conectado y tenga su PC comprometida por la acción del virus.

* Intenta el bloqueo de cuentas de usuarios a través de ataques de passwords.

* Intenta bloquear el acceso vía internet a sitios webs específicos para evitar que el usuario intente reparar la infección o bien actualizar su antivirus.

 

Afecta a los sistemas: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP. También los sistemas en red bajo cualquiera de las versiones de Windows.

 

Categoría de peligrosidad: categoría 2 (moderada), en una escala de 1 a 4. A pesar de su grado de peligrosidad intermedio, lo que lo hace realmente efectivo es su altísimo grado de propagación.

Recomendación:

El gusano Blackmal está programado para eliminar ciertos tipos de archivos en la PC infectada. Por lo tanto es conveniente contar con las medidas básicas de seguridad, el mantenimiento y actualización de las mismas y un buen esquema de administración de redes.

Aún así están disponibles herramientas de remoción automática en los sitios web de las principales compañías fabricantes de antivirus, como una primer medida práctica de eliminación de los gusanos.

IMPORTANTE: Hay que recordar que el virus detecta la presencia y elimina archivos de los antivirus instalados. Si esto ocurre hay que proceder a la reinstalación del antivirus, una vez eliminada la infección.

Para los más entendidos, se dan instrucciones para la remoción manual de la infección. En este caso se recomienda:

1. Inhabilitar el System Restore (Windows Me/XP).
2. Actualizar las definiciones de virus.
3. Correr un escaneo completo del sistema para la detección de la infección.
4. Eliminar los valores agregados a los registros del sistema.

Puede chequear su PC on line (desde internet). Lo puede hacer si hace clic en el siguiente link:

http://www.symantec.com/securitycheck

 

Por cualquier consulta estamos a su disposición en la dirección info@visorsal.com

 

VISOR Servicios Internet - www.visorsal.com

Si desea ver otras alertas emitidas durante el período 2004-2005 haga clic AQUI

Suscríbase GRATIS a nuestro Boletín Quincenal VISOR

clic AQUI

Novedades en Internet, Consejos, Marketing, Humor, Leyes de Murphy y más...

Esta alerta es una gentileza de VISOR Servicios Internet - Si no desea seguir recibiéndola haga clic AQUI