McAfee AVERT aumenta la clasificación de riesgo de Netsky

24 Mar 2004 en Seguridad

Network Associates, Inc. proveedor de soluciones para la prevención de intrusos, anunció hoy que su grupo McAfee® AVERT™ (Anti-Virus and Vulnerability Emergency Response Team),aumentó a nivel medio la clasificación de riesgo del recientemente descubierto W32/Netsky.p@MM, también conocido como Netsky.p. Netsky.p es un prolífico gusano que se propaga por medio del correo electrónico al autoenviarse a las direcciones que encuentra en el equipo de la víctima. El gusano posee muchas de las funcionalidades de sus predecesores Netsky, tres de los cuales también están calificados como amenazas de nivel medio. Los investigadores de McAfee AVERT lo detectaron temprano el día de hoy y hasta ahora han recibido más de 100 informes de Netsky.p de envíos de clientes y de correos generados por el virus, provenientes de clientes en todo el mundo. La mayoría de los informes de Netsky.p que ha recibido McAfee AVERT provienen de clientes y no del propio virus, que está falsificando las direcciones y propagándose. Este es actualmente el caso de la mayoría de los virus, cuyas tres familias más prevalentes son Mydoom, Bagle y Netsky. SíntomasNetsky.p es un gusano de Internet que al activarse se autoenvía por correo a las direcciones que encuentra en el equipo de la víctima. El gusano luego intenta hacer copias de sí mismo en las carpetas de las unidades C: a Z: y aprovecha la vulnerabilidad MS01-020 anunciada (y parchada) por Microsoft en 2001. Esta vulnerabilidad permite la autoejecución de los archivos adjuntos en el correo electrónico en sistemas que ejecutan Microsoft Internet Explorer 5.01 ó 5.5 sin Service Pack 2. Para obtener más información y la actualización, consulte http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx.McAfee AVERT recomienda a los usuarios actualizar sus sistemas y eliminar cualquier mensaje de correo electrónico que contenga lo siguiente:Para: (dirección falsificada obtenida del sistema infectado)Asunto: (obtenido de la siguiente lista) — Stolen document — Re:Hello — Mail Delivery (failure sender address) — Private document — Re:Notify — Re:document — Re:Extended Mail System — Re:Proctected Mail System — Re:Question — Private document — Postcard Cuerpo del mensaje: (obtenido de la siguiente lista) — I found this document about you. — I have attached it to this mail. — Waiting for authentification. — Please confirm! — Protected message is available — Do not visit this illegal websites! — Here is my phone number. — I cannot believe that. — Your file is attached. — For further details see that attachment. — Congratulations!, your best friend. — Greetings from france, your friend. — If the message will not displayed automatically, follow the link to read the delivered message.Received message is available at:(forged web link. ) PatologíaUna vez que se ejecuta, Netsky.p se autoenvía por correo electrónico como un archivo adjunto .ZIP con un nombre tomado de líneas existentes dentro del gusano. Consulta al servidor DNS por el registro MX y se conecta directamente al Agente de Transferencia de Correo (MTA, Mail Transfer Agent) del dominio de destino y envía el mensaje. Luego, el gusano se copia a sí mismo en el directorio WINDOWS con el nombre de archivo “FVProtect.exe”. El gusano agrega una clave de registro que le ayuda a activarse al iniciar el sistema. CuraPara obtener información inmediata y una cura para este virus, consulte el sitio de McAfee AVERT de Network Associates, ubicado en http://vil.nai.com/vil/content/v_101119.htm.Los usuarios de los productos de McAfee Security deben actualizar sus sistemas en esa página. Existe una protección genérica, que también protege a los usuarios contra la variante W32/Netsky.c@MM, disponible con el motor de escaneo 4340 o superior para detener posibles daños. La estrategia McAfee® Protection-in-Depth™ de Network Associates ofrece una serie completa de soluciones de protección para sistemas y redes único en la industria, que se distingue por su tecnología de prevención de intrusos que puede detectar y bloquear este tipo de ataques. Esto permite a los clientes protegerse mientras planifican su estrategia de implementación del parche.McAfee AVERT Labs es una de las organizaciones de investigación antivirus más respetada del mundo y emplea a más de 90 investigadores, con sus oficinas en cinco continentes. McAfee AVERT protege a los clientes proporcionando curas que se desarrollan en un esfuerzo conjunto de los investigadores de McAfee AVERT y la tecnología de McAfee AVERT AutoImmune, que aplica heurística avanzada, detección genérica y tecnología ActiveDAT para generar las curas para virus anteriormente desconocidos.