McAfee AVERT instruye acerca de cómo prevenir a Netsky.B

20 Feb 2004 en Seguridad

 
Network Associates, proveedor de soluciones para la prevención de intrusos, anunció hoy que McAfee® AVERT™ (Anti-Virus and Vulnerability Emergency Response Team), la división de investigación antivirus perteneciente a Network Associates®, clasificó con un nivel medio de riesgo al recientemente descubierto W32/Netsky.b@MM, también conocido como Netsky.b. Netsky.b es un gusano destructivo que se propaga por medio del correo electrónico al autoenviarse a las direcciones que encuentra en el equipo de la víctima. Los investigadores de McAfee AVERT detectaron el gusano temprano el día de hoy. Hasta ahora, McAfee AVERT ha recibido entre 40 y 50 muestras por hora de envíos de clientes y de correos generados por el virus. En total, McAfee AVERT ha recibido aproximadamente 200 muestras de clientes en todo el mundo y un gran porcentaje de ellos proviene de Holanda.

Síntomas

Netsky.b es un gusano de Internet que al activarse se autoenvía por correo a las direcciones que encuentra en el equipo de la víctima. El gusano hace copias de sí mismo en las carpetas de las unidades ‘C:-Z:’ e incluye las palabras “shared” o “sharing”, al parecer para lograr la propagación de P2P. El documento adjunto puede tener una extensión doble, como .rtf.pif y encontrarse en un archivo .ZIP. Los usuarios deben eliminar inmediatamente cualquier mensaje de correo electrónico que incluya lo siguiente:

Cuerpo del mensaje (compuesto de las siguientes líneas):

— I have your password!
— about me
— anything ok?
— do you?
— from the chatter
— greetings
— hello
— here
— here is the document.
— here it is
— here, the cheats
— here, the introduction
— here, the serials
— hi
— i found this document about you
— i hope it is not true!
— i wait for a reply!
— i’m waiting
— information about you
— is that from you?
— is that true?
— is that your account?
— is that your name?
— kill the writer of this document!
— my hero
— ok
— read it immediately!
— read the details.
— reply
— see you
— something about you!
— something is fool
— something is going wrong
— something is going wrong!
— stuff about you?
— take it easy
— that is bad
— that’s funny
— thats wrong why?
— what does it mean?
— yes, really?
— you are a bad writer
— you are bad
— you earn money
— you feel the same
— you try to steal
— your name is wrong

Patología

Una vez que se ejecuta, Netsky.b se autoenvía por correo electrónico con un nombre de archivo elegido al azar. Luego, el gusano se copia a sí mismo en %windir% con el nombre de archivo SERVICES.EXE. El gusano agrega la clave ‘HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run “service” =C:\\WINNT\\services.exe -serv’ al registro, lo que le ayuda a activarse al iniciar el sistema. Los investigadores de McAfee AVERT creen que el gusano puede intentar limpiar la puerta trasera de MyDoom al eliminar las claves de registro que lo cargan al inicio del sistema.

Cura

Para obtener información inmediata y una cura para este virus, consulte el sitio de McAfee AVERT de Network Associates, ubicado en http://vil.nai.com/vil/content/v_101034.htm.Los usuarios de productos antivirus McAfee Security deben actualizar sus sistemas en esta página y utilizar el motor de escaneo 4325 o superior para detener posibles daños.

La estrategia McAfee® Protection-in-Depth™ de Network Associates ofrece un set completo de soluciones de protección para sistemas y redes único en la industria, que se distingue por su tecnología de prevención de intrusos que puede detectar y bloquear este tipo de ataques. Esto permite a los clientes protegerse mientras planifican su estrategia de implementación del parche.

AVERT Labs es una de las organizaciones de investigación antivirus más respetada del mundo y emplea a más de 90 investigadores, con sus oficinas en cinco continentes. AVERT protege a los clientes proporcionando curas que se desarrollan en un esfuerzo conjunto de los investigadores de AVERT y la tecnología de AVERT AutoImmune, que aplica heurística avanzada, detección genérica y tecnología ActiveDAT para generar las curas para virus anteriormente desconocidos.