BUENOS AIRES: Network Associates, proveedor de soluciones para la prevención de intrusos, anunció hoy que McAfee AVERT (Anti-Virus and Vulnerability Emergency Response Team), la división de investigación perteneciente a Network Associates , aumentó a nivel medio la clasificación de riesgo del recientemente descubierto W32/Lovgate.ab@MM, también conocido como Lovgate.ab. Lovgate.ab es un prolífico gusano que se propaga por medio del correo electrónico al autoenviarse a las direcciones que encuentra en el equipo de la víctima, como un archivo .ZIP, .EXE, .SCR, .PIF, .CMD o .BAT. Los investigadores de McAfee AVERT detectaron ayer el gusano y han recibido más de 100 envíos de Lovgate.ab de clientes y de correos generados por el virus, provenientes de clientes en todo el mundo.
Síntomas
Lovgate.ab es un gusano de Internet que al activarse se autoenvía por correo a las direcciones que encuentra en el equipo de la víctima, como un archivo adjunto .ZIP, .EXE, .SCR, .PIF, .CMD o .BAT. El archivo ZIP puede tener una extensión .ZIP o .RAR y enviarse a la raíz de las unidades locales y de red. El virus también tiene la capacidad de ejecutar una infección adicional de archivos .EXE, para lo cual reemplaza el archivo original con una copia de sí mismo y luego renombra el original con una extensión .ZMX. Además, este gusano finaliza procesos asociados a varios productos antivirus y de seguridad. Los usuarios deben eliminar inmediatamente cualquier mensaje de correo electrónico que incluya lo siguiente:
De: (la dirección De está falsificada)
Puede ser una de las direcciones recopiladas, un nombre creado con caracteres aleatorios o uno de los siguientes nombres que contiene el virus, seguido por un dominio:
Sandra, linda, julie, jimmy, jerry, helen, debby, claudia, brenda, anna, alice, brent, adam, ted, fred, jack, bill, stan, smith, steve, matt, dave, dan, joe, jane, bob, robert, peter, tom, ray, mary, serg, brian, jim, maria, leo, jose, andrew, sam, george, david, kevin, mike, james, michael, alex, john.
Asunto: Re: (asunto original)
El mensaje puede contener diversos asuntos y cuerpos del mensaje.
Patología
Lovgate.ab se autoenvía de dos maneras: creando sus propios mensajes por medio de su motor SMTP incorporado o respondiendo a mensajes del sistema local. Cuando crea mensajes por medio de su motor SMTP incorporado, recopila las direcciones de correo electrónico de los archivos que se encuentran en el equipo de la víctima. El gusano evita autoenviarse a direcciones que contienen alguna de las líneas que aparecen una lista incorporada en él. Luego intenta desechar un componente de puerta trasera, se copia a archivos compartidos remotos que no cuentan con un sistema de seguridad adecuado y crea un archivo compartido en el equipo de la víctima llamado MEDIA. Si el gusano puede copiarse a archivos compartidos remotos, intenta autoejecutarse en forma remota. El gusano también agrega una clave de registro que le ayuda a activarse al iniciar el sistema.
Como protección para evitar posibles daños, se encuentran disponibles los archivos DAT 4361 y el motor de escaneo 4.2.40 o superior. Asimismo, el componente de puerta trasera de Lovgate.ab se detecta como BackDoor-AQJ, a partir de los archivos DAT 4339.
