Gusano Winevar se propaga rápidamente

El nuevo gusano informático, que llega en mensajes con diferentes asuntos, textos y nombres del documento adjunto, es capaz de desactivar diferentes programas antivirus de sistema.

(28.11.2002): La compañía de seguridad informática ha alertado sobre la rápida expansión a través de Internet del nuevo virus Winevar (W32.HLLW). Este virus que se reenvía por correo electrónico, también conocido por su procedencia inicial como el Gusano Coreano, es un virus gusano de envío masivo vía email.

El virus original es un archivo de Windows PE EXE con un peso de 91Kb escrito en Microsoft Visual C++ con la mayor parte de líneas de texto cifradas. Este gusano llega en un mensaje de correo electrónico que puede tener diferentes sujetos, cuerpos y nombres de archivo adjunto. Tras penetrar en el sistema, puede desactivar algunos programas de análisis antivirus, programas depuradores de errores (debuggers) y cortafuegos desde la memoria del ordenador.

El gusano se instala en el directorio del sistema de Windows con un nombre aleatorio con los trazos comunes: WIN .PIF, desde donde ejecuta W32.FunLove.4099 virus, que es el virus que finalmente infecta la máquina. Este virus modifica entonces los archivos de arranque de Windows para activarse en el momento que se reinicia el sistema y empezar a extraer direcciones de correo electrónico de archivos *.HTM y archivos *.DBX a las que reenvía una copia usando la conexión directa con la pasarela SMTP del servidor de correo.

Los mensajes infectados tienen datos diferentes en campos de correo electrónico. El sujeto o asunto y el cuerpo del mensaje son aleatorios. Los nombres de los archivos adjuntos pueden variar entre: MUSIC_1.HTM, MUSIC_2.CEO WIN40B1.TXT, WIN40B1.GIF.

“Habilitando la herramientas Antigen File Filtering™ or Antigen Worm Purge™ y actualizando los ficheros de firmas de los motores de análisis antivirus, nuestros usuarios pueden estar seguros que Antigen purgará automáticamente todos los correos electrónicos que contengan este peligroso virus gusano”, explica Joe Licari, director de gestión de productos en Sybari Software.

“Este virus sólo deshabilita antivirus de sistema por lo que tecnologías como Antigen que actúan en memoria, antes de que los mensajes se graben en el disco no se ven afectadas”, Cesar Gutiérrez, Ingeniero de soporte de Sybari. “Los usuarios de Antigen que actualicen los motores de firmas de los seis antivirus que contiene la solución pueden estar seguros que el virus será detectado y borrado, no obstante la activación adicional de filtros de correo evitará que el mensaje se siga enviando y que la alerta se mantenga”. añade César Gutiérrez.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022