Nuevo virus se propaga por carpetas compartidas de Kazaa

Clasificado por McAfee como epidemia de riesgo alto, la amenaza es un gusano de envío masivo que abre el puerto TCP 3127 a posibles intrusiones de acceso remoto.

SANTIAGO: McAfee Avert (Anti-Virus and Vulnerability Emergency Response Team) de Network Associates Inc., líder en soluciones de prevención de intrusos, alertó esta madrugada sobre el ataque del gusano de envío masivo W32/Mydoom@MM, clasificado por el laboratorio como una epidemia de riesgo ALTO.

El virus se propaga vía correo electrónico y realiza copias de sí mismo entre carpetas compartidas de Kazaa, si es que los usuarios están conectados. Su sistema de envío utiliza direcciones recopiladas del sistema local (en especial orientadas hacia archivos con extensiones WAB, ADB, TBB, DBX, ASP, PHP, SHT, HTM, y TXT). Además contiene ”enganches” para generar en forma aleatoria otras direcciones.

Principales características:
El código malicioso llega a través de un correo electrónico con la siguiente estructura:
De: Remitente engañoso
Asunto: Aleatorio
Cuerpo del mensaje: Varía. Tales como:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.

Adjunto: Puede contener archivos con extensiones .exe, .pif, .cmd, .scr, y, a menudo un .zip (de 22.528 bytes)

El ícono que utiliza trata de simular como que fuera un archivo de texto adjunto.

Síntomas :
Bajo la ejecución del virus, se abre el Notepad, con caracteres sin sentido. El gusano abre una conexión al puerto TCP 3127, lo que sugiere capacidades de accesos remoto. La existencia de algunos archivos y registros como: Hace copias de sí mismo en el sistema infectado con los nombres de: c:Program FilesKaZaAMy Shared Folderactivation_crack.scr y %SysDir% askmon.exe.

También utiliza un DLL para copiarse en el directorio sistema de Windows: %SysDir%shimgapi.dll (4,096 bytes)

Crea la siguiente clave de registro para engancharse del start up de Windows: HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun ”TaskMon” = %SysDir% askmon.exe

Solución :
McAfee Security Chile, recomendó a sus clientes descargar los paquetes EXTRA DAT y SUPER EXTRADAT disponibles en Internet en el sitio de la compañía.

Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022