líderes en noticias de marketing, publicidad y marcas

PANDA SOFTWARE TIENE UN ANTÍDOTO CONTRA EL VIRUS NIMDA

– Este gusano se ejecuta de forma automática, simplemente con la vista previa del mensaje que lo contiene

– La multinacional española aconseja actualizar su antivirus antes de abrir su cliente de correo Outlook u Outlook Express

Nota de prensa:

Fiel a su vocación de servicio y dada la peligrosidad y el preocupante ritmo de propagación que está alcanzando en las últimas horas el nuevo gusano W32/[email protected] (alias Nimda), Panda Software acaba de lanzar el antídoto correspondiente para que los usuarios actualicen sus soluciones antivirus y, de esta forma, se encuentren a salvo de la amenaza que este virus representa.

W32/[email protected] (alias Nimda) es un peligroso virus de correo electrónico que se ejecuta de forma automática, simplemente con la vista previa del mensaje que lo contiene. Se transmite por correo electrónico utilizando una vulnerabilidad descubierta por el experto en seguridad Juan Carlos García Cuartango en el navegador Internet Explorer 5 y los clientes de correo Outlook y Outlook Express.

Esta vulnerabilidad reúne dos características: por una parte utiliza un código HTML, que genera un frame, y, por otra, utiliza un fichero anexado codificado en base64 marcado como audio/x-wav. Ambas acciones confunden al componente del Internet Explorer, que ofrece los servicios de browser a los lectores de correo de Microsoft y es utilizado por el propio Internet Explorer de forma que le hace creer que en realidad se trata de un fichero de audio que debe ser reproducido (ejecutado) de forma automática en cuanto se abre el mensaje.

Método de infección

Una vez que el mensaje llega al usuario y éste abre el mensaje o lo muestra en la vista previa, el cliente de correo (Outlook u Outlook Express) ejecuta automáticamente el fichero anexado y se produce la infección. Además se envía a través de correo electrónico conectándose directamente a Internet a través de comandos SMTP. Para conseguir las direcciones e-mail de sus victimas, hace login al sistema de correo a través de SimpleMAPI y recorre mensajes en busca de direcciones de correo en su interior.

En el interior del mensaje se puede encontrar la siguiente cadena que indica su posible procedencia: «Concept Virus(CV) V.5, Copyright(C)2001 R.P.China».

En el momento en que el mensaje llega al usuario y lo infecta, si el sistema es Windows 9x, el virus se copia a sí mismo en el directorio WindowsSystem con el nombre load.exe con atributo oculto. Además modifica el fichero SYSTEM.INI añadiendo la siguiente línea, lo que garantiza su ejecución en próximos arranques del sistema: Shell=explorer.exe load.exe –dontrunold.

A continuación, copia en el directorio WindowsSystem el fichero con el virus con el nombre riched20.dll, también con atributo oculto. Con esto consigue que el virus sea lanzado cada vez que se ejecute las aplicaciones que utilizan este archivo DLL, entre otros el Wordpad. Por otra parte, si el sistema es NT o W2000 crea el fichero load.exe en el directorio WinntSystem32; crea el usuario guest; lo incluye en el grupo de administradores locales; realiza un login con dicho usuario, y comparte la unidad C: como C$.

Además, utiliza otra vulnerabilidad del IIS para alterar el contenido de las páginas enumeradas a continaución de forma que, si son visitadas por cualquier usuario, el código modificado por el virus dentro de estas páginas HTML abre automáticamente el fichero readme.eml (formato de mensajes de Outlook Express) que contiene el mensaje con el virus. Dichas páginas son: index.html,index.asp,readme.htm,main.html,main.asp,default.htm,index.htm,readme.html,readme.asp,main.htm,default.html y default.asp.

En este caso, si la versión de Internet Explorer del usuario que abre alguna de estas páginas tiene la vulnerabilidad mencionada anteriormente, abrirá automáticamente el fichero readme.exe anexado al mensaje readme.eml.

Es importante resaltar que un sistema con la vulnerabilidad de Internet Explorer mencionado anteriormente, ejecuta automáticamente los ficheros .eml infectados por este virus si el navegador está configurado con la opción «Permitir la existencia de contenido Web en las carpetas». Este es, sin duda, el efecto más espectacular que ofrece esta vulnerabilidad.

Detección y desinfección

Panda Software recomienda a los usuarios adoptar las siguientes medidas para protegerse contra este nuevo y peligroso virus:

– Actualizar el antivirus antes de abrir el cliente de correo electrónico. En estos momentos, Panda Software dispone de la correspondiente vacuna para este virus en todas sus soluciones de seguridad. Una vez actualizado el antivirus, se debe realizar un análisis de todos los sistemas de ficheros y mensajes.

– Activar la opción de seguridad de Internet Explorer y Outlook al máximo nivel.

– Actualizar el servidor IIS desde: http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp para Microsoft IIS 4.0 y http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp para Microsoft IIS 5.0.

– Acceder a las opciones de Configurar el Explorer para «Utilizar carpetas clásicas de Windows» en vez de «Permitir la existencia de contenido Web en las carpetas». Esto impide que los ficheros .eml infectados sean ejecutados automáticamente con un sólo clic del ratón o movimiento del cursor del teclado sobre ellos.

– Por otro lado, se puede comprobar si un ordenador ha sido infectado y neutralizar el gusano utilizando el antivirus gratuito on-line Panda ActiveScan.

Sobre el Laboratorio de Virus de Panda Software

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Para más información

Yolanda Ruiz Hervás / Esther Palma / María del Puy Ignacio
yruiz@pandasoftware.es / epalma@pandasoftware.es / mignacio@pandasoftware.es

Tel. 34 91 301 30 15

 

LOS MAILINGS DE LAS ONGS SON LOS MÁS LEÍDOSAnteriorSigueinteEL MARKETING NO ESTÁ A LA ALTURA DEL E-MAIL

Noticias recomendadas