Nuevo Virus Creative
[18-12-00]
Bysupport, empresa líder en Chile que provee soluciones de seguridad antivirus, anunció que McAfee AVERT (Antivirus Emergency Response Team, una de las organizaciones de investigación antivirus mejor catalogadas en el mundo) calificó de alto riesgo la amenaza del recientemente descubierto virus Creative.exe, cuyos alias son I-Worm.Creative, TROJ_SHOCKWAVE y W32.Prolin.
El virus, de origen desconocido, es del tipo gusano de Internet, su tamaño es de 37 KB y está codificado en Visual Basic 6 y compilado como un ejecutable denominado “CREATIVE.EXE”, que acompaña al icono de una aplicación Shock Wave Media Player, aunque en realidad no se trata de un archivo de esta naturaleza. Al momento de recibir el e-mail, este contiene:
Una vez que el archivo es ejecutado, el virus, por medio de una copia de sí mismo, se inscribe en el sistema operativo local para posteriormente autoenviarse, vía MAPI, a todas las direcciones almacenadas en el software de correo electrónico Outlook, tal como los problemáticos Melissa, LoveLetter y Navidad, este último de origen reciente. Además, el programa intruso envía un reporte a la dirección del posible creador del gusano:
Una vez que se ha activado el archivo ejecutable, los primeros síntomas son las copias del gusano en el disco duro. Luego, otra copia del virus se instala en el menú inicio de Windows, lo que le permite actuar cada vez que se activa este sistema operativo.
La principal amenaza radica en que el gusano explora la totalidad del o los discos duros, secuestrando los archivos ZIP y JPG en una carpeta con el nombre de ficherovictima. Una vez allí, las extensiones de los archivos capturados son modificadas a C:\Archivox.JPGchange atleast now to LINUX o a C:\Archivox.ZIPchange atleast now to LINUX.
Todos estos cambios o modificaciones son registrados por el gusano en un archivo llamado c:\messageforu.txt, en el que puede leerse el siguiente texto en inglés: “Hola, supongo que recibieron el mensaje. Debajo, he almacenado una lista con los archivos infectados. Si eres lo suficientemente listo, sólo revierte el proceso. Podría haber causado más daño, podría incluso haber borrado tu disco duro por completo. Recuerda esta advertencia fuerte y claro. El Pingüino". Tal como dice el mensaje, más abajo pueden apreciarse las siguientes direcciones:
C:\WINDOWS\SYSTEM\OOBE\IMAGEX\ARCHIVOX.JPG
C:\BACKUP\ARCHIVOX.ZIP
Estos archivos no son dañados ni infectados, sólo tienen un sufijo extra al final
Para los usuarios de software antivirus VirusScan de McAfee, la remoción de este virus gusano es automática, siempre y cuando las bases de datos sobre virus o archivos DAT, se mantengan actualizadas de forma periódica. Para mayor información sobre la remoción de este gusano de Internet visite la página de Bysupport en www.bysupport.cl.
Noticias actuales...
Archivo de noticias...
|
